Zuordnung konfigurieren und visuelle Familien zuweisen

Unterstützt in:

Mit der Funktion Event Configuration (Ereigniskonfiguration) können Sie Ereignissen visuelle Familien zuweisen und so ihre Beziehungen zu anderen Aktionen grafisch darstellen. So wird sichergestellt, dass Ereignisse richtig kategorisiert werden und korrekte und vollständige Informationen enthalten.

Die Ereigniskonfiguration umfasst die folgenden Funktionen:

  • Visualisierung: Weisen Sie einem Ereignis eine Familie zu. Diese Familie dient als visuelle Karte von Beziehungen und Entitäten und bietet Ihnen die beste grafische Erklärung für das, was passiert ist. Die zugewiesene Familie wird auf dem Bildschirm Fälle ansehen angezeigt.
  • Zuordnung: Bearbeiten oder fügen Sie bestimmte Feldinformationen hinzu, um Fehler zu korrigieren oder fehlende Daten zu ergänzen.

Seite „Ereigniskonfiguration“ aufrufen

So rufen Sie die Seite Event Configuration (Ereigniskonfiguration) auf:

  • Wählen Sie einen Fall aus der Fallwarteschlange aus, rufen Sie den Tab Ereignisse der Benachrichtigung auf und klicken Sie auf die Einstellungen Konfigurieren.
  • Klicken Sie unter Einstellungen > Ontologie > Ontologiestatus auf die Einstellungen Konfigurieren.

Modellfamilie zuweisen

Die Modellfamilie bietet eine grafische Darstellung der Beziehung zwischen allen Ereignissen und Aktionen.

Auf der Seite Visualisierung weisen Sie das Ereignis, Produkt oder die Quelle einer bestimmten Familie zu. Diese visuelle Familie wird auf der Seite Entdecken angezeigt.

Sie können eine Modellfamilie auf drei Ebenen zuweisen:

  • Quellebene: Die oberste Ebene. Eine hier zugewiesene Familie wird von allen Produkten und Ereignissen in dieser Quelle übernommen.
  • Produktebene: Die zweite Ebene. Eine hier zugewiesene Familie wird von allen Ereignissen in diesem Produkt übernommen.
  • Ereignisebene: Das ist die Ebene, auf der sich das Ereignis befindet.

Die Modellfamilie wird vom übergeordneten Element übernommen. Wenn Sie eine Modellfamilie auf Quellebene zuweisen, erben das Produkt und das Ereignis die Modellfamilie von der Quellebene. Sie können die zugeordneten Felder auf jeder Ebene bearbeiten, um die übergeordneten Einstellungen zu überschreiben.

Vorrang von Zuordnungen und visuellen Elementen

Wenn ein Ereignis erfasst wird, sucht das System zuerst nach Zuordnungsregeln auf der spezifischsten Ebene (der event-Ebene) und arbeitet sich dann nach oben vor. Diese Übernahmelogik sorgt für Vollständigkeit, indem Regeln in der Kette nach oben verschoben werden: event > product > vendor. Die der Veranstaltung zugewiesene visuelle Familie (Schema) fungiert jedoch immer als endgültiger Validator, der bestimmt, welche Einheiten für diese Daten tatsächlich gültig sind.

Die folgenden Anwendungsfälle veranschaulichen die Funktionsweise dieser Hierarchie:

Anwendungsfall 1: Erfolgreiche Übernahme der Zuordnung

Wenn keine Zuordnung für die SourceIp-Einheit auf der event-Ebene definiert ist, sucht das System automatisch auf der nächsten Ebene (der product-Ebene) nach dieser Zuordnung. Wenn sie vorhanden ist, wurde die Regel erfolgreich auf Ihre Ereignisdaten angewendet.

Anwendungsfall 2: Schemakonflikt und Fehler bei der Entität

Wenn FileName auf product-Ebene zugeordnet ist, wird diese Regel vom System übernommen. Wenn die der Veranstaltung zugewiesene visuelle Familie jedoch nicht das erforderliche Entitätsfeld für FileName in ihrem Schema hat, schlägt die Erstellung der Entität fehl.

Die visuelle Familie auf der niedrigsten Ebene (event-Ebene) dient als endgültiger Schemavalidierer. Wenn in einer übernommenen Zuordnung auf eine Entität verwiesen wird, die von der visuellen Familie des Ereignisses nicht unterstützt wird, wird durch diese Validierung die Erstellung der Entität verhindert.

Google Security Operations bietet 24 Standardmodellfamilien. Bei Bedarf können Sie weitere erstellen. Weitere Informationen finden Sie unter Beziehungen zwischen Sicherheitsereignissen und visuellen Familien zuordnen.

