调查提醒

支持以下语言:

提醒与安全系统识别为威胁的数据相关联。 通过调查提醒,您可以了解相应提醒及相关实体的背景信息。

点击某个提醒后,您会进入一个页面,其中包含按以下三个标签页分类的提醒详情:

  • 概览:提供关于提醒的重要详细信息的摘要。 包括提醒状态和检测窗口。
  • 图表:直观呈现 YARA-L 规则生成的提醒。它会提供一个图表,显示提醒与其他实体的关系。触发提醒后,与提醒关联的实体会显示在图表和屏幕左侧,每个实体都有自己的卡片。提醒图表在 UDM 事件中使用以下实体:principaltargetsrcobserverintermediaryabout
  • 提醒记录:列出了相应提醒发生的所有更改, 包括提醒状态发生变化或已添加备注的情况。

图表下方直观呈现实体与 以下三个子标签,可提供有关该提醒的更多背景信息:

  • 事件:包含与提醒相关的事件的详细信息。
  • 实体:包含与提醒关联的每个实体的详细信息。
  • 提醒上下文:提供有关 提醒。

准备工作

要填充提醒图表,您需要创建一个 YARA-L 规则生成提醒。提醒图表的质量取决于内置于 YARA-L 规则中的上下文。规则的结果部分 为规则触发的检测提供背景信息。

我们建议您添加以下 UDM 将名词添加到 结果部分,因为它们在提醒图表中使用: principaltargetsrcobserverintermediaryabout ,了解所有最新动态。对于这些 UDM 名词,提醒图表中会使用以下字段:

  • artifact.ip
  • asset.asset_id
  • asset.hostname
  • asset.ip
  • asset.mac
  • asset.product_object_id
  • asset_id
  • domain.name
  • file.md5
  • file.sha1
  • file.sha256
  • hostname
  • ip
  • mac
  • process.file.md5
  • process.file.sha1
  • process.file.sha256
  • resource.name
  • url
  • user.email_addresses
  • user.employee_id
  • user.product_object_id
  • user.userid
  • user.windows_sid

上文中 UDM 字段列表中的值还会关联到提醒情境子标签页中的 UDM 搜索。如需了解详情,请参阅查看有关提醒的上下文

在以下 YARA-L 规则中,如果在短时间段(1 小时)内停用了大量 Google Cloud 服务 API,系统会生成提醒。

rule gcp_multiple_service_apis_disabled {

  meta:
    author = "Google Cloud Security"
    description = "Detect when multiple Google Cloud Service APIs are disabled in a short period of time."
    severity = "High"
    priority = "High"

  events:
    $gcp.metadata.event_type = "USER_RESOURCE_UPDATE_CONTENT"
    $gcp.metadata.log_type = "GCP_CLOUDAUDIT"
    $gcp.metadata.product_event_type = "google.api.serviceusage.v1.ServiceUsage.DisableService"
    $gcp.security_result.action = "ALLOW"
    $gcp.target.application = "serviceusage.googleapis.com"
    $gcp.principal.user.userid = $userid

  match:
    $userid over 1h

  outcome:
    $risk_score = max(75)
    $network_http_user_agent = array_distinct($gcp.network.http.user_agent)
    $principal_ip = array_distinct($gcp.principal.ip)
    $principal_user_id = array_distinct($gcp.principal.user.userid)
    $principal_user_display_name = array_distinct($gcp.principal.user.user_display_name)
    $target_resource_name = array_distinct($gcp.target.resource.name)
    $dc_target_resource_name = count_distinct($gcp.target.resource.name)

  condition:
    $gcp and $dc_target_resource_name > 5
}

生成提醒后,您可以导航到提醒图表页面 从而获得有关警报的更多背景信息,并展开进一步调查。

您可以通过 Alerts and IOC 页面或 UDM 搜索页面。

通过“提醒”和“IOC”访问提醒图表

提醒和入侵指标 (IOC) 页面上,您可以过滤出 查看目前影响您企业的所有提醒和 IOC。接收者 要了解有关此页的详情以及如何查看 IOC 匹配项,请访问查看提醒和 IOC

如需在“提醒和 IOC”页面中查看有关提醒的更多信息,请完成以下步骤:

  1. 在导航栏中,依次点击检测 > 提醒和入侵检测对象
  2. 在提醒表格中找到您要调查的提醒。
  3. 在相应提醒的行中,点击“名称”列中的文本,以打开提醒图表
  1. 在导航栏顶部,选择搜索
  2. 使用搜索管理器加载搜索或创建新搜索。了解详情 如何在 UDM 中的 UDM 中执行搜索 搜索
    1. 系统会显示三个标签页:概览实体提醒。点击 提醒
  3. 点击要调查的提醒。此时会显示提醒查看器。
  4. 点击查看详细信息以打开提醒视图。
  5. 点击 Graph 标签页以显示提醒图表。

查看提醒的详细信息

在提醒视图中,概览标签页会显示以下信息和 提醒内容:

  • 提醒详细信息:提醒状态、创建日期、严重程度、优先级和风险 得分。
  • 检测摘要:生成提醒的检测规则。您可以查看同一检测规则的其他提醒。
  • 事件:与此提醒相关联的事件。

除了查看重要信息外,您还可以调整提醒状态。

更改提醒状态

  1. 点击右上角的更改提醒状态
  2. 在随即显示的窗口中,相应地更新严重程度和优先级。
  3. 点击保存

关闭提醒

  1. 点击关闭提醒
  2. 在显示的窗口中,您可以选择留下备注以添加更多备注 有关您关闭提醒的原因的背景信息。
  3. 输入您的信息,然后按 Save(保存)。

