調查快訊
快訊與安全系統判定為威脅的資料有關。 調查快訊可讓您瞭解快訊和相關實體的背景資訊。
按一下快訊後,系統會將您帶往快訊詳細資料頁面,當中包含下列三個分頁標籤:
- 總覽:提供快訊重要詳細資料的摘要,包括快訊狀態和偵測時間範圍。
- 圖表:以視覺化方式呈現 YARA-L 規則產生的快訊。並提供警報與其他實體的關係圖。觸發快訊時,與快訊相關聯的實體會顯示在圖表和畫面左側,每個實體都有自己的資訊卡。警示圖表會在 UDM 事件中使用下列實體:
principal、target、src、observer、intermediary和about。 - 快訊記錄:列出這則快訊的所有變更,包括快訊狀態變更或新增附註的時間。
在顯示實體與快訊之間關係的圖表下方,有下列三個子分頁,提供快訊的更多背景資訊:
- 事件:包含與快訊相關事件的詳細資料。
- 實體:包含與快訊相關聯的每個實體詳細資料。
- 快訊背景資訊:提供快訊的額外背景資訊。
事前準備
如要填入快訊圖表,您需要建立 YARA-L 規則來產生快訊。快訊圖表的品質與 YARA-L 規則內建的環境相關。規則的結果部分會提供規則觸發的偵測項目相關背景資訊。
建議在結果部分新增下列 UDM 名詞,因為這些名詞會用於快訊圖表:principal、target、src、observer、intermediary 和 about。對於這些 UDM 名詞,警示圖表會使用下列欄位:
artifact.ipasset.asset_idasset.hostnameasset.ipasset.macasset.product_object_idasset_iddomain.namefile.md5file.sha1file.sha256hostnameipmacprocess.file.md5process.file.sha1process.file.sha256resource.nameurluser.email_addressesuser.employee_iduser.product_object_iduser.useriduser.windows_sid
前述 UDM 欄位清單中的值也會連結至「快訊內容」子分頁中的 UDM 搜尋。詳情請參閱「查看快訊相關情境」。
在下列 YARA-L 規則中,如果短時間 (1 小時) 內停用大量 Google Cloud 服務 API,系統就會產生快訊。
rule gcp_multiple_service_apis_disabled {
meta:
author = "Google Cloud Security"
description = "Detect when multiple Google Cloud Service APIs are disabled in a short period of time."
severity = "High"
priority = "High"
events:
$gcp.metadata.event_type = "USER_RESOURCE_UPDATE_CONTENT"
$gcp.metadata.log_type = "GCP_CLOUDAUDIT"
$gcp.metadata.product_event_type = "google.api.serviceusage.v1.ServiceUsage.DisableService"
$gcp.security_result.action = "ALLOW"
$gcp.target.application = "serviceusage.googleapis.com"
$gcp.principal.user.userid = $userid
match:
$userid over 1h
outcome:
$risk_score = max(75)
$network_http_user_agent = array_distinct($gcp.network.http.user_agent)
$principal_ip = array_distinct($gcp.principal.ip)
$principal_user_id = array_distinct($gcp.principal.user.userid)
$principal_user_display_name = array_distinct($gcp.principal.user.user_display_name)
