调查提醒
提醒与安全系统识别为威胁的数据相关联。调查提醒可让您了解提醒及其相关实体的背景信息。
点击某个提醒后,您会进入一个页面,其中包含按以下三个标签页分类的提醒详情:
- 概览:提供有关提醒的重要详细信息摘要,包括提醒状态和检测时间范围。
- 图表:可视化根据 YARA-L 规则生成的提醒。它会提供一个图表,显示提醒与其他实体的关系。触发提醒后,与提醒关联的实体会显示在图表和屏幕左侧,每个实体都有自己的卡片。提醒图表会在 UDM 事件中使用以下实体:
principal、target、src、observer、intermediary和about。 - 提醒历史记录:列出此提醒发生的所有更改,包括提醒状态发生变化或添加备注的时间。
在可直观呈现实体与提醒之间关系的图表下方,有以下三个子标签页,可提供有关提醒的更多背景信息:
- 事件:包含与提醒相关的事件的详细信息。
- 实体:包含与提醒关联的每个实体的详细信息。
- 提醒上下文:提供有关提醒的其他背景信息。
准备工作
如需填充提醒图表,您需要创建用于生成提醒的 YARA-L 规则。提醒图的质量与内置于 YARA-L 规则中的上下文相关联。规则的结果部分会为规则触发的检测提供上下文。
我们建议将以下 UDM 名词添加到“结果”部分,因为它们会在提醒图表中使用:principal、target、src、observer、intermediary 和 about。对于这些 UDM 名词,提醒图表中会使用以下字段:
artifact.ipasset.asset_idasset.hostnameasset.ipasset.macasset.product_object_idasset_iddomain.namefile.md5file.sha1file.sha256hostnameipmacprocess.file.md5process.file.sha1process.file.sha256resource.nameurluser.email_addressesuser.employee_iduser.product_object_iduser.useriduser.windows_sid
上文中 UDM 字段列表中的值还会关联到提醒情境子标签页中的 UDM 搜索。如需了解详情,请参阅查看有关提醒的上下文。
在以下 YARA-L 规则中,如果在短时间范围内(1 小时) Google Cloud 停用了大量服务 API,系统就会生成提醒。
rule gcp_multiple_service_apis_disabled {
meta:
author = "Google Cloud Security"
description = "Detect when multiple Google Cloud Service APIs are disabled in a short period of time."
severity = "High"
priority = "High"
events:
$gcp.metadata.event_type = "USER_RESOURCE_UPDATE_CONTENT"
$gcp.metadata.log_type = "GCP_CLOUDAUDIT"
$gcp.metadata.product_event_type = "google.api.serviceusage.v1.ServiceUsage.DisableService"
$gcp.security_result.action = "ALLOW"
$gcp.target.application = "serviceusage.googleapis.com"
$gcp.principal.user.userid = $userid
match:
$userid over 1h
outcome:
$risk_score = max(75)
$network_http_user_agent = array_distinct($gcp.network.http.user_agent)
$principal_ip = array_distinct($gcp.principal.ip)
$principal_user_id = array_distinct($gcp.principal.user.userid)
$principal_user_display_name = array_distinct($gcp.principal.user.user_display_name)
$target_resource_name = array_distinct($gcp.target.resource.name)
$dc_target_resource_name = count_distinct($gcp.target.resource.name)
condition:
$gcp and $dc_target_resource_name > 5
}
生成提醒后,您可以前往提醒图表页面,获取有关提醒的更多背景信息,并进一步调查提醒。
前往“提醒”图表
您可以通过提醒和入侵检测对象页面或 UDM 搜索页面访问图表。
通过“提醒和 IOC”页面访问“提醒”图表
在提醒和失陷指标 (IOC) 页面中,您可以过滤和查看目前影响贵企业的所有提醒和 IOC。如需详细了解此页面以及如何查看 IOC 匹配情况,请参阅查看提醒和 IOC。
如需在“提醒和 IOC”页面中查看有关提醒的更多信息,请完成以下步骤:
- 在导航栏中,依次点击检测 > 提醒和入侵检测对象。
- 在提醒表格中找到要调查的提醒。
- 在相应提醒的行中,点击“名称”列中的文本,以打开提醒图表。
通过 UDM 搜索访问提醒图表
- 在导航栏顶部,选择搜索。
- 使用搜索管理器加载搜索,或创建新的搜索。如需详细了解如何在 UDM 中执行搜索,请参阅 UDM 搜索。
- 系统会显示三个标签页:概览、实体和提醒。点击提醒。
- 点击要调查的提醒。系统随即会显示提醒查看器。
- 点击查看详情以打开“提醒”视图。
- 点击图表标签页以显示提醒图表。
查看提醒的详细信息
在“提醒”视图中,概览标签页会显示有关提醒的以下信息:
- 提醒详情:提醒状态、创建日期、严重程度、优先级和风险评分。
- 检测摘要:生成提醒的检测规则。您可以查看同一检测规则的其他提醒。
