调查
本文仅适用于 安全数据湖 安全 功能特性 安全数据湖 属于 安全数据湖 集中式日志管理平台,需单独授权许可。请联系 安全数据湖 销售 团队获取该产品详情。
安全数据湖 安全调查功能为分析师提供实时快速收集分析数据的解决方案,无需耗费数小时筛选日志即可全面掌握问题或威胁的完整上下文。
通过 安全数据湖 调查功能,您可以:
-
基于时间线、数据集、事件及告警创建调查
-
将事件与调查关联
-
在统一视图中查看分组关联的数据点
-
创建并复用调查以节省时间精力
-
快速缩小结果范围
-
通过共享、分配和通知功能实现多用户协同调查
工作原理
调查本质上是 安全数据湖 内仪表盘、日志、搜索和事件(统称"证据")的集合体,所有内容均集中归组。您可以新建、更新、删除或归档调查。
调查页面设有三个主菜单:
-
进行中: 显示所有未结调查
-
已归档: 显示所有归档调查
-
配置: 管理优先级和状态设置的配置选项
默认优先级与状态
在 配置 选项卡中,您可为新调查指定默认优先级和状态。将鼠标悬停在任意优先级或状态 编辑 按钮左侧时,会出现一个 设为默认 按钮。点击该按钮后,创建新调查时将自动采用该优先级或状态作为默认选项。
创建新调查
以下说明详细介绍了如何通过 安全数据湖 手动创建新调查。若需根据已定义事件的警报自动生成新调查,请参阅 相关文档 .
-
在 安全数据湖 中,点击 安全数据湖 徽标处的下拉菜单并选择 安全 。此时界面将切换至安全布局,所有安全相关内容均集中于此。从顶部菜单中选择 调查 。
-
在 调查 页面点击 新建调查 按钮,将弹出窗口提示填写新调查的详细信息:
-
名称: 为新调查输入唯一名称。
-
分配给: 选择可分配该调查的其他用户或团队,也可直接分配给自己。(注意:仅具有 管理员 , 调查管理员 或 调查查阅者 角色才能被分配至调查任务。)
-
优先级: 默认设有四种优先级类型:低、中、高和紧急。但您可通过 配置 选项卡(位于 调查 页面)修改优先级设置,包括创建新优先级类型、调整优先级排序及按需删除。
-
状态: 默认包含四种状态:开放、调查中、已关闭和误报。您同样可通过调查页面的 配置 选项卡编辑状态设置,支持创建新状态类型或删除现有状态。
-
备注: 此处可收集与调查相关的想法、思路和笔记以便团队共享。
-
-
填写详细信息后点击 确认 即可创建新调查。新建调查将显示在 调查 页面,您可随时在数据浏览过程中为其添加证据。
为调查添加证据
创建新调查后,下一步是添加证据。您可将仪表板、日志、已保存搜索和事件(包括异常检测生成的事件)作为证据实体添加。
本节详述手动添加证据的方法;但您也可选择基于定义事件生成的警报自动向现有调查添加证据。相关流程详见 调查与警报 .
已保存搜索
您可通过点击搜索栏右侧省略号图标,选择添加到当前调查或其他现有调查,从而将 已保存的搜索 作为调查证据,可直接从保存的搜索中添加,方法是点击搜索栏右侧的省略号图标,并选择添加到当前调查或其他现有调查。
注意
保存搜索时可以选择绝对时间范围和相对时间范围。详见 相对时间范围章节 以获取更多详情。
仪表板
仪表板 有助于可视化数据并理解随时间变化的趋势,这对任何调查都可能有参考价值。您可以直接从 仪表板 页面添加仪表板作为证据,方法是点击 更多 下拉操作按钮,并选择添加到当前调查或其他调查。
请注意,与小部件中的已保存搜索一样,可以显示绝对时间范围和相对时间范围。详见 相对时间范围章节 以获取更多详情。
日志
单个日志通常可作为调查的关键原始数据。任何相关日志均可通过点击搜索结果,并从 调查 子菜单中选择添加到当前调查或其他调查,直接添加为证据。
事件
警报和事件 通常是调查中最重要的证据。例如,如果触发了多次失败登录尝试的警报,您可以直接从 安全事件 下的 事件 > 警报 .
注意
您配置的异常检测器触发的事件也可作为证据添加。
根据您的 索引轮换与归档 配置,较早的日志和事件可能会从调查中移除。为确保调查所附证据在源数据消失后仍可访问,我们创建了两个 数据流 :
-
所有调查事件 :此数据流包含所有调查中的全部调查事件。
-
所有调查消息 :此数据流包含所有调查中的全部调查消息。
所有添加的日志和事件证据都会在这些数据流中备份保存。
将资产与调查关联
检索单个调查时,关联资产会从日志和事件证据中提取。这些资产通过
associated_assets
字段随调查结果返回。
在时间线上查看调查
调查时间线功能可展示调查中的关键事件和消息,提供按时间排序的记录以追踪进展和发现。要查看时间线上的调查详情,请切换至 时间线 视图(位于每个调查详情页)。
该视图可帮助您直观理解告警环境。例如,您可以选择查看过去一周的事件以了解持续调查的情况。可自由调整时间范围:扩大以观察更长时间跨度,或缩小以聚焦特定时段。要放大时间线中的证据,请点击并拖动光标标记时段。点击右上角的 重置范围 按钮可恢复默认时间范围。
时间线会显示所有与调查相关的消息和事件。每个圆点代表一张证据卡片。点击圆点时,相关卡片会高亮显示。可筛选时间线显示的证据类型(消息/事件/全部)。当某时段存在多条证据时,圆点颜色会加深。高亮圆点表示 事件卡片正在视图中 .
