Creare entità (mapping e modellazione)

Le entità sono oggetti che rappresentano punti di interesse estratti dagli avvisi, come indicatori di compromissione e artefatti. Aiutano gli analisti della sicurezza:

• Monitoraggio automatico della cronologia.
• Raggruppamento degli avvisi senza intervento umano.
• Ricerca di attività dannose in base alle relazioni tra le entità.
• Semplificando la lettura dei casi e consentendo la creazione di playbook senza interruzioni.

Google Security Operations utilizza un sistema automatizzato (ontologia) per estrarre gli oggetti principali di interesse dagli avvisi non elaborati per creare entità. Ogni entità è rappresentata da un oggetto che può tenere traccia della propria cronologia per riferimento futuro.

Configurare l'ontologia delle entità

Per configurare l'ontologia, devi mappare e modellare i dati. Ciò comporta la selezione di una rappresentazione visiva per gli avvisi e la definizione delle entità da estrarre. Google SecOps fornisce regole di ontologia preconfigurate per i prodotti SIEM più diffusi.

Il momento migliore per personalizzare l'ontologia è dopo che un connettore estrae i dati in Google SecOps. La procedura prevede due passaggi principali:

1. Modellazione: scegli la rappresentazione visiva (modello/famiglia di visualizzazioni) per i tuoi dati.
2. Mappatura: mappa i campi per supportare il modello selezionato ed estrarre le entità.

Entità supportate

Sono supportate le seguenti entità:

• Indirizzo
• Applicazione
• Cluster
• Container
• Carta di credito
• CVE
• Database
• Deployment
• URL di destinazione
• Dominio
• Oggetto email
• Hash file
• Nome del file
• Entità generica
• Nome host
• Imposta IP
• Indirizzo MAC
• Numero di telefono
• Pod
• Processo
• Servizio
• Utente malintenzionato
• Campagna per le minacce
• Firma per le minacce
• USB
• Nome utente

Caso d'uso: mappare e modellare i nuovi dati delle email importate

Questo caso d'uso mostra come mappare e modellare i nuovi dati di un'email importata:

1. Vai a Marketplace > Caso d'uso.
2. Esegui lo scenario di test Zero to Hero. Per informazioni dettagliate su come eseguire questa operazione, vedi Eseguire casi d'uso.
3. Nella scheda Richieste, seleziona la richiesta Mail dalla coda di richieste e seleziona la scheda Eventi.
4. Accanto all'avviso, fai clic su Impostazioni Configurazione evento per aprire la pagina Configurazione evento.
5. Nell'elenco della gerarchia, fai clic su Posta. In questo modo, la configurazione funzionerà automaticamente per ogni dato proveniente da questo prodotto (casella di posta).
   
6. Assegna la famiglia di visualizzazioni che rappresenta meglio i dati. In questo caso d'uso, poiché MailRelayOrTAP è stato selezionato in precedenza, puoi saltare questo passaggio.
7. Passa a Mappatura e mappa i seguenti campi dell'entità. Fai doppio clic su ogni entità e seleziona il campo dei dati non elaborati per quell'entità nel campo estratto. Puoi fornire campi alternativi da cui estrarre le informazioni:
• SourceUserName
• DestinationUserName
• DestinationURL
• EmailSubject
8. Fai clic su Proprietà evento non elaborate per visualizzare i campi email originali.

Estrarre espressioni regolari

Google SecOps non supporta i gruppi di espressioni regolari. Per estrarre il testo dal campo evento utilizzando pattern di espressioni regolari, utilizza lookahead e lookbehind nella logica della funzione di estrazione.

Nell'esempio seguente, il campo evento mostra una grande porzione di testo:
Suspicious activity on A16_WWJ - Potential Account Takeover (33120)

Per estrarre solo il testo Suspicious activity on A16_WWJ, segui questi passaggi:

1. Inserisci la seguente espressione regolare nel campo valore Funzione di estrazione:
   Suspicious activity on A16_WWJ(?=.*)
2. Nel campo Funzione di trasformazione, seleziona To_String.

Per estrarre solo il testo dopo Suspicious activity on A16_WWJ, procedi nel seguente modo:

1. Inserisci la seguente espressione regolare nel campo valore Funzione di estrazione:
   (?<=Suspicious activity on A16_WWJ).*
2. Nel campo Funzione di trasformazione, seleziona To_String.