Crear entidades (asignación y modelado)

Disponible en:

Las entidades son objetos que representan puntos de interés extraídos de las alertas, como los indicadores de compromiso y los artefactos. Ayudan a los analistas de seguridad de las siguientes formas:

  • Monitoriza el historial automáticamente.
  • Agrupación de alertas sin intervención humana.
  • Búsqueda de actividad maliciosa basada en las relaciones entre entidades.
  • Facilitamos la lectura de los casos y la creación de guías de respuesta fluidas.

Google Security Operations usa un sistema automatizado (ontología) para extraer los objetos principales de interés de las alertas sin procesar y crear entidades. Cada entidad se representa mediante un objeto que puede registrar su propio historial para futuras consultas.

Configurar la ontología de entidades

Para configurar la ontología, tendrás que asignar y modelar tus datos. Esto implica seleccionar una representación visual para las alertas y definir qué entidades se deben extraer. Google SecOps proporciona reglas de ontología preconfiguradas para los productos SIEM más populares.

El mejor momento para personalizar la ontología es después de que un conector extraiga datos a Google SecOps. El proceso consta de dos pasos principales:

  1. Modelización: elige la representación visual (modelo o familia visual) de tus datos.
  2. Asignación: asigna los campos para admitir el modelo seleccionado y extraer entidades.

Entidades admitidas

Se admiten las siguientes entidades:

  • Dirección
  • Aplicación
  • Clúster
  • Container
  • Tarjeta de crédito
  • CVE
  • Base de datos
  • Implementación
  • URL de destino
  • Dominio
  • Asunto del correo electrónico
  • Hash de archivo
  • Nombre del archivo
  • Entidad genérica
  • Nombre de host
  • Conjunto de IPs
  • Dirección MAC
  • Número de teléfono
  • Pod
  • Proceso
  • Servicio
  • Atacante
  • Campaña de amenazas
  • Firma de amenaza
  • USB
  • Nombre de usuario

Caso práctico: asignar y modelizar nuevos datos de correo ingeridos

En este caso práctico se muestra cómo asignar y modelar nuevos datos de un correo ingerido:

  1. Vaya a Marketplace > Caso práctico.
  2. Ejecuta el caso de prueba De cero a héroe. Para obtener más información sobre cómo hacerlo, consulta Ejecutar casos prácticos.
  3. En la pestaña Casos, seleccione el caso Correo de la Cola de casos y, a continuación, seleccione la pestaña Eventos.
  4. Junto a la alerta, haga clic en Configuración de eventos para abrir la página Configuración de eventos.
  5. En la lista de jerarquía, haz clic en Correo. De esta forma, te aseguras de que tu configuración funcione automáticamente con todos los datos procedentes de este producto (Bandeja de correo).
  6. Asigna la familia visual que mejor represente los datos. En este caso práctico, como ya se ha seleccionado MailRelayOrTAP, puede saltarse este paso.
  7. Cambia a Asignación y asigna los siguientes campos de entidad. Haz doble clic en cada entidad y selecciona el campo de datos sin procesar de esa entidad en el campo extraído. Puedes proporcionar campos alternativos de los que extraer la información:
    • SourceUserName
    • DestinationUserName
    • DestinationURL
    • EmailSubject
  8. Haga clic en Propiedades de evento sin procesar para ver los campos de correo originales.

Extraer expresiones regulares

Google SecOps no admite grupos de expresiones regulares. Para extraer texto del campo de evento mediante patrones de expresiones regulares, usa lookahead y lookbehind en la lógica de la función de extracción.

En el siguiente ejemplo, el campo de evento muestra un fragmento de texto grande:
Suspicious activity on A16_WWJ - Potential Account Takeover (33120)

Para extraer solo el texto Suspicious activity on A16_WWJ, haz lo siguiente:

  1. Introduce la siguiente expresión regular en el campo de valor Función de extracción:
    Suspicious activity on A16_WWJ(?=.*)
  2. En el campo Función de transformación, seleccione To_String.

Para extraer solo el texto que hay después de Suspicious activity on A16_WWJ, sigue estos pasos:

  1. Introduce la siguiente expresión regular en el campo de valor Función de extracción:
    (?<=Suspicious activity on A16_WWJ).*
  2. En el campo Función de transformación, seleccione To_String.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.