配置映射并分配视觉系列
支持的平台:
Google SecOps
SOAR
借助活动配置功能,您可以为活动分配视觉系列,直观地呈现活动与其他操作之间的关系。此流程可确保活动得到正确分类,并包含准确完整的信息。
活动配置包含以下功能:
- 可视化图表:为活动分配系列。这种关系图可直观呈现关系和实体,以图形方式清晰说明发生了什么情况。分配的家庭会显示在浏览案例界面上。
- 映射:修改或添加特定字段信息,以更正错误或填写缺失的数据。
访问“活动配置”页面
如需访问活动配置页面,请执行以下操作之一:
- 从支持请求队列中选择一个支持请求,前往提醒的事件标签页,然后依次点击设置 配置。
- 在设置 > 本体 > 本体状态中,依次点击 设置 配置。
分配模型系列
模型系列以图形方式直观呈现了所有事件和操作之间的关系。
您可以在可视化图表页面中将事件、商品或来源分配给特定家庭。此视觉系列会显示在探索页面上。
您可以在三个级别分配模型系列:
- 来源级:最高级别。此处分配的系列会由相应来源中的所有商品和活动继承。
- 商品级:第二级。此处分配的系列会由相应产品中的所有活动继承。
- 活动级:地面级。
模型系列沿用自父级。如果您在来源级分配系列,则商品和事件会从来源级继承模型系列。您可以修改每个级别的映射字段,以覆盖父级设置。
Google Security Operations 提供 24 个标准模型系列,您可以根据需要创建更多模型。如需了解详情,请参阅将安全事件关系与视觉系列相关联。
如需分配模型系列,请按以下步骤操作:
- 在活动配置页面上,点击可视化图表。
- 选择最能反映此情形下事件与行动之间关系的模型系列。
- 在确认对话框中,点击是以确认分配。
管理活动的特定字段
您可以在映射页面上管理活动的特定字段信息。 它会显示属于所分配模型系列的字段。
例如,如果某个活动已提取,但您发现信息缺失或不正确,请执行以下操作:
- 在提醒事件标签页上,依次点击设置 配置,然后验证其是否已分配给正确的视觉系列。
- 前往映射页面,修改或添加特定字段信息。
您可以对这些字段执行各种操作:
- 点击每行末尾的 more_vert 更多。
- 点击 修改 修改字段。
- 在映射目标字段对话框中,输入要提取的事件字段的名称,然后点击保存。
可修改的字段
双击相应实体,即可修改以下字段:
| 字段 | 说明 |
|---|---|
| 提取的字段 |
原始事件字段中要从中获取信息的主字段名称。
专业提示:使用 Contains 或 Starts with 将数据划分为单独的实体。这对于多个字段(例如 url_1 和 url_2)创建多个实体非常有用。
|
| 备用字段 1 | 原始事件字段中的回退字段,用于在找不到主字段时从中获取信息。 |
| 备用字段 2 | 如果找不到主要字段和次要字段,则从原始事件字段中的回退字段获取信息。 |
| 提取函数 |
从原始事件字段中提取或操纵数据,包括以下三个选项:
|
| 转换函数 |
转换数据源中的信息,使其与数据库兼容。可用的函数包括:
选择函数后,添加相应的形参。 例如,选择 FROM_CUSTOM_DATETIME 并将日期和时间重新格式化为 %Y-%m-%DT%H:%M:%S。 |
您可以从一个源字段中提取数据,并将其映射到不同的目标字段。例如,如果来源字段同时包含主机名和 IP 地址,您可以使用正则表达式将它们分开。
显示映射后的结果
如需查看映射过程结束后的值,请依次点击 more_vert 更多 > 显示结果。
添加扩充数据
各种 SIEM 在初始提取过程中都会包含丰富数据。如需添加丰富化数据,请按以下步骤操作:
- 依次选择 more_vert 更多 > database_upload 添加丰富数据。
- 选择要向实体添加哪些丰富化值。
- 点击保存。下次将此实体作为提醒的一部分提取到平台中时,点击查看详情,此富集字段将显示在侧边抽屉的原始富集标题下。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。