このページは Cloud Translation API によって翻訳されました。

マッピングを構成してビジュアルファミリーを割り当てる

以下でサポートされています。

Google SecOps SOAR

イベント構成機能を使用すると、イベントにビジュアルファミリーを割り当てて、他のアクションとの関係をグラフィックで視覚化できます。このプロセスにより、イベントが正しく分類され、正確で完全な情報が含まれるようになります。

イベント構成には次の機能が含まれています。

可視化: イベントにファミリーを割り当てます。このファミリーは、関係とエンティティの視覚的な地図として機能し、何が起こったかを最もわかりやすく説明するグラフィックを提供します。割り当てられたファミリーが [ケースを探索] 画面に表示されます。
マッピング: 特定のフィールド情報を編集または追加して、エラーを修正したり、欠落しているデータを入力したりします。

[イベント設定] ページにアクセスする

[イベント構成] ページにアクセスするには、次のいずれかを行います。

ケースキューからケースを選択し、アラートの [イベント] タブに移動して、設定設定をクリックします。
[設定> オントロジー > オントロジーステータス] で、設定構成をクリックします。

モデルファミリーを割り当てる

モデルファミリーは、発生するすべてのイベントとアクションの関係をグラフィックで可視化します。

[可視化] ページでは、イベント、商品、ソースを特定のファミリーに割り当てます。このビジュアルファミリーは、[探索] ページに表示されます。

モデルファミリーは、次の 3 つのレベルで割り当てることができます。

ソースレベル: 最上位レベル。ここで割り当てられたファミリーは、そのソース内のすべてのプロダクトとイベントに継承されます。
商品レベル: 第 2 レベル。ここで割り当てられたファミリーは、そのプロダクト内のすべてのイベントに継承されます。
イベントレベル: 地上レベル。

モデルファミリーは親から継承されます。ソースレベルでファミリーを割り当てると、プロダクトとイベントはソースレベルからモデルファミリーを継承します。各レベルでマッピングされたフィールドを編集して、親の設定をオーバーライドできます。

Google Security Operations には 24 個の標準モデルファミリーが用意されています。必要に応じて追加のモデルファミリーを作成することもできます。詳細については、セキュリティイベントとビジュアルファミリーの関係をマッピングするをご覧ください。

モデルファミリーを割り当てる手順は次のとおりです。

[Events Configuration] ページで、[Visualization] をクリックします。
この状況で発生するイベントとアクションの関係に最も近いモデルファミリーを選択します。
[Confirmation] ダイアログで [Yes] をクリックして、割り当てを確認します。

イベントの特定のフィールドを管理する

[マッピング] ページでは、イベントの特定のフィールド情報を管理します。割り当てられたモデルファミリーに属するフィールドが表示されます。

たとえば、イベントが取り込まれ、情報が欠落しているか、誤っていることがわかった場合は、次の操作を行います。

[アラートイベント] タブで、[設定] [構成] をクリックし、正しいビジュアルファミリーに割り当てられていることを確認します。
[マッピング] ページに移動して、特定のフィールド情報を編集または追加します。

これらのフィールドに対してさまざまな操作を行うことができます。

各行の末尾にある more_vert その他アイコンをクリックします。
[ edit ] [Edit Field] をクリックします。
[Map Target Field] ダイアログで、抽出するイベントフィールドの名前を入力し、[保存] をクリックします。

編集可能なフィールド

エンティティをダブルクリックして、次のフィールドを編集します。

フィールド	説明
抽出されたフィールド	情報を取得する未加工のイベントフィールドのメインフィールド名。ヒント: `Contains` または `Starts with` を使用して、データを個別のエンティティに分割します。これは、`url_1` や `url_2` などの複数のフィールドで複数のエンティティを作成する場合に便利です。
代替フィールド 1	プライマリフィールドが見つからない場合に情報を取得する、未加工のイベントフィールドのフォールバックフィールド。
代替フィールド 2	プライマリとセカンダリの両方が見つからない場合に情報を取得する、未加工のイベントフィールドのフォールバックフィールド。
抽出関数	次の 3 つのオプションを含む、未加工のイベントフィールドからデータを抽出または操作します。なし: 元データがそのまま表示されます。区切り文字: 区切り文字は、データを個別のエンティティに分割する文字（最大 64 文字）で定義できます。デフォルトは Delimiter = ,（カンマ）です。正規表現: 正規表現を使用して、データを個別のエンティティに分割します。
変換関数	データソースの情報を変換して、データベースとの互換性を維持します。使用可能な関数は次のとおりです。 `TO_STRING` `FROM_UNIXTIME_STRING_OR_LONG` `FROM_CUSTOM_DATETIME` `EXTRACT_BY_REGEX` `TO_IP_ADDRESS` 関数を選択したら、適切なパラメータを追加します。たとえば、`FROM_CUSTOM_DATETIME` を選択して、日付と時刻の形式を `%Y-%m-%DT%H:%M:%S` に変更します。注: 変換関数は抽出関数の後に適用されます。抽出関数によって複数のエンティティが作成された場合、変換は各エンティティに個別に適用されます。

1 つのソースフィールドからデータを抽出し、複数のターゲットフィールドにマッピングできます。たとえば、ソースフィールドにホスト名と IP アドレスの両方がある場合は、正規表現を使用してそれらを分離できます。

マッピング後の結果を表示する

マッピングプロセス後の値を表示するには、 more_vert [その他] > [結果を表示] をクリックします。

エンリッチメントデータを追加する

さまざまな SIEM には、初期取り込みプロセスの一環として拡充データが含まれています。拡充データを追加する手順は次のとおりです。

more_vert [その他] > database_upload [エンリッチメントを追加] を選択します。
エンティティに追加するエンリッチメント値を選択します。
[保存] をクリックします。このエンティティがアラートの一部としてプラットフォームに取り込まれると、[詳細を表示] をクリックすると、この拡充フィールドがサイドドロワーの [未加工の拡充] 見出しの下に表示されます。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。