Esta página se ha traducido con Cloud Translation API.

Configurar la asignación y asignar familias visuales

Disponible en:

SecOps de Google SOAR

La función Configuración de eventos te permite asignar familias visuales a los eventos, lo que proporciona una visualización gráfica de sus relaciones con otras acciones. Este proceso asegura que los eventos se clasifiquen correctamente y contengan información precisa y completa.

La configuración de eventos incluye las siguientes funciones:

Visualización: asigna una familia a un evento. Esta familia actúa como un mapa visual de relaciones y entidades, lo que te ofrece la mejor explicación gráfica de lo que ha ocurrido. La familia asignada aparece en la pantalla Explorar casos.
Asignación: edita o añade información de campos específicos para corregir errores o rellenar los datos que faltan.

Acceder a la página Configuración de eventos

Para acceder a la página Configuración de eventos, haz una de las siguientes acciones:

Selecciona un caso de la cola de casos, ve a la pestaña Eventos de la alerta y haz clic en Configuración Configurar.
En Configuración > Ontología > Estado de la ontología, haga clic en configuración Configurar.

Asignar una familia de modelos

La familia de modelos proporciona una visualización gráfica de la relación entre todos los eventos y las acciones que tienen lugar.

En la página Visualización, puede asignar el evento, el producto o la fuente a una familia específica. Esta familia visual aparece en la página Explorar.

Puede asignar una familia de modelo en tres niveles:

Nivel de origen: el nivel superior. La familia asignada aquí se hereda de todos los productos y eventos de esa fuente.
Nivel de producto: el segundo nivel. La familia asignada aquí se hereda de todos los eventos de ese producto.
Nivel de evento: el nivel del suelo.

La familia de modelos se hereda del elemento superior. Si asigna una familia a nivel de fuente, el producto y el evento heredarán la familia de modelos del nivel de fuente. Puedes editar los campos asignados en cada nivel para anular los ajustes de la unidad organizativa superior.

Asignación y precedencia de familias visuales

Cuando se ingiere un evento, el sistema empieza buscando reglas de asignación en el nivel más específico (el nivel event) y va subiendo. Esta lógica de herencia asegura la integridad al obtener las reglas de la cadena: event > product > vendor. Sin embargo, la familia visual (esquema) asignada al evento siempre actúa como validador final, determinando qué entidades son realmente válidas para esos datos.

En los siguientes casos prácticos se muestra cómo funciona esta jerarquía:

Caso práctico 1: Herencia de asignación correcta

Si no se define una asignación para la entidad SourceIp en el nivel event, el sistema comprueba automáticamente el siguiente nivel (el nivel product) para encontrar esa asignación. Si está ahí, la regla se ha aplicado correctamente a los datos de eventos.

Caso práctico 2: conflicto de esquemas y error de entidad

Si FileName se asigna a nivel de product, el sistema hereda esta regla. Sin embargo, si la familia visual asignada al evento no tiene el campo de entidad necesario para FileName en su esquema, la creación de la entidad falla.

La familia visual del nivel más bajo (nivel event) actúa como validador de esquema final. Si una asignación heredada hace referencia a una entidad que no admite la familia visual del evento, esa validación bloquea la creación de la entidad.

Google Security Operations proporciona 24 familias de modelos estándar y puedes crear más según sea necesario. Para obtener más información, consulta Asignar relaciones de eventos de seguridad con familias visuales.

Para asignar una familia de modelos, sigue estos pasos:

En la página Configuración de eventos, haga clic en Visualización.
Selecciona la familia de modelos que más se parezca a la relación entre los eventos y las acciones que se producen en esta situación.
En el cuadro de diálogo Confirmación, haz clic en Sí para confirmar la asignación.

Gestionar un campo específico de un evento

En la página Mapeado puede gestionar la información de los campos específicos de un evento. Muestra los campos que pertenecen a la familia de modelos asignada.

Por ejemplo, si se ingiere un evento y ves que falta información o que es incorrecta, haz lo siguiente:

En la pestaña Alerts Events (Eventos de alertas), haz clic en settings (ajustes) Configure (Configurar) y comprueba que se ha asignado a la familia visual correcta.
Ve a la página Asignación para editar o añadir información de campos específicos.

Puedes realizar varias acciones en estos campos:

Haz clic en more_vert Más al final de cada fila.
Haz clic en Editar Editar campo.
En el cuadro de diálogo Asignar campo de destino, introduzca el nombre del campo de evento que quiera extraer y haga clic en Guardar.

Campos editables

Haga doble clic en la entidad para editar los siguientes campos:

Campo	Descripción
Campo extraído	Nombre del campo principal del campo de evento sin procesar del que se va a obtener la información. Consejo: Usa `Contains` o `Starts with` para dividir los datos en entidades independientes. Esto resulta útil para varios campos, como `url_1` y `url_2`, para crear varias entidades.
Campo alternativo 1	Campo alternativo del campo de evento sin procesar del que se tomará la información si no se encuentra el campo principal.
Campo alternativo 2	Campo de respaldo del campo de evento sin procesar del que se tomará la información si no se encuentran los campos principal y secundario.
Función de extracción	Extrae o manipula datos del campo de evento sin procesar, incluidas estas tres opciones: Ninguno: los datos sin procesar se presentan tal cual. Delimitador: se puede definir con un carácter (o hasta 64 caracteres) para dividir los datos en entidades independientes. El valor predeterminado es Delimitador = , (coma). Expresión regular: usa una expresión regular para dividir los datos en entidades independientes.
Función de transformación	Transforma la información de la fuente de datos para que sea compatible con la base de datos. Las funciones disponibles son las siguientes: `TO_STRING` `FROM_UNIXTIME_STRING_OR_LONG` `FROM_CUSTOM_DATETIME` `EXTRACT_BY_REGEX` `TO_IP_ADDRESS` Una vez que hayas elegido la función, añade el parámetro adecuado. Por ejemplo, selecciona `FROM_CUSTOM_DATETIME` y cambia el formato de la fecha y la hora a `%Y-%m-%DT%H:%M:%S`. Nota: La función de transformación se aplica después de la función de extracción. Si la función de extracción crea varias entidades, aplicará la transformación a cada una de ellas por separado.

Puedes extraer datos de un campo de origen y asignarlos a diferentes campos de destino. Por ejemplo, si un campo de origen tiene un nombre de host y una dirección IP, puedes separarlos con expresiones regulares.

Mostrar resultados después de la asignación

Para ver los valores después del proceso de asignación, haga clic en more_vert Más > Mostrar resultado.

Añadir datos de enriquecimiento

Varios SIEMs incluyen datos de enriquecimiento como parte del proceso de ingestión inicial. Para añadir datos de enriquecimiento, sigue estos pasos:

Selecciona more_vert Más > database_upload Añadir enriquecimiento.
Elige los valores de enriquecimiento que quieras añadir a la entidad.
Haz clic en Guardar. La próxima vez que esta entidad se ingiera en la plataforma como parte de la alerta, haga clic en Ver detalles y este campo de enriquecimiento aparecerá en el encabezado Enriquecimiento sin procesar del panel lateral.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.