调查
本文仅适用于 安全数据湖 安全 功能特性。 安全数据湖 安全隶属于 安全数据湖 集中式日志管理平台且需单独授权。请联系 安全数据湖 销售 团队获取产品详情。
安全数据湖 安全调查功能为分析师提供实时快速收集分析数据的解决方案,无需耗费数小时筛选日志即可全面掌握问题或威胁的完整上下文。
通过 安全数据湖 的调查功能,您可以:
-
基于时间线、数据集、事件和警报创建调查
-
将事件与调查关联
-
在统一视图中查看分组整理的关联数据点
-
创建并复用调查以节省时间精力
-
快速缩小结果范围
-
通过共享、分配和通知协作者实现多人协同调查
工作原理
调查本质上是 安全数据湖 中仪表板、日志、搜索和事件(统称为"证据")的集合体,所有内容均集中归组。您可以新建、更新、删除或归档调查。
调查页面设有三个主菜单:
-
进行中: 显示所有未结调查
-
已归档: 显示所有归档调查
-
配置: 管理优先级和状态设置的配置选项
默认优先级与状态
在 配置 标签页中,您可为新调查设定默认优先级和状态。将鼠标悬停在任意优先级或状态的 编辑 按钮左侧,会出现 设为默认 按钮。点击此按钮可将该优先级或状态设为创建新调查时的默认选项。
创建新调查
以下说明详细介绍了如何通过 安全数据湖 手动创建新调查。若需根据已定义事件的警报自动生成新调查,请参阅 相关文档 .
-
在 安全数据湖 中,点击 安全数据湖 徽标处的下拉菜单并选择 安全 。此时界面将切换至安全布局,所有安全相关内容均集中于此。从顶部菜单中选择 调查 。
-
在 调查 页面点击 新建调查 按钮,将弹出窗口提示填写新调查的详细信息:
-
名称: 为新调查输入唯一名称。
-
分配给: 选择可分配该新调查的其他用户或团队,亦可分配给自己。(注意:仅具有 管理员 , 调查管理员 或 调查读者 角色可被分配至调查任务中。)
-
优先级: 默认设有四种优先级类型:低、中、高、严重。但您可通过 配置 标签页(位于 调查 页面)修改优先级设置。可创建新优先级类型、调整优先级排序,或按需删除。
-
状态: 默认设有四种状态:开放、调查中、已关闭、误报。同样可通过 配置 标签页(位于调查页面)编辑状态设置。可创建新状态类型或删除现有状态。
-
备注: 此处可收集与调查相关的想法、思路和笔记,以便与他人共享。
-
-
填写详细信息后点击 确认 以创建新调查。新建调查将显示在 调查 页面,您可在浏览数据时开始为其添加证据。
为调查添加证据
创建新调查后,下一步是添加证据。可将仪表板、日志、已保存搜索和事件(包括异常检测生成的事件)作为证据实体添加。
本节详述如何手动添加证据;但您也可选择根据已定义事件创建的警报,自动向现有调查添加证据。相关流程详情请参阅 调查与警报 .
已保存搜索
可通过点击搜索栏右侧省略号图标,选择添加到当前调查或其他现有调查,直接将 已保存搜索 作为证据添加至调查。
注意
保存搜索时可选择绝对时间范围或相对时间范围。详见 相对时间范围章节 了解更多详情。
仪表板
仪表板 有助于可视化数据并理解随时间变化的趋势,这对任何调查都可能有帮助。您可以直接从 仪表板 页面通过点击 更多 下拉操作按钮并选择添加到当前调查或其他调查,将仪表板作为证据直接添加。
请注意,与保存的搜索一样,小部件中可能会显示绝对时间范围和相对时间范围。参见 相对时间范围部分 了解更多详情。
日志
单个日志通常可以作为调查的关键源数据。通过点击搜索结果并从 调查 子菜单中,可以选择添加到当前调查或其他调查,从而将任何相关日志直接添加为证据。
事件
警报和事件 通常是调查中最重要的证据。例如,如果触发了多次失败登录尝试的警报,您可以直接从 安全事件 下的 事件 > 警报 .
注意
由您配置的异常检测器触发的事件也可以作为证据添加。
根据您的 索引轮换和归档 配置,较旧的日志和事件可能会从调查中移除。为了确保即使源数据消失后,调查中附加的证据仍然可用,我们创建了两个 流 :
-
所有调查事件 :该数据流包含所有调查中的所有调查事件。
-
所有调查消息 :该数据流包含所有调查中的所有调查消息。
添加的任何日志和事件证据都会在这些数据流中复制以保留。
将资产与调查关联
关联资产是在检索单个调查时从日志和事件证据中提取的。这些资产会通过
associated_assets
字段随调查结果一同返回。
在时间线上查看调查
调查时间线功能可显示构成调查的关键事件和消息。它提供按时间顺序排列的记录以跟踪进展和发现。要在时间线上查看调查详情,请切换到每个单独调查页面上的 时间线 视图。
该视图可帮助您直观了解警报环境。例如,您可以选择查看过去一周发生的事件,以深入了解正在进行的调查。您可以扩大或缩小时间范围以聚焦特定时段。要放大时间线中的任何证据,请点击并拖动光标标记时段。点击右上角的 重置范围 按钮可重置时间线范围。
时间线上会显示与调查相关的所有消息和事件。每个圆点代表一张证据卡片。点击圆点时,相关卡片会高亮显示。您可以过滤时间线中显示的证据,仅展示消息、事件或两者。当某时段存在多个相关证据时,圆点颜色会加深。高亮圆点表示 事件卡片正在视图中 .
