Configurer le mappage et attribuer des familles visuelles
La fonctionnalité Configuration des événements vous permet d'attribuer des familles visuelles aux événements, ce qui fournit une visualisation graphique de leurs relations avec d'autres actions. Ce processus permet de s'assurer que les événements sont correctement classés et contiennent des informations exactes et complètes.
La configuration des événements inclut les fonctionnalités suivantes :
- Visualisation : attribuez une famille à un événement. Cette famille sert de carte visuelle des relations et des entités, ce qui vous permet de mieux comprendre ce qui s'est passé. La famille attribuée s'affiche sur l'écran Explorer les demandes.
- Mappage : modifiez ou ajoutez des informations spécifiques à un champ pour corriger les erreurs ou compléter les données manquantes.
Accéder à la page "Configuration des événements"
Pour accéder à la page Configuration de l'événement, procédez comme suit :
- Sélectionnez une demande dans la file d'attente, accédez à l'onglet Événements de l'alerte, puis cliquez sur Paramètres Configurer.
- Dans Paramètres > Ontologie > État de l'ontologie, cliquez sur settings Configurer.
Attribuer une famille de modèles
La famille de modèles fournit une visualisation graphique de la relation entre tous les événements et actions qui se produisent.
La page Visualisation vous permet d'attribuer l'événement, le produit ou la source à une famille spécifique. Cette famille visuelle s'affiche sur la page Explorer.
Vous pouvez attribuer une famille de modèles à trois niveaux :
- Niveau de la source : niveau supérieur. Une famille attribuée ici est héritée par tous les produits et événements de cette source.
- Niveau produit : deuxième niveau. Une famille attribuée ici est héritée par tous les événements de ce produit.
- Niveau de l'événement : niveau de base.
La famille de modèles est héritée du parent. Si vous attribuez une famille au niveau de la source, le produit et l'événement héritent de la famille de modèles du niveau de la source. Vous pouvez modifier les champs mappés à chaque niveau pour remplacer les paramètres parents.
Google Security Operations fournit 24 familles de modèles standards, et vous pouvez en créer d'autres si nécessaire. Pour en savoir plus, consultez Mettre en correspondance les relations entre les événements de sécurité avec des familles visuelles.
Pour attribuer une famille de modèles, procédez comme suit :
- Sur la page Configuration des événements, cliquez sur Visualisation.
- Sélectionnez la famille de modèles qui ressemble le plus à la relation entre les événements et les actions qui se produisent dans cette situation.
- Dans la boîte de dialogue Confirmation, cliquez sur Oui pour confirmer l'attribution.
Gérer un champ spécifique d'un événement
La page Mappage vous permet de gérer les informations spécifiques aux champs d'un événement. Il affiche les champs qui appartiennent à la famille de modèles attribuée.
Par exemple, si un événement est ingéré et que vous constatez des informations manquantes ou incorrectes, procédez comme suit :
- Dans l'onglet Événements d'alerte, cliquez sur Paramètres Configurer et vérifiez qu'il est attribué à la bonne famille visuelle.
- Accédez à la page Mappage pour modifier ou ajouter des informations spécifiques à un champ.
Vous pouvez effectuer diverses actions sur ces champs :
- Cliquez sur more_vert Plus à la fin de chaque ligne.
- Cliquez sur Modifier Modifier le champ.
- Dans la boîte de dialogue Mapper le champ cible, saisissez le nom du champ d'événement à extraire, puis cliquez sur Enregistrer.
Champs modifiables
Double-cliquez sur l'entité pour modifier les champs suivants :
| Champ | Description |
|---|---|
| Champ extrait |
Nom du champ principal dans le champ d'événement brut à partir duquel extraire les informations.
Conseil : Utilisez Contains ou Starts with pour diviser les données en entités distinctes. Cela est utile pour plusieurs champs tels que url_1 et url_2 afin de créer plusieurs entités.
|
| Champ alternatif 1 | Champ de secours dans le champ d'événement brut à partir duquel extraire les informations si le champ principal est introuvable. |
| Champ alternatif 2 | Champ de secours dans le champ d'événement brut à partir duquel extraire les informations si les champs principal et secondaire sont introuvables. |
| Fonction d'extraction |
Extrait ou manipule les données du champ d'événement brut, y compris les trois options suivantes :
|
| Fonction de transformation |
Transforme les informations de la source de données pour les rendre compatibles avec la base de données. Les fonctions disponibles sont les suivantes :
Une fois la fonction choisie, ajoutez le paramètre approprié. Par exemple, sélectionnez FROM_CUSTOM_DATETIME et reformatez la date et l'heure au format %Y-%m-%DT%H:%M:%S. |
Vous pouvez extraire des données d'un champ source et les mapper à différents champs cibles. Par exemple, si un champ source contient à la fois un nom d'hôte et une adresse IP, vous pouvez les séparer à l'aide d'expressions régulières.
Afficher les résultats après le mappage
Pour afficher les valeurs après le processus de mappage, cliquez sur more_vert Plus > Afficher le résultat.
Ajouter des données d'enrichissement
Divers SIEM incluent des données d'enrichissement dans le processus d'ingestion initial. Pour ajouter des données d'enrichissement, procédez comme suit :
- Sélectionnez more_vert Plus > database_upload Ajouter un enrichissement.
- Choisissez les valeurs d'enrichissement que vous souhaitez ajouter à l'entité.
- Cliquez sur Enregistrer. La prochaine fois que cette entité sera ingérée dans la plate-forme dans le cadre de l'alerte, cliquez sur Afficher les détails. Ce champ d'enrichissement s'affichera alors sous l'en-tête Enrichissement brut dans le panneau latéral.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.