Crea entidades (asignación y modelado)

Compatible con:

Las entidades son objetos que representan puntos de interés extraídos de alertas, como indicadores de compromiso (IoC) y artefactos. Ayudan a los analistas de seguridad de las siguientes maneras:

  • Historial de seguimiento automático
  • Agrupación de alertas sin intervención humana
  • Búsqueda de actividad maliciosa basada en las relaciones entre entidades
  • Facilita la lectura de los casos y permite la creación de guías sin problemas.

Google Security Operations utiliza un sistema automatizado (ontología) para extraer los principales objetos de interés de las alertas sin procesar y crear entidades. Cada entidad está representada por un objeto que puede hacer un seguimiento de su propio historial para futuras referencias.

Configura la ontología de entidades

Para configurar la ontología, deberás mapear y modelar tus datos. Esto implica seleccionar una representación visual para las alertas y definir qué entidades se deben extraer. Google SecOps proporciona reglas de ontología preconfiguradas para los productos de SIEM más populares.

El mejor momento para personalizar la ontología es después de que un conector extraiga datos a Google SecOps. El proceso implica dos pasos principales:

  1. Modelado: Elige la representación visual (modelo o familia visual) para tus datos.
  2. Asignación: Asigna los campos para admitir el modelo seleccionado y extraer entidades.

Entidades admitidas

Se admiten las siguientes entidades:

  • Dirección
  • Aplicación
  • Clúster
  • Contenedor
  • Credit Card
  • CVE
  • Base de datos
  • Implementación
  • Destination URL
  • Dominio
  • Asunto del correo electrónico
  • Hash de archivo
  • Nombre del archivo
  • Entidad genérica
  • Nombre de host
  • Conjunto de IP
  • Dirección MAC
  • Número de teléfono
  • POD
  • Proceso
  • Servicio
  • Agente de amenazas
  • Campaña contra amenazas
  • Firma de amenazas
  • USB
  • Nombre del usuario

Caso de uso: Asigna y modela los datos nuevos del correo electrónico ingerido

En este caso de uso, se muestra cómo asignar y modelar datos nuevos de un correo electrónico ingerido:

  1. Ve a Marketplace > Caso de uso.
  2. Ejecuta el caso de prueba De cero a héroe. Para obtener detalles sobre cómo hacerlo, consulta Ejecuta casos de uso.
  3. En la pestaña Cases, selecciona el caso Mail de la Cases Queue y, luego, selecciona la pestaña Events.
  4. Junto a la alerta, haz clic en Configuración Configuración de eventos para abrir la página Configuración de eventos.
  5. En la lista de jerarquía, haz clic en Correo. Esto garantiza que tu configuración funcione automáticamente para cada dato que provenga de este producto (casilla de correo electrónico).
  6. Asigna la familia visual que mejor represente los datos. En este caso de uso, como ya se seleccionó MailRelayOrTAP, puedes omitir este paso.
  7. Cambia a Asignación y asigna los siguientes campos de entidades. Haz doble clic en cada entidad y selecciona el campo de datos sin procesar para esa entidad en el campo extraído. Puedes proporcionar campos alternativos desde los que se puede extraer la información:
    • SourceUserName
    • DestinationUserName
    • DestinationURL
    • EmailSubject
  8. Haz clic en Propiedades del evento sin procesar para ver los campos de correo electrónico originales.

Extrae expresiones regulares

Google SecOps no admite grupos de expresiones regulares. Para extraer texto del campo de evento con patrones de expresión regular, usa lookahead y lookbehind en la lógica de la función de extracción.

En el siguiente ejemplo, el campo del evento muestra una gran cantidad de texto:
Suspicious activity on A16_WWJ - Potential Account Takeover (33120)

Para extraer solo el texto Suspicious activity on A16_WWJ, haz lo siguiente:

  1. Ingresa la siguiente expresión regular en el campo de valor Función de extracción:
    Suspicious activity on A16_WWJ(?=.*)
  2. En el campo Función de transformación, selecciona To_String.

Para extraer solo el texto después de Suspicious activity on A16_WWJ, haz lo siguiente:

  1. Ingresa la siguiente expresión regular en el campo de valor Función de extracción:
    (?<=Suspicious activity on A16_WWJ).*
  2. En el campo Función de transformación, selecciona To_String.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.