- 事件:与此提醒关联的事件。
除了查看重要信息外,您还可以调整提醒状态。
更改提醒状态
- 点击右上角的更改提醒状态。
- 在随即显示的窗口中,相应地更新严重程度和优先级。
- 点击保存。
关闭提醒
- 点击关闭提醒。
- 在随即显示的窗口中,您可以选择留下备注,以便提供有关您关闭提醒原因的更多背景信息。
- 输入您的信息,然后按 Save(保存)。
查看实体关系
图表会显示不同提醒和实体之间的关联情况。此功能可为您提供直观的交互式图表,您可以使用该图表展开有关现有实体的关系信息,以显示未知的关系。您还可以扩大搜索范围,延长时间范围并展开过去的某个时间点提醒,以获得更丰富的提醒路径。
您还可以点击任意节点右上角的 + 图标来扩大搜索范围。这样一来,系统就会显示与该实体相关的所有节点。
图表图标
不同的实体由不同的图标表示。
| 图标 | 图标所代表的实体 | 说明 |
| 用户 | 用户是指请求访问您网络中信息并使用这些信息的个人或其他实体。示例:janedoe、cloudysanfrancisco@gmail.com | |
| 数据库 | 资源 | 资源是对具有自己唯一资源名称的实体的泛称。示例:BigQuery 表、数据库和项目。 |
| IP 地址 | ||
| description | 文件 | |
| 域名 | ||
| 网址 | ||
| device_unknown | 未知实体类型 | Google 安全运营团队的软件无法识别的实体类型。 |
| 内存 | 资产 | 资产是指能为贵组织创造价值的任何内容。这可能包括主机名、MAC 地址和内部 IP 地址。示例:10.120.89.92(内部 IP 地址)、00:53:00:4a:56:07(MAC 地址) |
如果两个或多个提醒来自同一规则,则会显示在一个群组图标中。表示同一实体的指标会合并为一项图标。
如需详细了解每种图标,请参阅以下文档:
浏览提醒图表
点击提醒图表后,图表会显示提醒前后 12 小时内的所有结果。如果提醒没有实体,则图表中只会显示原始提醒。
主提醒会以红色圆圈突出显示。提醒与实体相连的线条为实线,其他提醒与实体相连的线条为虚线。如果您将指针悬停在边(连接两个节点的线)上,系统会显示将其与图表上的节点相关联的结果变量或匹配变量。
左侧显示了每个节点的卡片,其中包含与之关联的规则、检测时间范围、严重程度和优先级状态等详细信息。
图表正上方有一个标签为图表选项的按钮。点击图表选项后,系统会显示两个选项:未发出提醒的检测和风险评分。这两项功能在默认情况下均处于开启状态,您可以根据自己的偏好开启或关闭它们。
如需移动节点,只需在图表中拖动节点即可。松开节点后,它会固定在您离开的位置,直到您点击刷新。
添加和移除节点
如果您点击某个节点,屏幕底部会显示一个表格。您可以在每个节点上执行以下操作:
提醒
- 查看相关实体、提醒和事件
- 查看提醒中的结果和匹配项
- 移除任何子图
- 勾选“在图表中”列中的复选框,即可在图表中添加或移除相关实体和提醒
实体
- 查看所有相关提醒
- 移除任何子图
- 通过勾选或取消勾选“在图表中”列中的复选框,在图表中添加或移除相关提醒
群组
- 查看构成该组的所有实体或提醒
- 点击页面底部表格中的在图表中,取消分组各个节点。
如需为节点添加或移除风险信号,请勾选或取消勾选表格上方的风险信号复选框。
展开提醒图表
如需查看更多相关节点,请点击提醒底部的 + 图标。系统会弹出与您所选图标相关的实体和提醒。每条新提醒都会在侧边显示一张卡片,其中包含更多详细信息。
重置图表
如果您想清除图表,可以调整右侧窗口中的时间范围。最长范围为 90 天。重置时间范围也会将图表重置为原始状态。更新时间范围会清除图表中的所有其他节点,并将图表重置为原始状态。
如需将节点移回默认位置,请点击刷新。
查看与提醒相关的上下文
提醒上下文部分包含一系列值,可提供有关提醒的其他上下文。
提醒情境中有一个类型列,用于指明规则的哪个部分生成了您选择的提醒:结果还是匹配。下一个列称为“变量”。这些变量名称基于规则中定义的匹配变量和结果变量的名称。最后,最右侧的列是 UDM 字段。列出了 UDM 字段的变量也会在值列中建立关联。
除了开始前须知部分中列出的 UDM 字段外,以下 UDM 字段也与 UDM 搜索页面相关联:
file.full_pathprocess.command_lineprocess.file.full_pathprocess.parent_process.product_specific_process_idprocess.pidprocess.product_specific_process_idresource.product_object_id
与这些字段关联的具体 UDM 名词包括 principal、target、src、observer、intermediary 和 about。如果您点击某个值,系统会触发 UDM 搜索,并将该值以及过去一天的时间范围传递给您。
在开始之前部分中介绍的 YARA-L 规则示例中,以下 UDM 字段将与 UDM 搜索页面相关联:
principal.ipprincipal.user.useridprincipal.user.user_display_nametarget.resource.name
查看提醒记录
在提醒历史记录标签页中,您可以查看针对此提醒执行的所有操作的完整历史记录。其中包括:
- 提醒首次出现的时间
- 您的团队成员针对此提醒留下的任何备注
- 如果严重程度已发生变化
- 如果优先级已更改
- 如果提醒已关闭
来自 Google Security Operations SOAR 的提醒
Google Security Operations SOAR 发送的提醒包含有关 Google Security Operations SOAR 支持请求的更多信息。这些提醒还提供了在 Google Security Operations SOAR 中打开支持请求的链接。如需了解详情,请参阅 Google Security Operations SOAR 支持请求概览。
Google Security Operations SOAR 支持请求的提醒
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。