Configura la mappatura e assegna le famiglie visive

Supportato in:

La funzionalità Configurazione eventi consente di assegnare famiglie visive agli eventi, fornendo una visualizzazione grafica delle loro relazioni con altre azioni. Questo processo garantisce che gli eventi siano classificati correttamente e contengano informazioni accurate e complete.

La configurazione degli eventi include le seguenti funzionalità:

  • Visualizzazione: assegna una famiglia a un evento. Questa famiglia funge da mappa visiva di relazioni ed entità, fornendoti la migliore spiegazione grafica di ciò che è successo. La famiglia assegnata viene visualizzata nella schermata Esplora casi.
  • Mappatura: modifica o aggiungi informazioni specifiche sui campi per correggere gli errori o compilare i dati mancanti.

Accedere alla pagina di configurazione degli eventi

Per accedere alla pagina Configurazione evento, esegui una delle seguenti operazioni:

  • Seleziona una richiesta dalla coda, vai alla scheda Eventi dell'avviso e fai clic su Impostazioni Configura.
  • In Impostazioni > Ontologia > Stato ontologia, fai clic su Impostazioni Configura.

Assegnare una famiglia di modelli

La famiglia di modelli fornisce una visualizzazione grafica della relazione tra tutti gli eventi e le azioni che si verificano.

Nella pagina Visualizzazione assegni l'evento, il prodotto o l'origine a una famiglia specifica. Questa famiglia visiva viene visualizzata nella pagina Esplora.

Puoi assegnare una famiglia di modelli a tre livelli:

  • Livello origine: il livello più alto. Una famiglia assegnata qui viene ereditata da tutti i prodotti e gli eventi all'interno di questa origine.
  • Livello prodotto: il secondo livello. Una famiglia assegnata qui viene ereditata da tutti gli eventi all'interno di quel prodotto.
  • Livello di evento: il livello base.

La famiglia di modelli viene ereditata dall'elemento principale. Se assegni una famiglia a livello di origine, il prodotto e l'evento ereditano la famiglia di modelli dal livello di origine. Puoi modificare i campi mappati a ogni livello per eseguire l'override delle impostazioni principali.

Google Security Operations fornisce 24 famiglie di modelli standard e puoi crearne altre in base alle esigenze. Per maggiori informazioni, vedi Mappare le relazioni tra eventi di sicurezza con le famiglie visive.

Per assegnare una famiglia di modelli:

  1. Nella pagina Configurazione eventi, fai clic su Visualizzazione.
  2. Seleziona la famiglia di modelli che più si avvicina alla relazione tra eventi e azioni che si verificano in questa situazione.
  3. Nella finestra di dialogo Conferma, fai clic su per confermare l'assegnazione.

Gestire un campo specifico di un evento

La pagina Mappatura è il luogo in cui gestisci le informazioni specifiche dei campi di un evento. Mostra i campi che appartengono alla famiglia di modelli assegnata.

Ad esempio, se viene inserito un evento e noti informazioni mancanti o errate, procedi nel seguente modo:

  1. Nella scheda Eventi avvisi, fai clic su Impostazioni Configura e verifica che sia assegnato alla famiglia visiva corretta.
  2. Vai alla pagina Mappatura per modificare o aggiungere informazioni specifiche sui campi.

Puoi eseguire varie azioni su questi campi:

  • Fai clic su more_vert Altro alla fine di ogni riga.
  • Fai clic su Modifica Modifica campo.
  • Nella finestra di dialogo Mappa campo di destinazione, inserisci il nome del campo evento da estrarre e fai clic su Salva.

Campi modificabili

Fai doppio clic sull'entità per modificare i seguenti campi:

Campo Descrizione
Campo estratto Nome del campo principale nel campo evento non elaborato da cui estrarre le informazioni. Suggerimento professionale: utilizza Contains o Starts with per dividere i dati in entità separate. Questa opzione è utile per più campi come url_1 e url_2 per creare più entità.
Campo alternativo 1 Campo di riserva nel campo evento non elaborato da cui estrarre le informazioni se il campo principale non viene trovato.
Campo alternativo 2 Campo di riserva nel campo dell'evento non elaborato da cui estrarre le informazioni se non vengono trovati i campi primario e secondario.
Funzione di estrazione Estrae o manipola i dati dal campo evento non elaborato, incluse queste tre opzioni:
  • Nessuno: i dati non elaborati vengono presentati così come sono.
  • Delimitatore: il delimitatore può essere definito con un carattere (o fino a 64 caratteri) per dividere i dati in entità separate. Il valore predefinito è Delimitatore = , (virgola)
  • Espressione regolare: utilizza un'espressione regolare per dividere i dati in entità separate.
Funzione di trasformazione Trasforma le informazioni dell'origine dati in modo che siano compatibili con il database. Le funzioni disponibili sono:
  • TO_STRING
  • FROM_UNIXTIME_STRING_OR_LONG
  • FROM_CUSTOM_DATETIME
  • EXTRACT_BY_REGEX
  • TO_IP_ADDRESS

Dopo aver scelto la funzione, aggiungi il parametro appropriato.
Ad esempio, seleziona FROM_CUSTOM_DATETIME e riformatta la data e l'ora in %Y-%m-%DT%H:%M:%S.

Puoi estrarre i dati da un campo di origine e mapparli a diversi campi di destinazione. Ad esempio, se un campo di origine ha sia un nome host che un indirizzo IP, puoi separarli utilizzando le espressioni regolari.

Mostra i risultati dopo la mappatura

Per visualizzare i valori dopo il processo di mappatura, fai clic su more_vert Altro > Mostra risultato.

Aggiungere dati di arricchimento

Varie soluzioni SIEM includono dati di arricchimento nell'ambito del processo di importazione iniziale. Per aggiungere dati di arricchimento:

  1. Seleziona more_vert Altro > database_upload Aggiungi arricchimento.
  2. Scegli i valori di arricchimento da aggiungere all'entità.
  3. Fai clic su Salva. La volta successiva che questa entità viene inserita nella piattaforma nell'ambito dell'avviso, fai clic su Visualizza dettagli e questo campo di arricchimento viene visualizzato nella sezione Arricchimento non elaborato nel riquadro laterale.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.