Configurar la asignación y asignar familias visuales
La función Configuración de eventos te permite asignar familias visuales a los eventos, lo que proporciona una visualización gráfica de sus relaciones con otras acciones. Este proceso asegura que los eventos se categoricen correctamente y contengan información precisa y completa.
La configuración de eventos incluye las siguientes funciones:
- Visualización: asigna una familia a un evento. Esta familia actúa como un mapa visual de relaciones y entidades, lo que te ofrece la mejor explicación gráfica de lo que ha ocurrido. La familia asignada aparece en la pantalla Explorar casos.
- Asignación: edita o añade información de campos específicos para corregir errores o rellenar los datos que faltan.
Acceder a la página Configuración de eventos
Para acceder a la página Configuración de eventos, haz una de las siguientes acciones:
- Selecciona un caso de la cola de casos, ve a la pestaña Eventos de la alerta y haz clic en Configuración Configurar.
- En Configuración > Ontología > Estado de la ontología, haga clic en configuración Configurar.
Asignar una familia de modelos
La familia de modelos proporciona una visualización gráfica de la relación entre todos los eventos y las acciones que tienen lugar.
En la página Visualización, puede asignar el evento, el producto o la fuente a una familia específica. Esta familia visual aparece en la página Explorar.
Puede asignar una familia de modelo en tres niveles:
- Nivel de origen: el nivel superior. La familia asignada aquí se hereda de todos los productos y eventos de esa fuente.
- Nivel de producto: el segundo nivel. La familia asignada aquí se hereda de todos los eventos de ese producto.
- Nivel de evento: el nivel del suelo.
La familia de modelos se hereda del elemento superior. Si asigna una familia a nivel de fuente, el producto y el evento heredarán la familia de modelos del nivel de fuente. Puedes editar los campos asignados en cada nivel para anular los ajustes de la unidad organizativa superior.
Google Security Operations proporciona 24 familias de modelos estándar y puedes crear más según sea necesario. Para obtener más información, consulta Asignar relaciones de eventos de seguridad con familias visuales.
Para asignar una familia de modelos, sigue estos pasos:
- En la página Configuración de eventos, haga clic en Visualización.
- Selecciona la familia de modelos que más se parezca a la relación entre los eventos y las acciones que se producen en esta situación.
- En el cuadro de diálogo Confirmación, haz clic en Sí para confirmar la asignación.
Gestionar un campo específico de un evento
En la página Mapeado puede gestionar la información de los campos específicos de un evento. Se muestran los campos que pertenecen a la familia de modelos asignada.
Por ejemplo, si se ingiere un evento y ves que falta información o que es incorrecta, haz lo siguiente:
- En la pestaña Alerts Events (Eventos de alertas), haz clic en settings (ajustes) Configure (Configurar) y comprueba que se ha asignado a la familia visual correcta.
- Ve a la página Asignación para editar o añadir información de campos específicos.
Puedes realizar varias acciones en estos campos:
- Haz clic en more_vert Más al final de cada fila.
- Haz clic en Editar Editar campo.
- En el cuadro de diálogo Asignar campo de destino, introduzca el nombre del campo del evento que quiera extraer y haga clic en Guardar.
Campos editables
Haga doble clic en la entidad para editar los siguientes campos:
| Campo | Descripción |
|---|---|
| Campo extraído |
Nombre del campo principal del campo de evento sin procesar del que se va a extraer la información.
Consejo: Usa Contains o Starts with para dividir los datos en entidades independientes. Esto resulta útil para varios campos, como url_1 y url_2, para crear varias entidades.
|
| Campo alternativo 1 | Campo de respaldo del campo de evento sin procesar del que se tomará la información si no se encuentra el campo principal. |
| Campo alternativo 2 | Campo de respaldo del campo de evento sin procesar del que se tomará la información si no se encuentran los campos principal y secundario. |
| Función de extracción |
Extrae o manipula datos del campo de evento sin procesar, incluidas estas tres opciones:
|
| Función de transformación |
Transforma la información de la fuente de datos para que sea compatible con la base de datos. Las funciones disponibles
son las siguientes:
Una vez que hayas elegido la función, añade el parámetro adecuado. Por ejemplo, selecciona FROM_CUSTOM_DATETIME y cambia el formato de la fecha y la hora a %Y-%m-%DT%H:%M:%S. |
Puedes extraer datos de un campo de origen y asignarlos a diferentes campos de destino. Por ejemplo, si un campo de origen tiene un nombre de host y una dirección IP, puedes separarlos con expresiones regulares.
Mostrar resultados después de la asignación
Para ver los valores después del proceso de asignación, haga clic en more_vert Más > Mostrar resultado.
Añadir datos de enriquecimiento
Varios SIEMs incluyen datos de enriquecimiento como parte del proceso de ingestión inicial. Para añadir datos de enriquecimiento, sigue estos pasos:
- Selecciona more_vert Más > database_upload Añadir enriquecimiento.
- Elige los valores de enriquecimiento que quieras añadir a la entidad.
- Haz clic en Guardar. La próxima vez que esta entidad se ingiera en la plataforma como parte de la alerta, haga clic en Ver detalles y este campo de enriquecimiento aparecerá en el encabezado Enriquecimiento sin procesar del panel lateral.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.