Configurar o mapeamento e atribuir famílias visuais

Compatível com:

Com o recurso Configuração de eventos, é possível atribuir famílias visuais a eventos, fornecendo uma visualização gráfica das relações deles com outras ações. Esse processo garante que os eventos sejam categorizados corretamente e contenham informações precisas e completas.

A configuração de eventos tem os seguintes recursos:

  • Visualização: atribua uma família a um evento. Essa família funciona como um mapa visual de relações e entidades, oferecendo a melhor explicação gráfica do que aconteceu. A família atribuída aparece na tela Explorar casos.
  • Mapeamento: edite ou adicione informações específicas de campos para corrigir erros ou preencher dados ausentes.

Acessar a página "Configuração do evento"

Para acessar a página Configuração de eventos, faça o seguinte:

  • Selecione um caso na fila, acesse a guia Eventos do alerta e clique em Configurações Configurar.
  • Em Configurações > Ontologia > Status da ontologia, clique em configurações Configurar.

Atribuir uma família de modelos

A família de modelos oferece uma visualização gráfica da relação entre todos os eventos e ações que acontecem.

Na página Visualização, você atribui o evento, o produto ou a origem a uma família específica. Essa família visual aparece na página Explorar.

É possível atribuir uma família de modelos em três níveis:

  • Nível de origem: o nível superior. Uma família atribuída aqui é herdada por todos os produtos e eventos dessa origem.
  • Nível do produto: o segundo nível. Uma família atribuída aqui é herdada por todos os eventos desse produto.
  • Nível do evento: o nível do solo.

A família de modelos é herdada do elemento principal. Se você atribuir uma família no nível da origem, o produto e o evento vão herdar a família de modelos desse nível. É possível editar os campos mapeados em cada nível para substituir as configurações do elemento pai.

O Google Security Operations oferece 24 famílias de modelos padrão, e você pode criar mais conforme necessário. Para mais informações, consulte Mapear relações de ocorrência de segurança com famílias visuais.

Para atribuir uma família de modelos, siga estas etapas:

  1. Na página Configuração de eventos, clique em Visualização.
  2. Selecione a família de modelos que mais se assemelha à relação entre eventos e ações que ocorrem nessa situação.
  3. Na caixa de diálogo Confirmação, clique em Sim para confirmar a atribuição.

Gerenciar um campo específico de um evento

Na página Mapeamento, você gerencia as informações específicas dos campos de um evento. Ele mostra os campos que pertencem à família de modelos atribuída.

Por exemplo, se um evento for ingerido e você notar informações ausentes ou incorretas, faça o seguinte:

  1. Na guia Eventos de alertas, clique em Configurações Configurar e verifique se ele está atribuído à família visual correta.
  2. Acesse a página Mapeamento para editar ou adicionar informações específicas do campo.

Você pode realizar várias ações nesses campos:

  • Clique em more_vert Mais no final de cada linha.
  • Clique em edit Editar campo.
  • Na caixa de diálogo Mapear campo de destino, insira o nome do campo de evento a ser extraído e clique em Salvar.

Campos editáveis

Clique duas vezes na entidade para editar os seguintes campos:

Campo Descrição
Campo extraído Nome do campo principal no campo de evento bruto para extrair informações. Dica profissional: use Contains ou Starts with para dividir os dados em entidades separadas. Isso é útil para vários campos, como url_1 e url_2, para criar várias entidades.
Campo alternativo 1 Campo de substituição no campo de evento bruto para extrair informações se o campo principal não for encontrado.
Campo alternativo 2 Campo de substituição no campo de evento bruto para extrair informações se os campos primário e secundário não forem encontrados.
Função de extração Extrai ou manipula dados do campo de evento bruto, incluindo estas três opções:
  • Nenhum: os dados brutos são apresentados como estão.
  • Delimitador: pode ser definido com um caractere (ou até 64 caracteres) para dividir os dados em entidades separadas. O padrão é Delimiter = , (vírgula)
  • Expressão regular: usa uma expressão regular para dividir dados em entidades separadas.
Função de transformação Transforma informações da fonte de dados para serem compatíveis com o banco de dados. As funções disponíveis são:
  • TO_STRING
  • FROM_UNIXTIME_STRING_OR_LONG
  • FROM_CUSTOM_DATETIME
  • EXTRACT_BY_REGEX
  • TO_IP_ADDRESS

Depois de escolher a função, adicione o parâmetro adequado.
Por exemplo, selecione FROM_CUSTOM_DATETIME e reformate a data e a hora para %Y-%m-%DT%H:%M:%S.

É possível extrair dados de um campo de origem e mapeá-los para diferentes campos de destino. Por exemplo, se um campo de origem tiver um nome de host e um endereço IP, você poderá separá-los usando expressões regulares.

Mostrar resultados após o mapeamento

Para conferir os valores após o processo de mapeamento, clique em more_vert Mais > Mostrar resultado.

Adicionar dados de enriquecimento

Vários SIEMs incluem dados de enriquecimento como parte do processo inicial de ingestão. Para adicionar dados de enriquecimento, siga estas etapas:

  1. Selecione more_vert Mais > database_upload Adicionar enriquecimento.
  2. Escolha os valores de enriquecimento que você quer adicionar à entidade.
  3. Clique em Salvar. Na próxima vez que essa entidade for ingerida na plataforma como parte do alerta, clique em Ver detalhes. Esse campo de enriquecimento vai aparecer no cabeçalho Enriquecimento bruto no painel lateral.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.