时间线下方的证据卡片包含作为证据添加到调查中的日志消息和事件详情。点击卡片右上角的下拉箭头可查看所选数据的详细信息,包括消息或事件字段值等内容。
证据卡片提供事件的 搜索重放 功能,可查看与该搜索相关的所有消息。对于消息证据卡片,可点击 固定链接 以调出详细消息视图。
点击 显示相似项 可展示具有相似字段的消息和事件。点击 重置 可清除此筛选条件,该按钮位于时间线组件右上角。
将检测链事件添加至调查
作为 安全数据湖 集成化威胁调查功能的一部分,您可直接将检测链中的事件添加至活跃调查。这有助于关联相关发现、保留上下文信息并加速事件分类与响应。
通过选择检测链中触发规则关联的事件,您还能构建反映完整可疑活动序列的证据集,例如横向移动、命令行执行或权限提升。
将检测链事件作为证据添加至调查的步骤:
-
选择带有检测链标签的关联事件。
-
点击检测链标题。
-
点击 将事件添加至调查 (右侧蓝色按钮)。
-
在弹出窗口中,选择现有调查或创建新调查。
添加后,这些事件将出现在关联调查时间线中,您可将其与事件过程、关联资产等其他证据进行关联分析。
分配调查任务
向调查添加证据后,可将其分配给其他用户或团队。分配操作可在创建新调查时执行,也可通过编辑现有调查完成。您还可通过 分配给 下拉菜单将调查分配给自己。
启用调查分配邮件提醒
可为调查配置邮件提醒功能,该功能在现有安装中默认启用。禁用方法:
-
前往 配置 标签页(位于 调查 页面)。
-
定位到 启用调查分配邮件通知 胶囊按钮并切换以禁用此设置。
启用后,电子邮件提醒将发送给参与调查的用户和分配团队。这些提醒在分配后立即触发。
注意
此功能要求
transport_email_server
配置设置(
server.conf
)已正确配置,以允许您的
安全数据湖
实例发送电子邮件。如果这些参数未正确配置,邮件将无法发送。
更新调查状态
假设您已完成调查并准备关闭调查。在您的 调查 页面:
-
点击所需调查右侧的省略号。
-
点击 编辑 .
-
点击调查标题右侧的省略号。
-
点击 编辑 .
-
选择 已关闭 以更新模态框中的状态选择。
这将结束一个开放的调查。然而,已关闭的调查仍可编辑,并可分配给用户或团队。
要完全关闭调查,使其无法访问,您必须归档调查:
-
点击所选调查右侧的垂直省略号。
-
从弹出的下拉菜单选项中,选择 归档 .
此操作会将调查从 开放 标签页移至 已归档 标签页。此时您无法对已归档的调查进行任何编辑。
如果调查被误归档:
-
点击 已归档 标签页中调查右侧的省略号。
-
选择 恢复 .
您还可以通过从 已归档 标签页勾选需要恢复的调查复选框,然后点击 批量操作 按钮下拉菜单,并选择 恢复 来批量恢复已归档调查。这将把已归档调查恢复到 开放 标签页。
执行批量操作
您可以在 调查 菜单中执行批量归档、分配和删除任务。
要执行批量操作,请导航至 调查 页面,通过勾选复选框选择调查项,然后点击 批量操作 下拉菜单以分配、归档或删除多个调查。
AI撰写调查报告
调查功能包含AI驱动的报告生成功能,可分析提交的事件和日志以生成详细报告,包括关键发现和推荐的防御措施。要生成AI报告,调查必须包含至少三条日志,且您的 安全数据湖 环境需能访问公共互联网。
警告
该报告功能会将部分日志和数据传送至第三方AI服务。该服务不由 安全数据湖 直接管理或控制。启用此功能前,请仔细阅读 安全数据湖 !
创建新AI报告的步骤:
-
进入 安全数据湖 安全界面,选择 调查 标签页。
-
找到需要总结的调查项,点击 AI报告 。(注意:仅当调查附有三条及以上日志时该按钮才会激活。)若为首次生成报告,系统将提示您阅读该功能的条款和条件。
-
请仔细阅读免责声明,并决定是否按说明使用该功能。
-
继续操作后,调查报告将显示在结果窗口中供您审阅。您可以通过选择 复制报告 来复制报告文本,或选择 下载报告 .
角色
安全数据湖 包含 两种角色 用于调查相关的用户权限:
-
调查管理员 :拥有此角色可完全控制调查。
-
调查查阅员 :拥有此角色仅可查看调查。
警告
请检查您的 权限设置 以确保用户和团队具备调查所需的访问权限及证据实体的附加权限。例如,若调查包含仪表盘作为证据,即使协作者有权查看/编辑调查本身,若无仪表盘查看权限,仍无法查看或向仪表盘添加内容。
确定相对时间或绝对时间范围
搜索常使用相对时间线(如“过去一小时内的所有记录”)。因此,当您决定将已保存搜索作为调查证据时, 安全数据湖 会提示您选择将记录时间转换为绝对时间或保持相对搜索。选择转换为相对时间后,系统将复制您的已保存搜索,保留绝对时间参数,并将该搜索标记为 绝对时间 。您可根据需要灵活选用两种搜索模式。
在调查备注中使用Markdown
调查备注配备定制化Markdown编辑器。该编辑器支持标题、项目符号、表格、编号列表、代码片段和超链接等功能,大幅提升笔记的结构化与格式化体验。
Markdown编辑器预览功能可显示最终渲染效果,便于您在保存前修正错误与格式偏差。
调查与告警
您可将事件定义关联的告警与 安全数据湖 的调查模块绑定,从而在触发告警时基于告警创建新调查,或将证据添加至现有调查。此工作流通过 事件定义 菜单配置。有关事件及定义事件定义的更多信息,请参阅 事件与事件定义文档 .
从警报通知创建新调查
若要在事件触发时生成新调查,需先创建事件定义。事件定义包含一组条件,满足条件时将触发警报。用户随后可通过 安全数据湖 支持的多种通知类型(如Slack、MS Teams、电子邮件及其他警报选项)接收该警报通知。
-
前往 安全数据湖 中的 警报 .
-
点击 事件定义 子菜单选项卡。
-
在结果页面右上角点击 创建事件定义按钮。
-
此时可根据需要创建新事件定义。
-
在通知对话框中点击 添加通知 按钮,并从下拉选项中选择 创建新通知 。有关 安全数据湖 通知的更多详情,请参阅对应文档。
-
为通知填写标题和描述,并从 通知类型 下拉选项中选择 创建调查通知 选项。
-
勾选"为每个警报创建新调查"复选框。
-
勾选复选框后将出现提示信息,请阅读并确认以继续。
警告
为每个触发的警报生成调查极易导致调查列表数量激增,请谨慎操作。
为管理自动生成的调查,您可在事件条件对话框中指定搜索与执行时间。例如,可为"搜索最近"和"执行搜索间隔"字段设置时间间隔(如每30分钟或每小时),从而限制警报触发时自动创建的调查数量。您还可根据需求灵活自定义事件上限。
此外,您可选择禁用事件定义的自动执行功能,并在需要时通过 事件定义 页面手动启用。
-
通过以下字段完成流程:
-
分配调查给: 新调查的指定处理人。
-
调查优先级: 新调查的优先级(严重、高、中或低)。
-
调查状态: 从下拉菜单中选择可用选项以设置新调查状态。
-
-
点击 执行测试通知 按钮可测试通知功能,随后选择 完成 或下一步进入摘要对话框。
-
该 摘要 对话框显示所有输入配置的概览。点击页面右下角的 创建事件定义 按钮,即完成为此事件定义触发的每个警报创建新调查的流程。
此后每当满足事件定义的条件时,将触发警报并自动创建新调查。
您创建的事件定义现已启用,可通过 事件定义 页面进行管理,如同从警报生成的调查会被添加至您的调查列表。
将所有警报添加至现有调查
您还可配置 安全数据湖 ,在事件警报触发时将事件作为证据添加至现有调查。通过此方式,您无需为每个警报单独创建调查,即可将事件无缝整合至进行中的调查中。
-
导航至 警报 标签页(位于 安全数据湖 .
-
点击 事件定义 子菜单标签。
-
在结果页面的右上角,点击 创建事件定义按钮。
-
此时您可按需创建新的事件定义。
-
在 通知 对话框中,点击 添加通知 按钮并选择 创建新通知 (从弹出的下拉选项中)。关于 安全数据湖 通知的更多细节,请参阅对应文档。
-
请 勿 勾选 为每个警报创建新调查 复选框。
-
为通知填写标题和描述后,从 通知类型 下拉选项中选择 创建调查通知 选项。随后将出现以下调查配置选项。
-
调查 :选择您想要添加证据的调查。
-
分配调查给: 任何新调查的负责人。
-
调查优先级: 新调查的优先级(严重、高、中或低)。
-
调查状态: 通过从下拉菜单中选择可用选项,为新调查分配状态。
-
-
您可以通过点击 执行测试通知 按钮并选择 完成 或 下一步 来测试通知,然后继续到摘要对话框。
-
该 摘要 对话框提供了所有输入配置的摘要。点击页面右下角的 创建事件定义 按钮,这将完成将事件作为证据添加到现有调查的流程。