Entitäten erstellen (Zuordnung und Modellierung)

Unterstützt in:

Entitäten sind Objekte, die aus Benachrichtigungen extrahierte POIs darstellen, z. B. Kompromittierungsindikatoren (Indicators of Compromise, IoCs) und Artefakte. Sie unterstützen Sicherheitsanalysten durch:

  • Verlauf automatisch erfassen
  • Benachrichtigungen werden ohne manuelles Eingreifen gruppiert.
  • Suche nach schädlichen Aktivitäten auf Grundlage von Beziehungen zwischen Entitäten.
  • Fälle sind jetzt leichter zu lesen und Playbooks lassen sich nahtlos erstellen.

Google Security Operations verwendet ein automatisiertes System (Ontologie), um die wichtigsten Objekte aus den Rohbenachrichtigungen zu extrahieren und Entitäten zu erstellen. Jede Entität wird durch ein Objekt dargestellt, in dem ihr eigener Verlauf zur späteren Referenzierung aufgezeichnet werden kann.

Entitätsontologie konfigurieren

Um die Ontologie zu konfigurieren, müssen Sie Ihre Daten zuordnen und modellieren. Dazu gehört die Auswahl einer visuellen Darstellung für Benachrichtigungen und die Definition, welche Einheiten extrahiert werden sollen. Google SecOps bietet vorkonfigurierte Ontologieregeln für die meisten gängigen SIEM-Produkte.

Der beste Zeitpunkt für die Anpassung der Ontologie ist, nachdem ein Connector Daten in Google SecOps abruft. Der Prozess umfasst zwei Hauptschritte:

  1. Modellierung: Wählen Sie die visuelle Darstellung (Modell/visuelle Familie) für Ihre Daten aus.
  2. Zuordnung: Ordnen Sie die Felder zu, um das ausgewählte Modell zu unterstützen und Einheiten zu extrahieren.

Unterstützte Entitäten

Die folgenden Einheiten werden unterstützt:

  • Adresse
  • Anwendung
  • Cluster
  • Container
  • Kreditkarte
  • CVE
  • Datenbank
  • Bereitstellung
  • Ziel-URL
  • Domain
  • E-Mail-Betreff
  • Datei-Hash
  • Dateiname
  • Generische Entität
  • Hostname
  • IP-Satz
  • MAC-Adresse
  • Telefonnummer
  • POD
  • Prozess
  • Dienst
  • Bedrohungsakteur
  • Bedrohungskampagne
  • Bedrohungssignatur
  • USB
  • Nutzername

Anwendungsfall: Neue Daten aus aufgenommenen E-Mails zuordnen und modellieren

In diesem Anwendungsbeispiel wird gezeigt, wie Sie neue Daten einer aufgenommenen E-Mail zuordnen und modellieren:

  1. Gehen Sie zu Marketplace > Anwendungsfall.
  2. Führen Sie den Testfall Zero to Hero aus. Weitere Informationen dazu finden Sie unter Anwendungsfälle ausführen.
  3. Wählen Sie auf dem Tab Anfragen in der Anfragenwarteschlange die Mail-Anfrage aus und wählen Sie den Tab Termine aus.
  4. Klicken Sie neben der Benachrichtigung auf die Einstellungen Ereigniskonfiguration, um die Seite Ereigniskonfiguration zu öffnen.
  5. Klicken Sie in der Hierarchieliste auf E-Mail. So wird sichergestellt, dass Ihre Konfiguration automatisch für alle Daten funktioniert, die von diesem Produkt (E-Mail-Feld) stammen.
  6. Weisen Sie die visuelle Familie zu, die die Daten am besten repräsentiert. Da MailRelayOrTAP in diesem Anwendungsfall bereits ausgewählt wurde, können Sie diesen Schritt überspringen.
  7. Wechseln Sie zu Zuordnung und ordnen Sie die folgenden Attributfelder zu. Doppelklicken Sie auf jede Einheit und wählen Sie das Rohdatenfeld für diese Einheit im extrahierten Feld aus. Sie können alternative Felder angeben, aus denen die Informationen extrahiert werden sollen:
    • SourceUserName
    • DestinationUserName
    • DestinationURL
    • EmailSubject
  8. Klicken Sie auf Rohereigniseigenschaften, um die ursprünglichen E-Mail-Felder aufzurufen.

Reguläre Ausdrücke extrahieren

Google SecOps unterstützt keine Gruppen mit regulären Ausdrücken. Wenn Sie Text aus dem Ereignisfeld mithilfe von Mustern für reguläre Ausdrücke extrahieren möchten, verwenden Sie lookahead und lookbehind in der Logik der Extraktionsfunktion.

Im folgenden Beispiel enthält das Ereignisfeld einen großen Textblock:
Suspicious activity on A16_WWJ - Potential Account Takeover (33120)

So extrahieren Sie nur den Text Suspicious activity on A16_WWJ:

  1. Geben Sie den folgenden regulären Ausdruck in das Feld Extraktionsfunktion ein:
    Suspicious activity on A16_WWJ(?=.*)
  2. Wählen Sie im Feld Transformationsfunktion die Option To_String aus.

So extrahieren Sie nur den Text nach Suspicious activity on A16_WWJ:

  1. Geben Sie den folgenden regulären Ausdruck in das Feld Extraktionsfunktion ein:
    (?<=Suspicious activity on A16_WWJ).*
  2. Wählen Sie im Feld Transformationsfunktion die Option To_String aus.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten