Créer des entités (mappage et modélisation)

Compatible avec :

Les entités sont des objets qui représentent des points d'intérêt extraits des alertes, tels que des indicateurs de compromission (IOC) et des artefacts. Elles aident les analystes de sécurité en :

  • Suivi automatique de l'historique.
  • Regroupement des alertes sans intervention humaine.
  • Recherchez les activités malveillantes en fonction des relations entre les entités.
  • Faciliter la lecture des cas et permettre la création de playbooks fluides.

Google Security Operations utilise un système automatisé (ontologie) pour extraire les principaux objets d'intérêt des alertes brutes afin de créer des entités. Chaque entité est représentée par un objet qui peut suivre son propre historique pour référence ultérieure.

Configurer l'ontologie des entités

Pour configurer l'ontologie, vous devez mapper et modéliser vos données. Cela implique de sélectionner une représentation visuelle pour les alertes et de définir les entités à extraire. Google SecOps fournit des règles d'ontologie préconfigurées pour les produits SIEM les plus populaires.

Le meilleur moment pour personnaliser l'ontologie est une fois qu'un connecteur extrait des données dans Google SecOps. Le processus comporte deux étapes principales :

  1. Modélisation : choisissez la représentation visuelle (modèle/famille visuelle) de vos données.
  2. Mappage : mappez les champs pour prendre en charge le modèle sélectionné et extraire les entités.

Entités acceptées

Les entités suivantes sont acceptées :

  • Adresse
  • Application
  • Cluster
  • Conteneur
  • Credit Card
  • CVE
  • Base de données
  • Déploiement
  • URL de destination
  • Domaine
  • Objet de l'e-mail
  • Hachage de fichier
  • Nom de fichier
  • Entité générique
  • Nom d'hôte
  • Ensemble d'IP
  • Adresse MAC
  • Numéro de téléphone
  • POD
  • Processus
  • Service
  • Acteur malveillant
  • Campagne de menaces
  • Signature de menace
  • USB
  • Nom de l’utilisateur

Cas d'utilisation : mapper et modéliser de nouvelles données d'e-mails ingérés

Ce cas d'utilisation montre comment mapper et modéliser de nouvelles données d'un e-mail ingéré :

  1. Accédez à Marketplace > Cas d'utilisation.
  2. Exécutez le scénario de test Zero to Hero. Pour savoir comment procéder, consultez Exécuter des cas d'utilisation.
  3. Dans l'onglet Demandes, sélectionnez la demande Mail dans la file d'attente des demandes, puis sélectionnez l'onglet Événements.
  4. À côté de l'alerte, cliquez sur Paramètres Configuration des événements pour ouvrir la page Configuration des événements.
  5. Dans la liste hiérarchique, cliquez sur Mail. Cela garantit que votre configuration fonctionnera automatiquement pour chaque élément de données provenant de ce produit (boîte de réception).
  6. Attribuez la famille visuelle qui représente le mieux les données. Dans ce cas d'utilisation, vous pouvez ignorer cette étape, car MailRelayOrTAP a déjà été sélectionné.
  7. Passez à Mappage et mappez les champs d'entité suivants. Double-cliquez sur chaque entité, puis sélectionnez le champ de données brutes correspondant dans le champ extrait. Vous pouvez fournir d'autres champs à partir desquels extraire les informations :
    • SourceUserName
    • DestinationUserName
    • DestinationURL
    • EmailSubject
  8. Cliquez sur Propriétés brutes de l'événement pour afficher les champs d'e-mail d'origine.

Extraire des expressions régulières

Google SecOps n'est pas compatible avec les groupes d'expressions régulières. Pour extraire du texte du champ d'événement à l'aide de modèles d'expressions régulières, utilisez lookahead et lookbehind dans la logique de la fonction d'extraction.

Dans l'exemple suivant, le champ "event" affiche un grand bloc de texte :
Suspicious activity on A16_WWJ - Potential Account Takeover (33120)

Pour extraire uniquement le texte Suspicious activity on A16_WWJ, procédez comme suit :

  1. Saisissez l'expression régulière suivante dans le champ de valeur Fonction d'extraction :
    Suspicious activity on A16_WWJ(?=.*)
  2. Dans le champ Fonction de transformation, sélectionnez To_String.

Pour extraire uniquement le texte après Suspicious activity on A16_WWJ :

  1. Saisissez l'expression régulière suivante dans le champ de valeur Fonction d'extraction :
    (?<=Suspicious activity on A16_WWJ).*
  2. Dans le champ Fonction de transformation, sélectionnez To_String.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.