エンティティを作成する(マッピングとモデリング)

以下でサポートされています。

エンティティは、アラートから抽出された関心のあるポイント(セキュリティ侵害インジケーター(IoC)やアーティファクトなど)を表すオブジェクトです。セキュリティ アナリストは、次の方法でサポートします。

  • 履歴を自動的に追跡します。
  • 人手を介さずにアラートをグループ化する。
  • エンティティ間の関係に基づいて悪意のあるアクティビティを追跡する。
  • ケースを読みやすくし、ハンドブックをシームレスに作成できるようにします。

Google Security Operations は、自動システム(オントロジー)を使用して、未加工のアラートから関心のある主なオブジェクトを抽出し、エンティティを作成します。各エンティティは、独自の履歴を追跡して後で参照できるオブジェクトで表されます。

エンティティ オントロジーを構成する

オントロジーを構成するには、データをマッピングしてモデル化する必要があります。これには、アラートの視覚的な表現を選択し、抽出するエンティティを定義することが含まれます。Google SecOps には、よく使われる多くの SIEM プロダクト向けに事前構成されたオントロジー ルールが用意されています。

オントロジーをカスタマイズする最適なタイミングは、コネクタが Google SecOps にデータをプルした後です。このプロセスには、次の 2 つの主なステップがあります。

  1. モデリング: データの視覚的な表現(モデル/ビジュアル ファミリー)を選択します。
  2. マッピング: 選択したモデルをサポートし、エンティティを抽出するようにフィールドをマッピングします。

サポートされているエンティティ

次のエンティティがサポートされています。

  • 住所
  • アプリケーション
  • クラスタ
  • コンテナ
  • Credit Card
  • CVE
  • データベース
  • デプロイ
  • Destination URL
  • ドメイン
  • メールの件名
  • ファイル ハッシュ
  • ファイル名
  • 汎用エンティティ
  • ホスト名
  • IP セット
  • MAC アドレス
  • 電話番号
  • POD
  • プロセス
  • サービス
  • 脅威アクター
  • 脅威キャンペーン
  • 脅威シグネチャ
  • USB
  • ユーザー名

ユースケース: 取り込まれたメールの新しいデータをマッピングしてモデル化する

このユースケースでは、取り込まれたメールの新しいデータをマッピングしてモデル化する方法を示します。

  1. [Marketplace] > [Use Case] に移動します。
  2. Zero to Hero テストケースを実行します。詳しい手順については、ユースケースを実行するをご覧ください。
  3. [Cases] タブで、[Cases Queue] から [Mail] ケースを選択し、[Events] タブを選択します。
  4. アラートの横にある 設定アイコン イベント設定をクリックして、[イベント設定] ページを開きます。
  5. 階層リストで [Mail] をクリックします。これにより、このプロダクト(メールボックス)から取得されるすべてのデータに対して、構成が自動的に機能するようになります。
  6. データを最もよく表すビジュアル ファミリーを割り当てます。このユースケースでは、MailRelayOrTAP がすでに選択されているため、このステップをスキップできます。
  7. [マッピング] に切り替えて、次のエンティティ フィールドをマッピングします。各エンティティをダブルクリックし、抽出されたフィールドでそのエンティティの元データ フィールドを選択します。情報を抽出する代替フィールドを指定できます。
    • SourceUserName
    • DestinationUserName
    • DestinationURL
    • EmailSubject
  8. [Raw Event Properties] をクリックして、元のメールのフィールドを表示します。

正規表現を抽出する

Google SecOps は正規表現グループをサポートしていません。正規表現パターンを使用してイベント フィールドからテキストを抽出するには、抽出関数のロジックで lookaheadlookbehind を使用します。

次の例では、イベント フィールドに大きなテキストのチャンクが表示されています。
Suspicious activity on A16_WWJ - Potential Account Takeover (33120)

テキスト Suspicious activity on A16_WWJ のみを抽出するには、次の操作を行います。

  1. [抽出関数] の値フィールドに、次の正規表現を入力します。
    Suspicious activity on A16_WWJ(?=.*)
  2. [変換関数] フィールドで、[To_String] を選択します。

Suspicious activity on A16_WWJ の後のテキストのみを抽出するには、次の操作を行います。

  1. [抽出関数] の値フィールドに、次の正規表現を入力します。
    (?<=Suspicious activity on A16_WWJ).*
  2. [変換関数] フィールドで、[To_String] を選択します。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。