Crie entidades (mapeamento e modelagem)

Compatível com:

As entidades são objetos que representam pontos de interesse extraídos de alertas, como indicadores de comprometimento (IoCs) e artefactos. Ajudam os analistas de segurança através do seguinte:

  • Monitorização automática do histórico.
  • Agrupamento de alertas sem intervenção humana.
  • Procura de atividade maliciosa com base nas relações entre entidades.
  • Facilitar a leitura de registos e permitir a criação integrada de manuais de procedimentos.

As Operações de segurança da Google usam um sistema automático (ontologia) para extrair os principais objetos de interesse dos alertas não processados para criar entidades. Cada entidade é representada por um objeto que pode acompanhar o seu próprio histórico para referência futura.

Configure a ontologia de entidades

Para configurar a ontologia, tem de mapear e modelar os seus dados. Isto implica selecionar uma representação visual para os alertas e definir que entidades devem ser extraídas. O Google SecOps fornece regras de ontologia pré-configuradas para os produtos SIEM mais populares.

A melhor altura para personalizar a ontologia é depois de ter um conector a extrair dados para o Google SecOps. O processo envolve dois passos principais:

  1. Modelagem: escolha a representação visual (modelo/família visual) dos seus dados.
  2. Mapeamento: mapeie os campos para suportar o modelo selecionado e extrair entidades.

Entidades suportadas

As seguintes entidades são suportadas:

  • Endereço
  • Aplicação
  • Cluster
  • Contentor
  • Cartão de crédito
  • CVE
  • Bases de dados
  • Implementação
  • URL de destino
  • Domínio
  • Assunto do email
  • Hash do ficheiro
  • Nome do ficheiro
  • Entidade genérica
  • Nome do anfitrião
  • Conjunto de IPs
  • Endereço MAC
  • Número de telefone
  • POD
  • Processo
  • Serviço
  • Interveniente responsável pela ameaça
  • Campanha de ameaça
  • Assinatura de ameaça
  • USB
  • Nome de utilizador

Exemplo de utilização: mapeie e modele novos dados de emails carregados

Este exemplo de utilização mostra como mapear e modelar novos dados de um email carregado:

  1. Aceda a Marketplace > Exemplo de utilização.
  2. Execute o caso de teste Zero to Hero. Para ver detalhes sobre como o fazer, consulte o artigo Executar exemplos de utilização.
  3. No separador Registos, selecione o registo Mail na Fila de registos e selecione o separador Eventos.
  4. Junto ao alerta, clique em definições Configuração de eventos para abrir a página Configuração de eventos.
  5. Na lista de hierarquia, clique em Mail. Isto garante que a sua configuração funciona automaticamente para todos os dados provenientes deste produto (caixa de email).
  6. Atribua a família visual que melhor representa os dados. Neste exemplo de utilização, uma vez que MailRelayOrTAP foi selecionado anteriormente, pode ignorar este passo.
  7. Mude para Mapeamento e mapeie os seguintes campos de entidades. Clique duas vezes em cada entidade e selecione o campo de dados não processados dessa entidade no campo extraído. Pode fornecer campos alternativos a partir dos quais extrair as informações:
    • SourceUserName
    • DestinationUserName
    • DestinationURL
    • EmailSubject
  8. Clique em Propriedades do evento não processado para ver os campos de email originais.

Extraia expressões regulares

O Google SecOps não suporta grupos de expressões regulares. Para extrair texto do campo de evento através de padrões de expressões regulares, use lookahead e lookbehind na lógica da função de extração.

No exemplo seguinte, o campo de evento apresenta uma grande parte do texto:
Suspicious activity on A16_WWJ - Potential Account Takeover (33120)

Para extrair apenas o texto Suspicious activity on A16_WWJ, faça o seguinte:

  1. Introduza a seguinte expressão regular no campo de valor da função de extração:
    Suspicious activity on A16_WWJ(?=.*)
  2. No campo Função de transformação, selecione To_String.

Para extrair apenas o texto depois de Suspicious activity on A16_WWJ, faça o seguinte:

  1. Introduza a seguinte expressão regular no campo de valor da função de extração:
    (?<=Suspicious activity on A16_WWJ).*
  2. No campo Função de transformação, selecione To_String.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.