时间线下方的证据卡片包含作为证据添加到调查中的日志消息和事件详情。点击每张卡片右上角的下拉箭头可查看所选数据的详细信息。这些卡片会显示消息或事件字段值等细节。
证据卡片为事件提供 重播搜索 功能。该功能可显示与搜索相关的所有消息。对于消息证据卡片,您可以点击 永久链接 查看详细消息视图。
点击 显示相似项 可展示具有相似字段的消息和事件。点击 重置 (位于时间线小部件右上角)。
将检测链事件添加到调查中
作为 安全数据湖 集成威胁调查功能的一部分,您可以直接从检测链中将事件添加到正在进行的调查中。这有助于关联相关发现、保留上下文信息,并加速事件分类与响应。
通过选择检测链中触发的规则关联事件,您还能构建反映完整可疑活动序列的证据集,例如横向移动、命令行执行或权限提升。
将检测链事件作为证据添加到调查的步骤:
-
选择与检测链关联的事件(带有检测链标签标识)。
-
点击检测链标题。
-
点击 将事件添加至调查 (右侧蓝色按钮)。
-
在弹出的模态窗口中,选择现有调查或创建新调查。
添加后,这些事件将出现在关联调查时间线中。您可将其与事件过程、关联资产等其他证据进行关联分析。
分配调查任务
向调查添加证据后,可将其分配给其他用户或团队。分配操作可在创建新调查时进行,也可通过编辑现有调查实现。您还可通过 分配给 下拉菜单将调查分配给自己。
启用调查分配邮件提醒
可为调查配置邮件提醒功能。现有安装默认启用该功能。禁用方法:
-
前往 配置 标签页(位于 调查 页面)。
-
找到 启用调查分配邮件通知 胶囊按钮并切换至禁用状态。
启用时,邮件提醒将同时发送给参与调查的用户及被分配团队。分配操作将立即触发提醒。
注意
此功能要求
transport_email_server
配置参数(
server.conf
)已正确设置,以确保您的
安全数据湖
实例能够发送邮件。若参数配置不当,邮件将无法发送。
更新调查状态
假设您已完成调查并准备结案。请通过 调查 页面:
-
点击目标调查右侧的省略号。
-
点击 编辑 .
-
点击调查标题右侧的省略号。
-
点击 编辑 .
-
选择 已关闭 以更新弹窗中的状态选项。
此操作将结束未结调查。但已关闭的调查仍可编辑,并可分配给用户或团队。
若要彻底关闭调查(使其不可访问),必须进行归档操作:
-
点击所选调查右侧的垂直省略号。
-
从弹出的下拉菜单中,选择 归档 .
此操作会将调查从 未结 选项卡移至 已归档 选项卡。此时您无法对已归档的调查进行任何编辑。
如果调查被错误归档:
-
在 已归档 选项卡中,点击调查右侧的省略号。
-
选择 恢复 .
您还可以通过从 已归档 选项卡中勾选要恢复的调查,然后点击 批量操作 按钮下拉菜单,并选择 恢复 来批量恢复已归档的调查。这将把已归档的调查恢复到 进行中 选项卡。
执行批量操作
您可以在 调查 菜单中执行批量归档、分配和删除任务。
要执行批量操作,请导航至 调查 页面,通过点击复选框选择调查,然后点击 批量操作 下拉菜单以分配、归档或删除多个调查。
通过AI撰写调查报告
调查包含AI驱动的报告功能,可分析提交的事件和日志以生成详细报告,包括关键发现和推荐的防御措施。要生成AI报告,调查必须包含至少三条日志,且您的 安全数据湖 环境必须能够访问公共互联网。
警告
该报告功能涉及将选定日志和数据传输至第三方AI服务。该服务并非由 安全数据湖 直接管理或控制。在启用该功能前,请仔细阅读 安全数据湖 !
创建新AI报告的步骤:
-
进入 安全数据湖 安全界面并选择 调查 标签页。
-
找到需要生成摘要的调查并点击 AI报告 。(注意:仅当调查附有至少三条日志时该按钮才会激活。)若为首次生成报告,系统将提示您阅读该功能的条款和条件。
-
请仔细阅读免责声明,并确定是否按说明使用该功能。
-
继续操作后,调查报告将显示在结果窗口中供您审阅。您可以通过选择 复制报告 来复制报告文本,或选择 下载报告 .
