Mengonfigurasi pemetaan dan menetapkan kelompok visual

Didukung di:

Fitur Konfigurasi Acara memungkinkan Anda menetapkan keluarga visual ke acara, sehingga memberikan visualisasi grafis tentang hubungannya dengan tindakan lain. Proses ini memastikan peristiwa dikategorikan dengan benar dan berisi informasi yang akurat dan lengkap.

Konfigurasi peristiwa berisi kemampuan berikut:

  • Visualisasi: Tetapkan keluarga ke acara. Keluarga ini berfungsi sebagai peta visual hubungan dan entitas, sehingga memberikan penjelasan grafis terbaik tentang apa yang terjadi. Keluarga yang ditetapkan akan muncul di layar Explore Cases.
  • Pemetaan: Edit atau tambahkan informasi kolom tertentu untuk memperbaiki error atau mengisi data yang tidak ada.

Mengakses halaman Konfigurasi Peristiwa

Untuk mengakses halaman Konfigurasi Acara, lakukan salah satu tindakan berikut:

  • Pilih kasus dari antrean kasus, buka tab Peristiwa pemberitahuan, lalu klik setelan Konfigurasi.
  • Di Setelan > Ontologi > Status Ontologi, klik settings Konfigurasi.

Menetapkan keluarga model

Kelompok model memberikan visualisasi grafis tentang hubungan antara semua peristiwa dan tindakan yang terjadi.

Halaman Visualisasi adalah tempat Anda menetapkan peristiwa, produk, atau sumber ke kelompok tertentu. Keluarga visual ini muncul di halaman Jelajahi.

Anda dapat menetapkan famili model di tiga tingkat:

  • Tingkat Sumber: Tingkat teratas. Keluarga yang ditetapkan di sini diwarisi oleh semua produk dan peristiwa dalam sumber tersebut.
  • Tingkat Produk: Tingkat kedua. Keluarga yang ditetapkan di sini diwariskan oleh semua acara dalam produk tersebut.
  • Tingkat Peristiwa: Tingkat dasar.

Rangkaian model diwarisi dari induk. Jika Anda menetapkan keluarga model di tingkat sumber, produk dan peristiwa akan mewarisi keluarga model dari tingkat sumber. Anda dapat mengedit kolom yang dipetakan di setiap tingkat untuk mengganti setelan induk.

Google Security Operations menyediakan 24 famili model standar, dan Anda dapat membuat lebih banyak sesuai kebutuhan. Untuk mengetahui informasi selengkapnya, lihat Memetakan hubungan peristiwa keamanan dengan keluarga visual.

Untuk menetapkan keluarga model, ikuti langkah-langkah berikut:

  1. Di halaman Konfigurasi Peristiwa, klik Visualisasi.
  2. Pilih keluarga model yang paling menyerupai hubungan antara peristiwa dan tindakan yang terjadi dalam situasi ini.
  3. Dalam dialog Konfirmasi, klik Ya untuk mengonfirmasi penetapan.

Mengelola kolom tertentu acara

Halaman Pemetaan adalah tempat Anda mengelola informasi kolom spesifik suatu peristiwa. Bagian ini menampilkan kolom yang termasuk dalam family model yang ditetapkan.

Misalnya, jika suatu acara diserap dan Anda dapat melihat informasi yang salah atau tidak ada, lakukan hal berikut:

  1. Di tab Peristiwa Pemberitahuan, klik setelan Konfigurasi dan pastikan bahwa peristiwa tersebut ditetapkan ke keluarga visual yang benar.
  2. Buka halaman Pemetaan untuk mengedit atau menambahkan informasi kolom tertentu.

Anda dapat melakukan berbagai tindakan pada kolom ini:

  • Klik more_vert Lainnya di akhir setiap baris.
  • Klik edit Edit Field.
  • Dalam dialog Map Target Field, masukkan nama kolom peristiwa yang akan diekstrak, lalu klik Save.

Kolom yang dapat diedit

Klik dua kali entitas untuk mengedit kolom berikut:

Kolom Deskripsi
Kolom yang Diekstrak Nama kolom utama di kolom peristiwa mentah untuk mengambil informasi. Tips: Gunakan Contains atau Starts with untuk membagi data menjadi entitas yang terpisah. Hal ini berguna untuk beberapa kolom seperti url_1 dan url_2 untuk membuat beberapa entity.
Kolom Alternatif 1 Kolom pengganti di kolom peristiwa mentah untuk mengambil informasi jika kolom utama tidak ditemukan.
Kolom Alternatif 2 Kolom penggantian di kolom peristiwa mentah untuk mengambil informasi jika primer dan sekunder tidak ditemukan.
Fungsi Ekstraksi Mengekstrak atau memanipulasi data dari kolom peristiwa mentah, termasuk tiga opsi berikut:
  • Tidak ada: data mentah disajikan apa adanya.
  • Pembatas: Pembatas dapat ditentukan dengan karakter (atau hingga 64 karakter) untuk membagi data menjadi entitas terpisah. Defaultnya adalah Delimiter = , (koma)
  • Ekspresi reguler: Menggunakan ekspresi reguler untuk membagi data menjadi entitas terpisah.
Fungsi Transformasi Mentransformasi informasi dari sumber data agar kompatibel dengan database. Fungsi yang tersedia adalah:
  • TO_STRING
  • FROM_UNIXTIME_STRING_OR_LONG
  • FROM_CUSTOM_DATETIME
  • EXTRACT_BY_REGEX
  • TO_IP_ADDRESS

Setelah memilih fungsi, tambahkan parameter yang sesuai.
Misalnya, pilih FROM_CUSTOM_DATETIME dan format ulang tanggal dan waktu menjadi %Y-%m-%DT%H:%M:%S.

Anda dapat mengekstrak data dari satu kolom sumber dan memetakannya ke kolom target yang berbeda. Misalnya, jika kolom sumber memiliki nama host dan alamat IP, Anda dapat memisahkannya menggunakan ekspresi reguler.

Menampilkan hasil setelah pemetaan

Untuk melihat nilai setelah proses pemetaan, klik more_vert Lainnya > Tampilkan Hasil.

Menambahkan data pengayaan

Berbagai SIEM menyertakan data pengayaan sebagai bagian dari proses penyerapan awal. Untuk menambahkan data pengayaan, ikuti langkah-langkah berikut:

  1. Pilih more_vert Lainnya > database_upload Tambahkan Pengayaan.
  2. Pilih nilai pengayaan yang ingin Anda tambahkan ke entitas.
  3. Klik Simpan. Lain kali saat entity ini di-ingest ke platform sebagai bagian dari pemberitahuan, klik Lihat Detail dan kolom pengayaan ini akan muncul di bagian judul Pengayaan Mentah di panel samping.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.