查看实体关系

图表会显示不同提醒和实体之间的关联方式。本次 功能为您提供了一个直观的交互式图表, 有关现有实体的关系信息,以显示未知实体 关系。您还可以扩大搜索范围,延长时间范围并展开过去的某个时间点提醒,以获得更丰富的提醒路径。

您还可以点击右上角的 + 图标扩大搜索范围。 任意节点的手。这样一来,系统就会显示与该实体相关的所有节点。

图表图标

不同的实体由不同的图标表示。

图标 图标表示的实体 说明
用户 用户是指请求访问您网络中信息并使用这些信息的个人或其他实体。示例:janedoe、cloudysanfrancisco@gmail.com
数据库 资源 资源是对具有自己唯一资源名称的实体的泛称。示例:BigQuery 表、数据库和项目。
IP 地址
广告内容描述 文件
域名
网址
device_unknown 未知实体类型 Google 安全运营团队的软件无法识别的实体类型。
记忆 素材资源 资产是指为贵组织创造价值的任何东西。这可能包括主机名、MAC 地址和内部 IP 地址。示例:10.120.89.92(内部 IP 地址)、00:53:00:4a:56:07(MAC 地址)

如果两个或多个提醒来自同一规则,则会显示在一个群组图标中。表示同一实体的指标会合并为一项图标。

如需详细了解每种图标,请参阅以下文档:

点击提醒图表后,图表会显示提醒前后 12 小时内的所有结果。如果提醒没有实体,则图表中只会显示原始提醒。

主要提醒会以红色圆圈突出显示。提醒与实体相关联 以实线显示,以虚线显示其他提醒。如果您将指针悬停在边(连接两个节点的线)上,系统会显示将其与图表上的节点连接起来的结果变量或匹配变量。

在左侧有代表各节点的卡片,这些卡片包含了 检测窗口、严重性和优先级状态等。

图表正上方有一个标签为图表选项的按钮。点击图表选项后,系统会显示两个选项:未发出提醒的检测风险评分。这两项功能在默认情况下均处于开启状态,您可以根据自己的偏好开启或关闭它们。

要移动节点,只需围绕图表拖动节点即可。松开节点后,它会固定在您离开的位置,直到您点击刷新

添加和移除节点

如果您点击某个节点,屏幕底部会显示一个表格。您可以在每个节点上执行以下操作:

提醒

  • 查看相关实体、提醒和事件
  • 查看提醒的结果和匹配项
  • 移除任何子图
  • 通过勾选“在图表中”列中的复选框,在图表中添加或移除相关实体和提醒

实体

  • 查看所有相关提醒
  • 移除任何子图
  • 通过勾选或取消勾选“在图表中”列中的复选框,在图表中添加或移除相关提醒

群组

  • 查看构成该组的所有实体或提醒
  • 点击底部表格上的 On Graph,将单个节点取消分组 页面。

如需为节点添加或移除风险信号,请勾选或取消勾选表格上方的风险信号复选框。

展开提醒图表

如需查看更多相关节点,请点击提醒底部的 + 图标。通过 与所选图标相关的实体和提醒弹出式窗口中。每条新提醒都会在侧边显示一张卡片,其中包含更多详细信息。

重置图表

如果您想清空图表,可以在右侧调整时间范围 窗口。最大范围为 90 天。重置时间范围也会将图表重置为原始状态。更新时间范围会清除图表中的所有其他节点,并将图表重置为原始状态。

如需将节点移回默认位置,请点击刷新

查看关于提醒的上下文

Alert context 部分包含一系列值,这些值提供有关提醒的其他背景信息。

提醒上下文包含一个类型列,让您了解规则的哪个部分 “结果”或“匹配”。下一个列称为“变量”。这些变量名称基于规则中定义的匹配变量和结果变量的名称。最后,最右一列 UDM 字段。列出了 UDM 字段的变量也会在列中建立关联。

除了开始前须知部分中列出的 UDM 字段外,以下 UDM 字段也与 UDM 搜索页面相关联:

  • file.full_path
  • process.command_line
  • process.file.full_path
  • process.parent_process.product_specific_process_id
  • process.pid
  • process.product_specific_process_id
  • resource.product_object_id

与这些字段关联的特定 UDM 名词包括 principaltargetsrcobserverintermediaryabout ,了解所有最新动态。如果 点击某个值后,UDM search 被触发,传递 值以及过去一天的时间范围。

开始之前部分中介绍的 YARA-L 规则示例中,以下 UDM 字段将与 UDM 搜索页面相关联:

  • principal.ip
  • principal.user.userid
  • principal.user.user_display_name
  • target.resource.name

查看提醒记录

提醒历史记录标签页中,您可以查看针对此提醒执行的所有操作的完整历史记录。其中包括:

  • 首次出现警报的时间
  • 您的团队中其他成员针对这条提醒留下的备注
  • 如果严重程度已发生变化
  • 如果优先级已更改
  • 如果提醒已关闭

Google Security Operations SOAR 发送的提醒

来自 Google Security Operations SOAR 的提醒包含有关 Google Security Operations SOAR 案例。这些提醒还提供了用于打开案例的链接 Google Security Operations SOAR 中的工具。如需了解详情,请参阅 Google Security Operations SOAR 支持请求概览

Google Security Operations SOAR 支持请求的提醒

Google Security Operations SOAR 支持请求的提醒