Zuordnung konfigurieren und visuelle Familien zuweisen
Mit der Funktion Event Configuration (Ereigniskonfiguration) können Sie Ereignissen visuelle Familien zuweisen und so ihre Beziehungen zu anderen Aktionen grafisch darstellen. So wird sichergestellt, dass Ereignisse richtig kategorisiert werden und korrekte und vollständige Informationen enthalten.
Die Ereigniskonfiguration umfasst die folgenden Funktionen:
- Visualisierung: Weisen Sie einem Ereignis eine Familie zu. Diese Familie dient als visuelle Karte von Beziehungen und Entitäten und bietet Ihnen die beste grafische Erklärung für das, was passiert ist. Die zugewiesene Familie wird auf dem Bildschirm Fälle ansehen angezeigt.
- Zuordnung: Bearbeiten oder fügen Sie bestimmte Feldinformationen hinzu, um Fehler zu korrigieren oder fehlende Daten zu ergänzen.
Seite „Ereigniskonfiguration“ aufrufen
So rufen Sie die Seite Event Configuration (Eventkonfiguration) auf:
- Wählen Sie einen Fall aus der Fallwarteschlange aus, rufen Sie den Tab Ereignisse der Benachrichtigung auf und klicken Sie auf die Einstellungen Konfigurieren.
- Klicken Sie unter Einstellungen > Ontologie > Ontologiestatus auf die Einstellungen Konfigurieren.
Modellfamilie zuweisen
Die Modellfamilie bietet eine grafische Darstellung der Beziehung zwischen allen Ereignissen und Aktionen.
Auf der Seite Visualisierung weisen Sie das Ereignis, Produkt oder die Quelle einer bestimmten Familie zu. Diese visuelle Familie wird auf der Seite Entdecken angezeigt.
Sie können eine Modellfamilie auf drei Ebenen zuweisen:
- Quellebene: Die oberste Ebene. Eine hier zugewiesene Familie wird von allen Produkten und Ereignissen in dieser Quelle übernommen.
- Produktebene: Die zweite Ebene. Eine hier zugewiesene Familie wird von allen Ereignissen in diesem Produkt übernommen.
- Ereignisebene: Das ist die Ebene, auf der sich das Ereignis abspielt.
Die Modellfamilie wird vom übergeordneten Element übernommen. Wenn Sie eine Modellfamilie auf Quellebene zuweisen, erben das Produkt und das Ereignis die Modellfamilie von der Quellebene. Sie können die zugeordneten Felder auf jeder Ebene bearbeiten, um die übergeordneten Einstellungen zu überschreiben.
Google Security Operations bietet 24 Standardmodellfamilien. Sie können bei Bedarf weitere erstellen. Weitere Informationen finden Sie unter Beziehungen zwischen Sicherheitsereignissen und visuellen Familien zuordnen.
So weisen Sie eine Modellfamilie zu:
- Klicken Sie auf der Seite Event-Konfiguration auf Visualisierung.
- Wählen Sie die Modellfamilie aus, die der Beziehung zwischen Ereignissen und Aktionen in dieser Situation am ehesten entspricht.
- Klicken Sie im Dialogfeld Bestätigung auf Ja, um die Zuweisung zu bestätigen.
Bestimmtes Feld eines Ereignisses verwalten
Auf der Seite Zuordnung verwalten Sie die spezifischen Feldinformationen eines Ereignisses. Dort werden die Felder angezeigt, die zur zugewiesenen Modellfamilie gehören.
Wenn beispielsweise ein Ereignis erfasst wird und Sie feststellen, dass Informationen fehlen oder falsch sind, gehen Sie so vor:
- Klicken Sie auf dem Tab Benachrichtigungsereignisse auf Einstellungen Konfigurieren und prüfen Sie, ob die richtige visuelle Familie zugewiesen ist.
- Rufen Sie die Seite Zuordnung auf, um bestimmte Feldinformationen zu bearbeiten oder hinzuzufügen.
Sie können verschiedene Aktionen für diese Felder ausführen:
- Klicken Sie am Ende jeder Zeile auf das Dreipunkt-Menü Mehr.
- Klicken Sie auf Bearbeiten Feld bearbeiten.
- Geben Sie im Dialogfeld Zielfeld zuordnen den Namen des zu extrahierenden Ereignisfelds ein und klicken Sie auf Speichern.
Bearbeitbare Felder
Doppelklicken Sie auf die Einheit, um die folgenden Felder zu bearbeiten:
| Feld | Beschreibung |
|---|---|
| Extrahiertes Feld |
Name des Hauptfelds im Rohereignisfeld, aus dem Informationen stammen sollen.
Pro-Tipp: Verwenden Sie Contains oder Starts with, um Daten in separate Einheiten aufzuteilen. Dies ist nützlich, wenn Sie mehrere Felder wie url_1 und url_2 verwenden, um mehrere Einheiten zu erstellen.
|
| Alternatives Feld 1 | Das Fallback-Feld im Rohereignisfeld, aus dem Informationen übernommen werden, wenn das primäre Feld nicht gefunden wird. |
| Alternatives Feld 2 | Das Fallback-Feld im Rohereignisfeld, aus dem Informationen abgerufen werden, wenn weder das primäre noch das sekundäre Feld gefunden werden. |
| Extraktionsfunktion |
Extrahiert oder bearbeitet Daten aus dem Rohereignisfeld. Dazu gehören die folgenden drei Optionen:
|
| Transformationsfunktion |
Transformiert Informationen aus der Datenquelle, damit sie mit der Datenbank kompatibel sind. Folgende Funktionen sind verfügbar:
Nachdem Sie die Funktion ausgewählt haben, fügen Sie den entsprechenden Parameter hinzu. Wählen Sie beispielsweise FROM_CUSTOM_DATETIME aus und formatieren Sie das Datum und die Uhrzeit in %Y-%m-%DT%H:%M:%S um. |
Sie können Daten aus einem Quellfeld extrahieren und verschiedenen Zielfeldern zuordnen. Wenn ein Quellfeld beispielsweise sowohl einen Hostnamen als auch eine IP-Adresse enthält, können Sie diese mit regulären Ausdrücken trennen.
Ergebnisse nach der Zuordnung anzeigen
Wenn Sie die Werte nach dem Zuordnungsprozess sehen möchten, klicken Sie auf das more_vert Mehr > Ergebnis anzeigen.
Anreicherungsdaten hinzufügen
Bei verschiedenen SIEMs sind Anreicherungsdaten Teil des ersten Erfassungsprozesses. So fügen Sie Anreicherungsdaten hinzu:
- Wählen Sie das more_vert Mehr > database_upload Anreicherung hinzufügen aus.
- Wählen Sie aus, welche Anreicherungsdaten Sie der Entität hinzufügen möchten.
- Klicken Sie auf Speichern. Wenn diese Einheit das nächste Mal im Rahmen der Benachrichtigung in die Plattform aufgenommen wird, klicken Sie auf Details ansehen. Dieses Anreicherungsfeld wird dann in der Seitenleiste unter der Überschrift Rohdatenanreicherung angezeigt.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten