Google SecOps 在发布说明里把 siemAlertId 收回给 Chronicle SIEM 内部告警 ID。生效后,用户自己塞进这个字段的数据会被系统覆盖。这个改动不大,却很容易让 SOC 里的告警串联断掉。
字段名冲突会变成数据丢失
安全日志管道里,很多团队喜欢把上游告警号原样带进来。EDR 有自己的 alert id,云厂商有自己的 finding id,工单系统也会有 case id。为了省事,有人会把这些值塞进看起来顺手的字段名。
siemAlertId 被平台保留后,这种省事会出问题。自定义值被覆盖,查询还能跑,规则也未必报错,但分析师点开事件时找不到原始告警号。更麻烦的是,静默丢字段通常不会触发红色失败,大家会以为管道很健康。
受影响的不止 API
Google 的说明把范围写得很宽,Ingestion API、webhook、第一方连接器和第三方连接器都会受影响。也就是说,不能只查一段自研推送代码。托管连接器、SOAR 集成、历史迁移脚本和临时导入工具都要过一遍。
优易云给客户做 SIEM 接入时,会把字段流向画成一张表。上游字段、接入方式、解析器、UDM 字段、检测规则、看板、告警模板,每一列都要能对上。字段保留变更出来后,靠肉眼翻配置很慢,最好直接跑一次配置仓库和解析器全文搜索。
先保原始 ID,再改检测规则
迁移时不要急着删旧字段。更稳的做法是新增一个明确的字段名,比如 vendorAlertId、sourceAlertId 或 productAlertId,把上游 ID 复制过去。等新字段进入解析、搜索、规则和看板,再下线旧写法。
检测规则要跟着改。很多关联规则会把告警 ID 当作去重键或合并键,SOAR 剧本也可能用它回查原厂控制台。字段名换了,去重窗口、case 合并和回查链接都要测。这里漏一步,分析师看到的就是重复告警,或者一个事件被拆成好几个 case。
回放样本比看配置可靠
建议准备一组带上游告警号的样本日志,走完整接入路径回放。回放后检查三件事,原始 ID 有没有保住,内部 siemAlertId 有没有由平台生成,原来的查询和检测规则能不能用新字段命中。
这一步别只在开发环境跑。生产租户的连接器、数据处理管道和解析器版本可能不同,托管服务也可能比测试环境早变更。可以选低风险数据源开一条灰度路径,确认字段稳定后再批量改。
监控要盯字段覆盖
字段迁移完成后,给日志管道加两个轻量检查。一个看新字段的非空率,另一个抽样比对原始载荷和 UDM 事件。非空率突然掉下来,说明上游格式或解析器又变了。原始载荷里有值,UDM 里没有值,问题多半在映射。
如果团队已经使用数据处理管道做过滤、变换或脱敏,也要把 siemAlertId 从自定义写入路径里拿掉。保留字段不要再写,连临时脚本也别写。SOC 工具链最怕这种半迁移状态,白天看着正常,夜里值就被覆盖了。
优易云的落地建议
安全运营团队可以把这次变更当成一次字段治理演练。列出所有接入方式,搜索 siemAlertId,给上游告警号换一个不会撞平台保留名的字段,回放样本,更新检测规则和剧本,再加非空率监控。
日志管道不怕字段多,怕字段没人认领。每个用于关联、去重、回查和审计的字段,都要有 owner、来源和变更记录。以后平台再保留某个字段,团队至少知道该从哪里下手。