항목 만들기(매핑 및 모델링)

다음에서 지원:

엔티티는 침해 지표 (IoC) 및 아티팩트와 같이 알림에서 추출된 관심 지점을 나타내는 객체입니다. 이러한 도구는 다음과 같은 방식으로 보안 분석가를 지원합니다.

  • 기록을 자동으로 추적합니다.
  • 사람의 개입 없이 알림을 그룹화합니다.
  • 엔티티 간 관계를 기반으로 악성 활동을 추적합니다.
  • 케이스를 더 쉽게 읽고 원활한 플레이북 생성을 지원합니다.

Google Security Operations는 자동화된 시스템 (온톨로지)을 사용하여 원시 알림에서 관심 있는 주요 객체를 추출하여 엔티티를 만듭니다. 각 항목은 나중에 참조할 수 있도록 자체 기록을 추적할 수 있는 객체로 표현됩니다.

엔티티 온톨로지 구성

온톨로지를 구성하려면 데이터를 매핑하고 모델링해야 합니다. 여기에는 알림의 시각적 표현을 선택하고 추출해야 하는 항목을 정의하는 작업이 포함됩니다. Google SecOps는 가장 인기 있는 SIEM 제품을 위해 사전 구성된 온톨로지 규칙을 제공합니다.

온톨로지를 맞춤설정하기에 가장 좋은 시기는 커넥터가 데이터를 Google SecOps로 가져온 후입니다. 이 프로세스에는 다음 두 가지 주요 단계가 있습니다.

  1. 모델링: 데이터의 시각적 표현 (모델/시각적 패밀리)을 선택합니다.
  2. 매핑: 선택한 모델을 지원하고 엔티티를 추출하도록 필드를 매핑합니다.

지원되는 항목

다음 항목이 지원됩니다.

  • 주소
  • 애플리케이션
  • 클러스터
  • 컨테이너
  • 신용카드
  • CVE
  • 데이터베이스
  • 배포
  • 도착 URL
  • 도메인
  • 이메일 제목
  • 파일 해시
  • 파일 이름
  • 일반 항목
  • 호스트 이름
  • IP 집합
  • MAC 주소
  • 전화번호
  • 포드
  • 처리
  • 서비스
  • 위협 행위자
  • 위협 캠페인
  • 위협 서명
  • USB
  • 사용자 이름

사용 사례: 수집된 이메일의 새 데이터 매핑 및 모델링

이 사용 사례에서는 수집된 이메일의 새 데이터를 매핑하고 모델링하는 방법을 보여줍니다.

  1. 마켓플레이스 > 사용 사례로 이동합니다.
  2. Zero to Hero 테스트 사례를 실행합니다. 자세한 방법은 사용 사례 실행을 참고하세요.
  3. Cases(케이스) 탭의 Cases Queue(케이스 대기열)에서 Mail(메일) 케이스를 선택하고 Events(이벤트) 탭을 선택합니다.
  4. 알림 옆에 있는 설정 이벤트 구성을 클릭하여 이벤트 구성 페이지를 엽니다.
  5. 계층 구조 목록에서 메일을 클릭합니다. 이렇게 하면 이 제품 (이메일 상자)에서 제공되는 모든 데이터에 대해 구성이 자동으로 작동합니다.
  6. 데이터를 가장 잘 나타내는 시각적 계열을 할당합니다. 이 사용 사례에서는 MailRelayOrTAP이(가) 이전에 선택되었으므로 이 단계를 건너뛸 수 있습니다.
  7. 매핑으로 전환하고 다음 항목 필드를 매핑합니다. 각 항목을 더블클릭하고 추출된 필드에서 해당 항목의 원시 데이터 필드를 선택합니다. 정보를 추출할 대체 필드를 제공할 수 있습니다.
    • SourceUserName
    • DestinationUserName
    • DestinationURL
    • EmailSubject
  8. 원시 이벤트 속성을 클릭하여 원본 이메일 필드를 확인합니다.

정규 표현식 추출

Google SecOps는 정규 표현식 그룹을 지원하지 않습니다. 정규 표현식 패턴을 사용하여 이벤트 필드에서 텍스트를 추출하려면 추출 함수 로직에서 lookaheadlookbehind를 사용합니다.

다음 예시에서 이벤트 필드는 큰 텍스트 청크를 표시합니다.
Suspicious activity on A16_WWJ - Potential Account Takeover (33120)

텍스트 Suspicious activity on A16_WWJ만 추출하려면 다음을 실행합니다.

  1. 추출 함수 값 필드에 다음 정규 표현식을 입력합니다.
    Suspicious activity on A16_WWJ(?=.*)
  2. 변환 함수 필드에서 To_String을 선택합니다.

Suspicious activity on A16_WWJ 뒤의 텍스트만 추출하려면 다음을 실행하세요.

  1. 추출 함수 값 필드에 다음 정규 표현식을 입력합니다.
    (?<=Suspicious activity on A16_WWJ).*
  2. 변환 함수 필드에서 To_String을 선택합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.