Criar entidades (mapeamento e modelagem)

Entidades são objetos que representam pontos de interesse extraídos de alertas, como indicadores de comprometimento (IoCs) e artefatos. Elas ajudam os analistas de segurança ao:

• Rastreamento automático do histórico.
• Agrupar alertas sem intervenção humana.
• Procura por atividades maliciosas com base nas relações entre entidades.
• Facilitando a leitura de casos e permitindo a criação de playbooks sem problemas.

O Google Security Operations usa um sistema automatizado (ontologia) para extrair os principais objetos de interesse dos alertas brutos e criar entidades. Cada entidade é representada por um objeto que pode rastrear o próprio histórico para referência futura.

Configurar a ontologia de entidade

Para configurar a ontologia, você precisa mapear e modelar seus dados. Isso envolve selecionar uma representação visual para alertas e definir quais entidades devem ser extraídas. O Google SecOps oferece regras de ontologia pré-configuradas para os produtos de SIEM mais usados.

O melhor momento para personalizar a ontologia é depois que um conector extrai dados para o Google SecOps. O processo envolve duas etapas principais:

1. Modelagem: escolha a representação visual (modelo/família visual) dos seus dados.
2. Mapeamento: mapeie os campos para oferecer suporte ao modelo selecionado e extrair entidades.

Entidades aceitas

As seguintes entidades são compatíveis:

• Endereço
• Aplicativo
• Cluster
• Contêiner
• Cartão de crédito
• CVE
• Banco de dados
• Implantação
• Destination URL
• Domínio
• Assunto do e-mail
• Hash de arquivo
• Nome do arquivo
• Entidade genérica
• Nome do host
• Conjunto de IPs
• Endereço MAC
• Número de telefone
• POD
• Processo
• Serviço
• Agente de ameaça
• Campanha contra ameaças
• Assinatura de ameaças
• USB
• Nome do usuário

Caso de uso: mapear e modelar novos dados de e-mail ingeridos

Este caso de uso mostra como mapear e modelar novos dados de um e-mail ingerido:

1. Acesse Marketplace > Caso de uso.
2. Execute o caso de teste Do zero ao herói. Para detalhes sobre como fazer isso, consulte Executar casos de uso.
3. Na guia Casos, selecione o caso E-mail na Fila de casos e selecione a guia Eventos.
4. Ao lado do alerta, clique em configurações Configuração de evento para abrir a página Configuração de evento.
5. Na lista de hierarquias, clique em Email. Isso garante que sua configuração funcione automaticamente para todos os dados desse produto (caixa de e-mail).
   
6. Atribua a família visual que melhor representa os dados. Neste caso de uso, como MailRelayOrTAP já foi selecionado, você pode pular esta etapa.
7. Mude para Mapeamento e mapeie os seguintes campos de entidade. Clique duas vezes em cada entidade e selecione o campo de dados brutos correspondente no campo extraído. Você pode fornecer campos alternativos para extrair as informações:
• SourceUserName
• DestinationUserName
• DestinationURL
• EmailSubject
8. Clique em Propriedades de eventos brutos para ver os campos de e-mail originais.

Extrair expressões regulares

O Google SecOps não é compatível com grupos de expressões regulares. Para extrair texto do campo de evento usando padrões de expressão regular, use lookahead e lookbehind na lógica da função de extração.

No exemplo a seguir, o campo de evento mostra um grande trecho de texto:
Suspicious activity on A16_WWJ - Potential Account Takeover (33120)

Para extrair apenas o texto Suspicious activity on A16_WWJ, faça o seguinte:

1. Insira a seguinte expressão regular no campo de valor Função de extração:
   Suspicious activity on A16_WWJ(?=.*)
2. No campo Função de transformação, selecione To_String.

Para extrair apenas o texto depois de Suspicious activity on A16_WWJ, faça o seguinte:

1. Insira a seguinte expressão regular no campo de valor Função de extração:
   (?<=Suspicious activity on A16_WWJ).*
2. No campo Função de transformação, selecione To_String.