角色
安全数据湖 包含 两个角色 用于管理调查相关用户权限:
-
调查管理员 拥有此角色,您将完全掌控调查任务。
-
调查查阅者 拥有此角色,您仅具备调查的读取权限。
警告
请检查您的 权限设置 以确保用户和团队拥有调查所需的访问权限及证据实体的附加权限。例如,若某调查包含仪表盘作为证据,即使被分配者能查看/编辑该调查,若无仪表盘查看权限,仍无法查看或添加至该仪表盘。
确定相对时间或绝对时间范围
搜索通常使用相对时间线进行,例如“过去一小时内的所有内容”。鉴于此,当您决定将保存的搜索作为调查证据时, 安全数据湖 将提示您选择将记录时间转换为绝对时间或保持相对搜索。选择转换为相对时间会导致系统复制您保存的搜索,保留绝对时间参数,并将该保存的搜索标记为 绝对时间 。这使您可根据需要灵活选用任一搜索方式。
在调查笔记中使用Markdown
调查笔记配备定制Markdown编辑器。该编辑器通过支持标题、项目符号、表格、编号列表、代码片段及超链接等功能,显著提升笔记结构化与排版体验。
Markdown编辑器预览功能可让您查看最终呈现效果,便于在保存前修正错误与不一致之处。
调查与警报
您可将事件定义关联的警报与 安全数据湖 的调查模块绑定,从而在触发警报时基于警报创建新调查,或将证据添加至现有调查。该工作流通过 事件定义 菜单配置。有关事件及定义事件定义的更多信息,请参阅 事件与事件定义文档 .
从警报通知创建新调查
要在事件触发时自动生成新调查,需创建事件定义。事件定义包含满足条件即触发警报的规则。用户随后可通过 安全数据湖 支持的多种通知类型(如Slack、MS Teams、电子邮件及其他警报选项)接收该警报通知。
-
前往 警报 选项卡位于 安全数据湖 .
-
点击 事件定义 子菜单选项卡。
-
在结果页面的右角,点击 创建事件定义按钮。
-
您现在可以根据需要创建新的事件定义。
-
在通知对话框中,点击 添加通知 按钮并选择 创建新通知 从弹出的下拉选项中。有关 安全数据湖 通知的更多详细信息,请参阅相关文档。
-
为通知提供一个标题和描述,并从 创建调查通知 选项中选择 通知类型 下拉选项。
-
勾选“为每个警报创建新调查”的复选框选项。
-
点击复选框后,会出现一条提示消息。阅读提示并确认继续。
警告
为每个触发的警报生成调查可能会导致调查列表过多。请谨慎操作。
要管理自动生成的调查,您可以在事件条件对话框中指定搜索和执行运行时间。例如,您可以为“搜索最近”和“每执行搜索”字段指定时间间隔,如每30分钟或每1小时。这将限制警报触发时自动创建的调查数量。您还可以根据自己的偏好灵活自定义事件限制。
此外,您可以选择禁用事件定义的自动执行,并在必要时从 事件定义 页面手动启用它们。
-
通过以下字段完成流程:
-
分配调查给: 新调查的负责人。
-
调查优先级: 新调查的优先级(严重、高、中或低)。
-
调查状态: 从下拉菜单中选择可用选项,为新调查分配状态。
-
-
您可以通过点击 执行测试通知 按钮并选择 完成 或下一步来测试通知,进入摘要对话框。
-
该 摘要 对话框提供了所有输入配置的摘要。点击页面右下角的 创建事件定义 按钮,完成为此事件定义触发的每个警报创建新调查的流程。
现在,每当满足事件定义设置的条件时,就会触发警报,并自动创建一个新调查。
您创建的事件定义现已启用,并可以从 事件定义 页面进一步管理,就像从警报生成的任何调查都会添加到您的调查列表中一样。
将每个警报添加到现有调查
您还可以配置 安全数据湖 ,以便在触发该事件的警报时,将事件作为证据添加到现有调查中。这样,您可以将事件无缝集成到正在进行的调查中,而无需为每个警报创建单独的调查。
-
导航至 警报 选项卡,位于 安全数据湖 .
-
点击 事件定义 子菜单标签。
-
在结果页面的右上角,点击 创建事件定义按钮。
-
您现在可以根据需要创建新的事件定义。
-
在 通知 对话框中,点击 添加通知 按钮并选择 创建新通知 从弹出的下拉选项中。有关 安全数据湖 通知的更多详细信息,请参阅相应文档。
-
请 勿 勾选 为每个警报创建新调查 复选框。
-
为通知提供标题和描述,并从 创建调查通知 选项中选择 通知类型 下拉选项。随后将显示以下调查配置选项。
-
调查 :选择您想要添加证据的调查。
-
分配调查给: 新调查的负责人。
-
调查优先级: 新调查的优先级(严重、高、中或低)。
-
调查状态: 通过从下拉菜单中选择可用选项,为新调查分配状态。
-
-
您可以通过点击 执行测试通知 按钮并选择 完成 或 下一步 来进入摘要对话框。
-
该 摘要 对话框提供了所有输入配置的摘要。点击页面右下角的 创建事件定义 按钮,即完成将事件作为证据添加到现有调查的流程。