Configure o mapeamento e atribua famílias visuais

Compatível com:

A funcionalidade Configuração de eventos permite-lhe atribuir famílias visuais a eventos, oferecendo uma visualização gráfica das respetivas relações com outras ações. Este processo garante que os eventos são categorizados corretamente e contêm informações precisas e completas.

A configuração de eventos contém as seguintes capacidades:

  • Visualização: atribua uma família a um evento. Esta família funciona como um mapa visual das relações e das entidades, dando-lhe a melhor explicação gráfica do que aconteceu. A família atribuída é apresentada no ecrã Explorar registos.
  • Mapeamento: edite ou adicione informações de campos específicos para corrigir erros ou preencher dados em falta.

Aceda à página de configuração de eventos

Para aceder à página Configuração de eventos, faça uma das seguintes ações:

  • Selecione um registo na fila de registos, aceda ao separador Eventos do alerta e clique em Definições Configurar.
  • Em Definições > Ontologia > Estado da ontologia, clique em settings Configurar.

Atribua uma família do modelo

A família de modelos oferece uma visualização gráfica da relação entre todos os eventos e ações que ocorrem.

Na página Visualização, atribui o evento, o produto ou a origem a uma família específica. Esta família visual aparece na página Explorar.

Pode atribuir uma família de modelos a três níveis:

  • Nível de origem: o nível superior. Uma família atribuída aqui é herdada por todos os produtos e eventos nessa origem.
  • Nível do produto: o segundo nível. Uma família atribuída aqui é herdada por todos os eventos nesse produto.
  • Nível do evento: o nível do solo.

A família de modelos é herdada do principal. Se atribuir uma família ao nível da origem, o produto e o evento herdam a família do modelo do nível da origem. Pode editar os campos mapeados em cada nível para substituir as definições principais.

O Google Security Operations oferece 24 famílias de modelos padrão e pode criar mais conforme necessário. Para mais informações, consulte o artigo Mapeie relações de eventos de segurança com famílias visuais.

Para atribuir uma família de modelos, siga estes passos:

  1. Na página Configuração de eventos, clique em Visualização.
  2. Selecione a família de modelos que mais se assemelha à relação entre eventos e ações que ocorrem nesta situação.
  3. Na caixa de diálogo Confirmação, clique em Sim para confirmar a atribuição.

Faça a gestão de um campo específico de um evento

A página Mapeamento é onde gere as informações de campos específicos de um evento. Apresenta os campos que pertencem à família de modelos atribuída.

Por exemplo, se um evento for carregado e vir informações em falta ou incorretas, faça o seguinte:

  1. No separador Eventos de alertas, clique em definições Configurar e verifique se está atribuído à família visual correta.
  2. Aceda à página Mapeamento para editar ou adicionar informações de campos específicos.

Pode realizar várias ações nestes campos:

  • Clique em more_vert Mais no final de cada linha.
  • Clique em Editar Editar campo.
  • Na caixa de diálogo Mapear campo de destino, introduza o nome do campo de evento a extrair e clique em Guardar.

Campos editáveis

Clique duas vezes na entidade para editar os seguintes campos:

Campo Descrição
Campo extraído Nome do campo principal no campo de evento não processado do qual obter informações. Sugestão: use Contains ou Starts with para dividir os dados em entidades separadas. Isto é útil para vários campos, como url_1 e url_2, para criar várias entidades.
Campo alternativo 1 Campo alternativo no campo de eventos não processados para obter informações se o campo principal não for encontrado.
Campo alternativo 2 Campo alternativo no campo de eventos não processados para obter informações se não forem encontrados os campos principal e secundário.
Função de extração Extrai ou manipula dados do campo de evento não processado, incluindo estas três opções:
  • Nenhum: os dados não processados são apresentados tal como estão.
  • Delimitador: o delimitador pode ser definido com um caráter (ou até 64 carateres) para dividir os dados em entidades separadas. A predefinição é Delimiter = , (vírgula)
  • Expressão regular: usa uma expressão regular para dividir os dados em entidades separadas.
Função de transformação Transforma as informações da origem de dados para serem compatíveis com a base de dados. As funções disponíveis são:
  • TO_STRING
  • FROM_UNIXTIME_STRING_OR_LONG
  • FROM_CUSTOM_DATETIME
  • EXTRACT_BY_REGEX
  • TO_IP_ADDRESS

Depois de escolher a função, adicione o parâmetro adequado.
Por exemplo, selecione FROM_CUSTOM_DATETIME e reformate a data e a hora para %Y-%m-%DT%H:%M:%S.

Pode extrair dados de um campo de origem e mapeá-los para diferentes campos de destino. Por exemplo, se um campo de origem tiver um nome do anfitrião e um endereço IP, pode separá-los através de expressões regulares.

Mostrar resultados após o mapeamento

Para ver os valores após o processo de mapeamento, clique em more_vert Mais > Mostrar resultado.

Adicione dados de enriquecimento

Vários SIEMs incluem dados de enriquecimento como parte do processo de carregamento inicial. Para adicionar dados de enriquecimento, siga estes passos:

  1. Selecione more_vert Mais > database_upload Adicionar enriquecimento.
  2. Escolha os valores de enriquecimento que quer adicionar à entidade.
  3. Clique em Guardar. Na próxima vez que esta entidade for carregada na plataforma como parte do alerta, clique em Ver detalhes e este campo de enriquecimento aparece no cabeçalho Enriquecimento não processado no painel lateral.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.