$target_resource_name = array_distinct($gcp.target.resource.name)
$dc_target_resource_name = count_distinct($gcp.target.resource.name)
condition:
$gcp and $dc_target_resource_name > 5
}
系統產生快訊後,您可以前往「快訊圖表」頁面,取得快訊的更多背景資訊,並進一步調查。
前往「快訊」圖表
您可以從「快訊和 IOC」頁面或「UDM 搜尋」頁面存取「圖表」。
從「快訊與 IOC」存取快訊圖表
您可以在「快訊和入侵指標 (IOC)」頁面中,篩選及查看目前影響企業的所有快訊和 IOC。如要進一步瞭解這個頁面和如何查看 IOC 比對結果,請參閱「查看快訊和 IOC」。
如要在「快訊和 IOC」頁面中查看快訊的詳細資訊,請完成下列步驟:
- 在導覽列中,依序點選「偵測」>「快訊和 IOC」。
- 在「警報」表格中找出要調查的警報。
- 在該警報的資料列中,按一下名稱欄中的文字,開啟「警報圖表」。
從 UDM 搜尋存取快訊圖表
- 選取導覽列頂端的「搜尋」。
- 使用搜尋管理工具載入搜尋,或建立新的搜尋。進一步瞭解如何使用 UDM 搜尋功能在 UDM 中執行搜尋。
- 系統會顯示「總覽」、「實體」和「快訊」三個分頁。 按一下「快訊」。
- 按一下要調查的快訊,系統會顯示快訊檢視器。
- 按一下「查看詳細資料」開啟快訊檢視畫面。
- 按一下「圖表」分頁標籤,顯示快訊圖表。
查看快訊詳細資料
在「快訊」檢視畫面中,「總覽」分頁會顯示下列快訊相關資訊:
- 快訊詳細資料:快訊狀態、建立日期、嚴重程度、優先順序和風險分數。
- 偵測摘要:產生快訊的偵測規則。您可以查看相同偵測規則的其他快訊。
- 事件:與這項快訊相關聯的事件。
輸入:詳細說明產生快訊的資料來源。內容會因下列快訊類型而異。
標準偵測:顯示觸發規則的事件和相關聯的實體。
複合式偵測:顯示事件、實體,以及做為規則輸入內容的基礎偵測。
如果符合下列情況,快訊就是複合式偵測:
「輸入」欄會顯示「偵測」做為來源。
「偵測類型」欄會顯示「警示」或「偵測」標籤,旁邊會顯示數字 (例如
Alert (3))。
這表示偵測結果或一連串的偵測結果觸發了快訊,而非單純的原始事件或實體。
您可以使用下列功能,在「偵測」表格中查看及分析這些基礎偵測結果:
展開資料列,即可查看巢狀偵測結果、相關事件資料和實體資訊。
使用欄管理工具選取及排列表格中的欄,即可自訂檢視畫面。
除了查看重要資訊,您也可以調整快訊狀態。
變更快訊狀態
- 按一下右上角的「變更快訊狀態」。
- 在隨即顯示的視窗中,視情況更新嚴重程度和優先順序。
- 按一下 [儲存]。
關閉快訊
- 按一下「關閉快訊」。
- 在隨即開啟的視窗中,您可以選擇留下附註,進一步說明關閉快訊的原因。
- 輸入資訊,然後按下「儲存」。
查看實體關係
「圖表」會顯示不同快訊和實體之間的關聯。這項功能提供互動式圖表,方便您展開現有實體的關係資訊,找出未知的關係。您也可以增加時間範圍,並擴大過去時間點的快照警報,取得更豐富的警報路徑。
你也可以點選任何節點右上方的「+」圖示,擴大搜尋範圍。這樣做會顯示與該實體相關的所有節點。
圖表圖示
不同實體會以不同圖示表示。
| 圖示 | 圖示代表的實體 | 說明 |
| 使用者 | 使用者是指要求存取及使用您網路資訊的人或其他實體。範例:janedoe、cloudysanfrancisco@gmail.com | |
| 資料庫 | 資源 | 資源是實體的通用名稱,每個實體都有自己的專屬資源名稱。例如:BigQuery 資料表、資料庫和專案。 |
| IP 位址 | ||
| 說明 | 檔案 | |
| 網域名稱 | ||
| 網址 | ||
| device_unknown | 不明實體類型 | Google SecOps 軟體無法辨識的實體類型。 |
| 記憶體 | 資產 | 資產是指能為貴機構創造價值的任何事物。包括主機名稱、MAC 位址和內部 IP 位址。範例:10.120.89.92 (內部 IP 位址)、00:53:00:4a:56:07 (MAC 位址) |
如果多個快訊來自同一項規則,系統會將這些快訊歸類在群組圖示中。代表相同實體的指標會整合成一個圖示。
如要進一步瞭解各個圖示,請參閱下列文件:
瀏覽快訊圖表
按一下「快訊圖表」,圖表就會顯示快訊前後 12 小時的所有結果。如果快訊沒有實體,圖表上只會顯示原始快訊。
主要快訊會以紅圈標示。實體會以實線連結至警報,其他警報則以虛線連結。如果將指標懸停在邊緣 (連接兩個節點的線條) 上,系統會顯示結果變數或比對變數,將指標連結至圖表上的節點。
左側會顯示每個節點的資訊卡,當中包含相關規則、偵測時間範圍、嚴重程度和優先順序狀態等詳細資料。
圖表正上方有一個標示為「圖表選項」的按鈕。按一下「圖表選項」,會顯示「非警示偵測」和「風險評分」兩個選項。這兩項設定預設為開啟,你可以根據個人偏好開啟或關閉。
如要移動節點,只要在圖表上拖曳節點即可。放開節點後,節點會固定在您放置的位置,直到您點選「重新整理」為止。
新增及移除節點
按一下節點,畫面底部就會顯示表格。您可以在每個節點上執行下列動作:
快訊
- 查看相關實體、警示和事件
- 查看快訊的結果和相符項目
- 移除任何子圖
- 勾選「在圖表上」欄中的方塊,即可在圖表中新增或移除相關實體和快訊
實體
- 查看所有相關快訊
- 移除任何子圖
- 在「圖表上」欄中勾選或取消勾選方塊,即可在圖表中新增或移除相關快訊
群組
- 查看構成該群組的所有實體或快訊
- 如要取消個別節點的分組,請按一下頁面底部的表格中的「On Graph」(在圖表上)。
如要新增或移除節點的風險評分,請勾選或取消勾選表格上方的「風險評分」方塊。
展開快訊圖表
如要查看更多相關節點,請按一下警示底部的「+」圖示。系統會彈出與所選圖示相關的實體和快訊。每個新快訊在側邊都有資訊卡,提供更多詳細資料。
重設圖表
如要清除圖表,請調整右側視窗中的時間範圍。最長可達 90 天。重設時間範圍也會將圖表還原為原始狀態。更新時間範圍會清除圖表中的所有額外節點,並將圖表重設為原始狀態。
如要將節點移回預設位置,請按一下「重新整理」。
查看快訊相關情境
「快訊內容」部分會列出提供快訊額外內容的值。
快訊內容含有「類型」欄,可顯示所選快訊是由規則的哪個部分 (結果或相符項目) 產生。下一個資料欄稱為「變數」。這些變數名稱是根據規則中定義的相符和結果變數名稱而來。最後,最右側的資料欄是「UDM 欄位」。如果變數列出 UDM 欄位,也會連結至「值」欄。
除了「開始前」一節列出的 UDM 欄位外,下列 UDM 欄位也會連結至「UDM 搜尋」頁面:
file.full_pathprocess.command_lineprocess.file.full_pathprocess.parent_process.product_specific_process_idprocess.pidprocess.product_specific_process_idresource.product_object_id
與這些欄位相關聯的特定 UDM 名詞為 principal、target、src、observer、intermediary 和 about。如果點選值,系統會觸發 UDM 搜尋,並傳遞該值和前一天的時間範圍。
在「開始前」一節的 YARA-L 規則範例中,下列 UDM 欄位會連結至「UDM 搜尋」頁面:
principal.ipprincipal.user.useridprincipal.user.user_display_nametarget.resource.name
查看快訊記錄
您可以在「快訊記錄」分頁中,查看這項快訊的所有動作記錄。包括:
- 首次出現快訊的時間
- 團隊成員針對這項快訊留下的任何附註
- 如果嚴重程度有所變更
- 如果優先順序已變更
- 如果警示已關閉
Google Security Operations SOAR 的快訊
Google Security Operations SOAR 警報會提供 Google Security Operations SOAR 案件的額外資訊。這些快訊也會提供連結,方便您在 Google Security Operations SOAR 中開啟案件。詳情請參閱 Google Security Operations SOAR 案件總覽。
Google Security Operations SOAR 案件的快訊
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。