调查提醒

提醒与安全系统识别为威胁的数据相关联。 通过调查提醒,您可以了解相应提醒及相关实体的背景信息。

点击提醒后,您将转到包含提醒详细信息的页面,该页面按照以下三个标签进行区分:

  • 概览:提供关于提醒的重要详细信息的摘要。 包括提醒状态和检测窗口。
  • 图表:直观呈现 YARA-L 规则生成的提醒。它 提供了提醒与其他实体关系的图表。当 提醒被触发时,与提醒关联的实体将显示在 图表和屏幕左侧,每张卡片都有一张卡片。提醒 图表在 UDM 事件中使用以下实体: principaltargetsrcobserverintermediaryabout ,了解所有最新动态。
  • 提醒记录:列出了相应提醒发生的所有更改, 包括提醒状态发生变化或已添加备注的情况。

图表下方直观呈现实体与 以下三个子标签,可提供有关该提醒的更多背景信息:

  • 事件:包含与提醒相关的事件的详细信息。
  • 实体:包含与提醒关联的每个实体的详细信息。
  • 提醒上下文:提供有关 提醒。

准备工作

要填充提醒图表,您需要创建一个 YARA-L 规则生成提醒。通过 提醒图的质量与 YARA-L 内置的上下文密切相关 规则。规则的结果部分 为规则触发的检测提供背景信息。

我们建议您添加以下 UDM 将名词添加到 结果部分,因为它们在提醒图表中使用: principaltargetsrcobserverintermediaryabout ,了解所有最新动态。对于这些 UDM 名词,提醒图表中使用以下字段:

  • artifact.ip
  • asset.asset_id
  • asset.hostname
  • asset.ip
  • asset.mac
  • asset.product_object_id
  • asset_id
  • domain.name
  • file.md5
  • file.sha1
  • file.sha256
  • hostname
  • ip
  • mac
  • process.file.md5
  • process.file.sha1
  • process.file.sha256
  • resource.name
  • url
  • user.email_addresses
  • user.employee_id
  • user.product_object_id
  • user.userid
  • user.windows_sid

上述 UDM 字段的值列表也会从提醒上下文子标签页中链接到 UDM 搜索。如需了解详情,请参阅查看提醒的相关背景信息

在以下 YARA-L 规则中,当大量 Google Cloud 服务 API 在短时间(1 小时)内遭到停用时,系统会生成提醒。

rule gcp_multiple_service_apis_disabled {

  meta:
    author = "Google Cloud Security"
    description = "Detect when multiple Google Cloud Service APIs are disabled in a short period of time."
    severity = "High"
    priority = "High"

  events:
    $gcp.metadata.event_type = "USER_RESOURCE_UPDATE_CONTENT"
    $gcp.metadata.log_type = "GCP_CLOUDAUDIT"
    $gcp.metadata.product_event_type = "google.api.serviceusage.v1.ServiceUsage.DisableService"
    $gcp.security_result.action = "ALLOW"
    $gcp.target.application = "serviceusage.googleapis.com"
    $gcp.principal.user.userid = $userid

  match:
    $userid over 1h

  outcome:
    $risk_score = max(75)
    $network_http_user_agent = array_distinct($gcp.network.http.user_agent)
    $principal_ip = array_distinct($gcp.principal.ip)
    $principal_user_id = array_distinct($gcp.principal.user.userid)
    $principal_user_display_name = array_distinct($gcp.principal.user.user_display_name)
    $target_resource_name = array_distinct($gcp.target.resource.name)
    $dc_target_resource_name = count_distinct($gcp.target.resource.name)

  condition:
    $gcp and $dc_target_resource_name > 5
}

生成提醒后,您可以导航到提醒图表页面 从而获得有关警报的更多背景信息,并展开进一步调查。

您可以通过 Alerts and IOC 页面或 UDM 搜索页面。

通过“提醒”和“IOC”访问提醒图表

提醒和入侵指标 (IOC) 页面上,您可以过滤出 查看目前影响您企业的所有提醒和 IOC。接收者 要了解有关此页的详情以及如何查看 IOC 匹配项,请访问查看提醒和 IOC

要在“提醒和 IOC”页面中查看有关某条提醒的详细信息,请完成 执行下列步骤:

  1. 在导航栏中,点击检测 >提醒和 IOC
  2. 在提醒表格中找到您要调查的提醒。
  3. 在该提醒所在的行中,点击名称列中的文字以打开提醒 图表
  1. 在导航栏顶部,选择搜索
  2. 使用搜索管理器加载搜索或创建新搜索。了解详情 如何在 UDM 中的 UDM 中执行搜索 搜索
    1. 系统会显示三个标签:概览实体提醒。 点击 提醒
  3. 点击您要调查的提醒。此时会显示提醒查看器。
  4. 点击查看详细信息以打开提醒视图。
  5. 点击 Graph 标签页以显示提醒图表。

查看提醒的详细信息

在提醒视图中,概览标签页会显示以下信息和 提醒内容:

  • 提醒详细信息:提醒状态、创建日期、严重程度、优先级和风险 得分。
  • 检测摘要:生成提醒的检测规则。您可以查看 同一检测规则中的其他提醒。
  • 事件:与此提醒相关联的事件。

除了查看重要信息外,您还可以调整提醒状态。

更改提醒状态

  1. 点击右上角的更改提醒状态
  2. 在显示的窗口中,更新严重性和优先级 。
  3. 点击保存

关闭提醒

  1. 点击关闭提醒
  2. 在显示的窗口中,您可以选择留下备注以添加更多备注 有关您关闭提醒的原因的背景信息。
  3. 输入您的信息,然后按保存

查看实体关系

图表显示了不同提醒与实体之间的关联。这个 功能为您提供了一个直观的交互式图表, 有关现有实体的关系信息,以显示未知实体 关系。您还可以通过延长时间范围和 扩展过去的时间点提醒,以获取更丰富的提醒路径。

您还可以点击右上角的 + 图标扩大搜索范围。 任意节点的手。执行此操作会显示与该实体相关的所有节点。

图表图标

不同的实体由不同的图标表示。

图标 图标所代表的实体 说明
用户 用户是请求访问您的广告联盟并使用其中的信息的个人或其他实体。示例:janedoe、cloudysanfrancisco@gmail.com
数据库 资源 资源是具有自己唯一资源名称的实体的通用术语。示例:BigQuery 表、数据库和项目。
IP 地址
广告内容描述 文件
域名
网址
device_unknown 未知实体类型 Google Security Operations 软件无法识别的实体类型。
记忆 素材资源 资产是指为贵组织创造价值的任何东西。这可能包括主机名、MAC 地址和内部 IP 地址。示例:10.120.89.92(内部 IP 地址)、00:53:00:4a:56:07(MAC 地址)

如果两条或更多提醒来自同一条规则,则它们会被组合到一个 群组图标。同一实体的多个指标会合并为一个指标 图标。

如需详细了解每个图标,请查看以下文档:

当您点击提醒图表后,图表会显示 12 小时之前 以及 。如果提醒没有实体,则仅发送原始提醒 。

主要提醒会以红色圆圈突出显示。提醒与实体相关联 以实线显示,以虚线显示其他提醒。如果您按住指针 看到结果变量 或 match 变量,将其与图表上的节点相关联。

在左侧有代表各节点的卡片,这些卡片包含了 检测窗口、严重性和优先级状态等。

图表正上方有一个标记为图表选项的按钮。点击 图表选项,将出现两个选项:非警报检测风险 得分。默认情况下,这两项功能均处于开启状态,您可以根据自身情况开启或关闭。 您的偏好设置。

要移动节点,只需围绕图表拖动节点即可。当您发布 该节点会固定在您离开它的位置,直到您点击 Refresh 为止。

添加和移除节点

如果您点击某个节点,屏幕底部会显示一个表格。您可以使用 并在每个节点上执行以下操作:

提醒

  • 查看相关实体、提醒和事件
  • 查看提醒的结果和匹配项
  • 移除任何子图
  • 通过选中相应复选框,在图表中添加或移除相关实体和提醒 在“图表上”列中

实体

  • 查看所有相关提醒
  • 移除任何子图
  • 通过选中或取消选中相应复选框,在图表中添加或移除相关提醒 在“图表上”列中

群组

  • 查看构成该组的所有实体或提醒
  • 点击底部表格上的 On Graph,将单个节点取消分组 页面。

如需在节点中添加或移除风险得分,请选中或取消选中风险 得分框中。

展开提醒图表

要查看更多相关节点,请点击提醒底部的 + 图标。通过 与所选图标相关的实体和提醒弹出式窗口中。每个新提醒都有 显示更多详细信息的卡片

重置图表

如果您想清除图表,可以在右侧调整时间范围 窗口。最大范围为 90 天。重置时间范围也会重置 恢复为原始状态。更新时间范围会清除图表 并将图表重置为原始状态。

如需将节点移回默认位置,请点击刷新

查看关于提醒的上下文

Alert context 部分包含一系列值,这些值提供有关提醒的其他背景信息。

提醒上下文包含一个类型列,让您了解规则的哪个部分 “结果”或“匹配”。下一列是 称为 Variable。这些变量名称基于匹配项的名称 和结果变量。最后,最右一列 UDM 字段。列有 UDM 字段的变量也在 列。

除了准备工作部分中列出的 UDM 字段之外,以下 UDM 字段也与 UDM 搜索页面相关联:

  • file.full_path
  • process.command_line
  • process.file.full_path
  • process.parent_process.product_specific_process_id
  • process.pid
  • process.product_specific_process_id
  • resource.product_object_id

与这些字段关联的特定 UDM 名词包括 principaltargetsrcobserverintermediaryabout ,了解所有最新动态。如果 点击某个值后,UDM search 被触发,传递 值以及过去一天的时间范围。

准备工作部分提供的示例 YARA-L 规则中,以下 UDM 字段将关联到 UDM 搜索页面:

  • principal.ip
  • principal.user.userid
  • principal.user.user_display_name
  • target.resource.name

查看提醒记录

提醒历史记录标签页中,您可以查看所有操作的完整历史记录 具体事件数其中包括:

  • 首次出现警报的时间
  • 您的团队中其他成员针对这条提醒留下的备注
  • 如果严重程度发生变化
  • 如果优先级已更改
  • 提醒是否关闭

来自 Google Security Operations SOAR 的提醒

来自 Google Security Operations SOAR 的提醒包含有关 Google Security Operations SOAR 案例。这些提醒还提供了用于打开案例的链接 Google Security Operations SOAR 中的工具。有关详情,请参阅 Google Security Operations SOAR 案例 概览

针对 Google Security Operations SOAR 案例的提醒

Google Security Operations SOAR 支持请求提醒