So weisen Sie eine Modellfamilie zu:

  1. Klicken Sie auf der Seite Event-Konfiguration auf Visualisierung.
  2. Wählen Sie die Modellfamilie aus, die der Beziehung zwischen Ereignissen und Aktionen in dieser Situation am ehesten entspricht.
  3. Klicken Sie im Dialogfeld Bestätigung auf Ja, um die Zuweisung zu bestätigen.

Bestimmtes Feld eines Ereignisses verwalten

Auf der Seite Zuordnung verwalten Sie die spezifischen Feldinformationen eines Ereignisses. Dort werden die Felder angezeigt, die zur zugewiesenen Modellfamilie gehören.

Wenn beispielsweise ein Ereignis erfasst wird und Sie feststellen, dass Informationen fehlen oder falsch sind, gehen Sie so vor:

  1. Klicken Sie auf dem Tab Benachrichtigungsereignisse auf Einstellungen Konfigurieren und prüfen Sie, ob die richtige visuelle Familie zugewiesen ist.
  2. Rufen Sie die Seite Zuordnung auf, um bestimmte Feldinformationen zu bearbeiten oder hinzuzufügen.

Sie können verschiedene Aktionen für diese Felder ausführen:

  • Klicken Sie am Ende jeder Zeile auf das Dreipunkt-Menü Mehr.
  • Klicken Sie auf Bearbeiten Feld bearbeiten.
  • Geben Sie im Dialogfeld Zielfeld zuordnen den Namen des zu extrahierenden Ereignisfelds ein und klicken Sie auf Speichern.

Bearbeitbare Felder

Doppelklicken Sie auf die Einheit, um die folgenden Felder zu bearbeiten:

Feld Beschreibung
Extrahiertes Feld Name des Hauptfelds im Rohereignisfeld, aus dem Informationen stammen sollen. Pro-Tipp: Verwenden Sie Contains oder Starts with, um Daten in separate Einheiten aufzuteilen. Dies ist nützlich, wenn Sie mehrere Felder wie url_1 und url_2 verwenden, um mehrere Einheiten zu erstellen.
Alternatives Feld 1 Das Fallback-Feld im Rohereignisfeld, aus dem Informationen abgerufen werden, wenn das primäre Feld nicht gefunden wird.
Alternatives Feld 2 Das Fallback-Feld im Rohereignisfeld, aus dem Informationen abgerufen werden, wenn weder das primäre noch das sekundäre Feld gefunden werden.
Extraktionsfunktion Extrahiert oder bearbeitet Daten aus dem Rohereignisfeld. Dazu gehören die folgenden drei Optionen:
  • Keine: Die Rohdaten werden unverändert dargestellt.
  • Trennzeichen: Das Trennzeichen kann mit einem Zeichen (oder bis zu 64 Zeichen) definiert werden, um die Daten in separate Einheiten zu unterteilen. Der Standardwert ist „Trennzeichen = , (Komma)“.
  • Regulärer Ausdruck: Hier wird ein regulärer Ausdruck verwendet, um Daten in separate Einheiten aufzuteilen.
Transformationsfunktion Transformiert Informationen aus der Datenquelle, damit sie mit der Datenbank kompatibel sind. Folgende Funktionen sind verfügbar:
  • TO_STRING
  • FROM_UNIXTIME_STRING_OR_LONG
  • FROM_CUSTOM_DATETIME
  • EXTRACT_BY_REGEX
  • TO_IP_ADDRESS

Nachdem Sie die Funktion ausgewählt haben, fügen Sie den entsprechenden Parameter hinzu.
Wählen Sie beispielsweise FROM_CUSTOM_DATETIME aus und formatieren Sie das Datum und die Uhrzeit in %Y-%m-%DT%H:%M:%S um.

Sie können Daten aus einem Quellfeld extrahieren und verschiedenen Zielfeldern zuordnen. Wenn ein Quellfeld beispielsweise sowohl einen Hostnamen als auch eine IP-Adresse enthält, können Sie diese mit regulären Ausdrücken trennen.

Ergebnisse nach der Zuordnung anzeigen

Wenn Sie die Werte nach dem Zuordnungsprozess sehen möchten, klicken Sie auf das more_vert Mehr > Ergebnis anzeigen.

Anreicherungsdaten hinzufügen

Bei verschiedenen SIEMs sind Anreicherungsdaten Teil des ersten Erfassungsprozesses. So fügen Sie Anreicherungsdaten hinzu:

  1. Wählen Sie das more_vert Mehr > database_upload Anreicherung hinzufügen aus.
  2. Wählen Sie aus, welche Anreicherungsdaten Sie der Entität hinzufügen möchten.
  3. Klicken Sie auf Speichern. Wenn diese Einheit das nächste Mal im Rahmen der Benachrichtigung in die Plattform aufgenommen wird, klicken Sie auf Details ansehen. Dieses Anreicherungsfeld wird dann in der Seitenleiste unter der Überschrift Rohdatenanreicherung angezeigt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten