Configura la asignación y asigna familias visuales

Compatible con:

La función Configuración de eventos te permite asignar familias visuales a los eventos, lo que proporciona una visualización gráfica de sus relaciones con otras acciones. Este proceso garantiza que los eventos se categoricen correctamente y contengan información precisa y completa.

La configuración de eventos contiene las siguientes capacidades:

  • Visualización: Asigna una familia a un evento. Esta familia actúa como un mapa visual de las relaciones y las entidades, lo que te brinda la mejor explicación gráfica de lo que sucedió. La familia asignada aparece en la pantalla Explorar casos.
  • Asignación: Edita o agrega información de campos específicos para corregir errores o completar los datos faltantes.

Accede a la página Configuración del evento

Para acceder a la página Configuración de eventos, haz una de las siguientes acciones:

  • Selecciona un caso de la cola de casos, ve a la pestaña Eventos de la alerta y haz clic en Configuración Configurar.
  • En Configuración > Ontología > Estado de la ontología, haz clic en settings Configurar.

Asigna una familia de modelos

La familia de modelos proporciona una visualización gráfica de la relación entre todos los eventos y las acciones que tienen lugar.

En la página Visualización, asignas el evento, el producto o la fuente a una familia específica. Esta familia visual aparece en la página Explorar.

Puedes asignar una familia de modelos en tres niveles:

  • Nivel de la fuente: Es el nivel superior. Todos los productos y eventos de esa fuente heredan la familia asignada aquí.
  • Nivel de producto: Es el segundo nivel. La familia asignada aquí se hereda en todos los eventos de ese producto.
  • Nivel del evento: Es el nivel del suelo.

La familia de modelos se hereda del elemento superior. Si asignas una familia a nivel de la fuente, el producto y el evento heredan la familia del modelo del nivel de la fuente. Puedes editar los campos asignados en cada nivel para anular la configuración principal.

Google Security Operations proporciona 24 familias de modelos estándar, y puedes crear más según sea necesario. Para obtener más información, consulta Cómo correlacionar relaciones de eventos de seguridad con familias visuales.

Para asignar una familia de modelos, sigue estos pasos:

  1. En la página Configuración de eventos, haz clic en Visualización.
  2. Selecciona la familia de modelos que más se asemeje a la relación entre los eventos y las acciones que ocurren en esta situación.
  3. En el cuadro de diálogo Confirmación, haz clic en para confirmar la asignación.

Administra el campo específico de un evento

En la página Mapping, puedes administrar la información de los campos específicos de un evento. Muestra los campos que pertenecen a la familia de modelos asignada.

Por ejemplo, si se registra un evento y ves que falta información o que es incorrecta, haz lo siguiente:

  1. En la pestaña Alerts Events, haz clic en settings Configure y verifica que esté asignado a la familia visual correcta.
  2. Ve a la página Asignación para editar o agregar información de campos específicos.

Puedes realizar varias acciones en estos campos:

  • Haz clic en more_vert Más al final de cada fila.
  • Haz clic en edit Editar campo.
  • En el diálogo Map Target Field, ingresa el nombre del campo del evento que se extraerá y haz clic en Guardar.

Campos editables

Haz doble clic en la entidad para editar los siguientes campos:

Campo Descripción
Campo extraído Es el nombre del campo principal en el campo del evento sin procesar del que se tomará la información. Sugerencia: Usa Contains o Starts with para dividir los datos en entidades separadas. Esto es útil para varios campos, como url_1 y url_2, para crear varias entidades.
Campo alternativo 1 Campo de resguardo en el campo de eventos sin procesar del que se tomará la información si no se encuentra el campo principal.
Campo alternativo 2 Campo de resguardo en el campo de evento sin procesar del que se tomará la información si no se encuentran los campos primario y secundario.
Función de extracción Extrae o manipula datos del campo de eventos sin procesar, incluidas estas tres opciones:
  • Ninguno: Los datos sin procesar se presentan tal como están.
  • Delimitador: El delimitador se puede definir con un carácter (o hasta 64 caracteres) para dividir los datos en entidades separadas. El valor predeterminado es Delimiter = , (coma).
  • Expresión regular: Usa una expresión regular para dividir los datos en entidades separadas.
Función de transformación Transforma la información de la fuente de datos para que sea compatible con la base de datos. Las funciones disponibles son las siguientes:
  • TO_STRING
  • FROM_UNIXTIME_STRING_OR_LONG
  • FROM_CUSTOM_DATETIME
  • EXTRACT_BY_REGEX
  • TO_IP_ADDRESS

Una vez que hayas elegido la función, agrega el parámetro adecuado.
Por ejemplo, selecciona FROM_CUSTOM_DATETIME y cambia el formato de la fecha y la hora a %Y-%m-%DT%H:%M:%S.

Puedes extraer datos de un campo de origen y asignarlos a diferentes campos de destino. Por ejemplo, si un campo de origen tiene un nombre de host y una dirección IP, puedes separarlos con expresiones regulares.

Mostrar resultados después de la asignación

Para ver los valores después del proceso de asignación, haz clic en more_vert Más > Mostrar resultado.

Agrega datos de enriquecimiento

Varios SIEM incluyen datos de enriquecimiento como parte del proceso de transferencia inicial. Para agregar datos de enriquecimiento, sigue estos pasos:

  1. Selecciona more_vert Más > database_upload Agregar enriquecimiento.
  2. Elige los valores de enriquecimiento que deseas agregar a la entidad.
  3. Haz clic en Guardar. La próxima vez que esta entidad se ingiera en la plataforma como parte de la alerta, haz clic en Ver detalles y este campo de enriquecimiento aparecerá en el encabezado Enriquecimiento sin procesar del panel lateral.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.