Crie entidades (mapeamento e modelagem)

Suportado em:

As entidades são objetos que representam pontos de interesse extraídos de alertas, como indicadores de comprometimento (IoCs) e artefactos. Ajudam os analistas de segurança através do seguinte:

  • Monitorização automática do histórico.
  • Agrupamento de alertas sem intervenção humana.
  • Procura de atividade maliciosa com base nas relações entre entidades.
  • Facilitar a leitura de registos e permitir a criação integrada de manuais de procedimentos.

O Google Security Operations usa um sistema automatizado (ontologia) para extrair os principais objetos de interesse dos alertas não processados para criar entidades. Cada entidade é representada por um objeto que pode acompanhar o seu próprio histórico para referência futura.

Configure a ontologia de entidades

Para configurar a ontologia, tem de mapear e modelar os seus dados. Isto implica selecionar uma representação visual para os alertas e definir que entidades devem ser extraídas. O Google SecOps fornece regras de ontologia pré-configuradas para os produtos SIEM mais populares.

A melhor altura para personalizar a ontologia é depois de ter um conector a extrair dados para o Google SecOps. O processo envolve dois passos principais:

  1. Modelagem: escolha a representação visual (modelo/família visual) dos seus dados.
  2. Mapeamento: mapeie os campos para suportar o modelo selecionado e extrair entidades.

Entidades suportadas

As seguintes entidades são suportadas:

  • Endereço
  • Aplicação
  • Cluster
  • Contentor
  • Cartão de crédito
  • CVE
  • Bases de dados
  • Implementação
  • URL de destino
  • Domínio
  • Assunto do email
  • Hash do ficheiro
  • Nome do ficheiro
  • Entidade genérica
  • Nome do anfitrião
  • Conjunto de IPs
  • Endereço MAC
  • Número de telefone
  • POD
  • Processo
  • Serviço
  • Interveniente responsável pela ameaça
  • Campanha de ameaças
  • Assinatura de ameaça
  • USB
  • Nome de utilizador

Exemplo de utilização: mapeie e modele novos dados de emails carregados

Este exemplo de utilização mostra como mapear e modelar novos dados de um email carregado:

  1. Aceda a Content Hub > Exemplos de utilização.
  2. Execute o caso de teste Zero to Hero. Para ver detalhes sobre como o fazer, consulte o artigo Executar exemplos de utilização.
  3. No separador Registos, selecione o registo Mail na Fila de registos e selecione o separador Eventos.
  4. Junto ao alerta, clique em definições Configuração de eventos para abrir a página Configuração de eventos.
  5. Na lista de hierarquia, clique em Mail. Isto garante que a sua configuração funciona automaticamente para todos os dados provenientes deste produto (caixa de email).
  6. Atribua a família visual que melhor representa os dados. Neste exemplo de utilização, uma vez que MailRelayOrTAP foi selecionado anteriormente, pode ignorar este passo.
  7. Mude para Mapeamento e mapeie os seguintes campos de entidades. Clique duas vezes em cada entidade e selecione o campo de dados não processados dessa entidade no campo extraído. Pode fornecer campos alternativos a partir dos quais extrair as informações:
    • SourceUserName
    • DestinationUserName
    • DestinationURL
    • EmailSubject
  8. Clique em Propriedades de eventos não processados para ver os campos de email originais.

Extraia expressões regulares

O Google SecOps não suporta grupos de expressões regulares. Para extrair texto do campo de evento através de padrões de expressões regulares, use lookahead e lookbehind na lógica da função de extração.

No exemplo seguinte, o campo de evento apresenta uma grande parte do texto:
Suspicious activity on A16_WWJ - Potential Account Takeover (33120)

Para extrair apenas o texto Suspicious activity on A16_WWJ, faça o seguinte:

  1. Introduza a seguinte expressão regular no campo de valor da função de extração:
    Suspicious activity on A16_WWJ(?=.*)
  2. No campo Função de transformação, selecione To_String.

Para extrair apenas o texto depois de Suspicious activity on A16_WWJ, faça o seguinte:

  1. Introduza a seguinte expressão regular no campo de valor da função de extração:
    (?<=Suspicious activity on A16_WWJ).*
  2. No campo Função de transformação, selecione To_String.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.