Halaman ini diterjemahkan oleh Cloud Translation API.

Membuat entity (pemetaan dan pemodelan)

Didukung di:

Google secops SOAR

Entitas adalah objek yang merepresentasikan tempat menarik yang diekstrak dari pemberitahuan, seperti Indikator Gangguan (IoC) dan artefak. Alat ini membantu analis keamanan dengan:

Melacak histori secara otomatis.
Mengelompokkan pemberitahuan tanpa intervensi manusia.
Mencari aktivitas berbahaya berdasarkan hubungan antar-entitas.
Membuat kasus lebih mudah dibaca dan memungkinkan pembuatan playbook yang lancar.

Google Security Operations menggunakan sistem otomatis (ontologi) untuk mengekstrak objek utama yang menarik dari pemberitahuan mentah untuk membuat entitas. Setiap entity diwakili oleh objek yang dapat melacak historinya sendiri untuk referensi di masa mendatang.

Mengonfigurasi ontologi entitas

Untuk mengonfigurasi ontologi, Anda harus memetakan dan memodelkan data. Hal ini melibatkan pemilihan representasi visual untuk pemberitahuan dan penentuan entitas mana yang harus diekstrak. Google SecOps menyediakan aturan ontologi yang telah dikonfigurasi sebelumnya untuk produk SIEM paling populer.

Waktu terbaik untuk menyesuaikan ontologi adalah setelah Anda memiliki konektor yang menarik data ke Google SecOps. Proses ini melibatkan dua langkah utama:

Pemodelan: Pilih representasi visual (model/keluarga visual) untuk data Anda.
Pemetaan: Petakan kolom untuk mendukung model yang dipilih dan ekstrak entitas.

Entitas yang didukung

Entitas berikut didukung:

Alamat
Aplikasi
Cluster
Container
Kartu Kredit
CVE
Database
Deployment
URL Tujuan
Domain
Subjek Email
Hash File
Nama file
Entity Generik
Hostname
Set IP
Alamat MAC
Nomor Telepon
POD
Proses
Layanan
Pelaku Ancaman
Kampanye Ancaman
Tanda Tangan Ancaman
USB
Nama Pengguna

Kasus penggunaan: Memetakan dan memodelkan data baru email yang di-ingest

Kasus penggunaan ini menunjukkan cara memetakan dan memodelkan data baru dari email yang di-ingest:

Buka Marketplace > Kasus Penggunaan.
Jalankan kasus pengujian Zero to Hero. Untuk mengetahui detail tentang cara melakukannya, lihat Menjalankan kasus penggunaan.
Di tab Kasus, pilih kasus Email dari Antrean Kasus dan pilih tab Peristiwa.
Di samping pemberitahuan, klik setelan Konfigurasi Peristiwa untuk membuka halaman Konfigurasi Peristiwa.
Dalam daftar hierarki, klik Mail. Hal ini memastikan bahwa konfigurasi Anda akan otomatis berfungsi untuk setiap bagian data yang berasal dari produk ini (Kotak email).
Tetapkan keluarga visual yang paling mewakili data. Dalam kasus penggunaan ini, karena MailRelayOrTAP telah dipilih sebelumnya, Anda dapat melewati langkah ini.
Beralihlah ke Pemetaan dan petakan kolom entitas berikut. Klik dua kali setiap entitas dan pilih kolom data mentah untuk entitas tersebut di kolom yang diekstrak. Anda dapat menyediakan kolom alternatif untuk mengekstrak informasi:

SourceUserName
DestinationUserName
DestinationURL
EmailSubject

Klik Properti Peristiwa Mentah untuk melihat kolom email asli.

Mengekstrak ekspresi reguler

Google SecOps tidak mendukung grup ekspresi reguler. Untuk mengekstrak teks dari kolom peristiwa menggunakan pola ekspresi reguler, gunakan lookahead dan lookbehind dalam logika fungsi ekstraksi.

Dalam contoh berikut, kolom peristiwa menampilkan sebagian besar teks:
Suspicious activity on A16_WWJ - Potential Account Takeover (33120)

Untuk mengekstrak hanya teks Suspicious activity on A16_WWJ, lakukan langkah-langkah berikut:

Masukkan ekspresi reguler berikut di kolom nilai Extraction function:
Suspicious activity on A16_WWJ(?=.*)
Di kolom Transformation function, pilih To_String.

Untuk mengekstrak hanya teks setelah Suspicious activity on A16_WWJ, lakukan langkah-langkah berikut:

Masukkan ekspresi reguler berikut di kolom nilai Extraction function:
(?<=Suspicious activity on A16_WWJ).*
Di kolom Transformation function, pilih To_String.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.