创建实体(映射和建模)

支持的平台:

实体是指从提醒中提取的表示地图注点的对象,例如失陷指标 (IoC) 和制品。它们通过以下方式帮助安全分析师:

  • 自动跟踪历史记录。
  • 在无人为干预的情况下对提醒进行分组。
  • 根据实体之间的关系搜寻恶意活动。
  • 使个案更易于阅读,并实现无缝的 playbook 创建。

Google Security Operations 使用自动化系统(本体)从原始提醒中提取主要感兴趣的对象,以创建实体。每个实体都由一个对象表示,该对象可以跟踪自己的历史记录以供日后参考。

配置实体本体

如需配置本体,您需要映射和建模数据。这包括为提醒选择直观的表示形式,以及定义应提取哪些实体。Google SecOps 为大多数热门 SIEM 产品提供预配置的本体规则。

自定义本体的最佳时间是在连接器将数据提取到 Google SecOps 后。此流程包含两个主要步骤:

  1. 建模:为数据选择可视化表示形式(模型/视觉系列)。
  2. 映射:映射字段以支持所选模型并提取实体。

支持的实体

支持以下实体:

  • 地址
  • 应用
  • 集群
  • 容器
  • 信用卡
  • CVE
  • 数据库
  • 部署
  • 目标网址
  • 网域
  • 电子邮件主题
  • 文件哈希
  • 文件名
  • 通用实体
  • 主机名
  • IP 集
  • MAC 地址
  • 电话号码
  • Pod
  • 流程
  • 服务
  • 威胁行为者
  • 威胁活动
  • 威胁签名
  • USB
  • 用户名

应用场景:映射和建模已提取的电子邮件的新数据

此使用情形展示了如何映射和建模已提取电子邮件的新数据:

  1. 前往 Marketplace > 应用场景
  2. 运行 Zero to Hero 测试用例。如需详细了解如何执行此操作,请参阅运行使用情形
  3. 支持请求标签页中,从支持请求队列中选择邮件支持请求,然后选择活动标签页。
  4. 点击相应提醒旁边的 设置 图标 活动配置,打开活动配置页面。
  5. 在层次结构列表中,点击邮件。这样可确保您的配置自动适用于来自相应产品(电子邮件收件箱)的每条数据。
  6. 分配最能代表数据的视觉系列。在此使用情形下,由于之前已选择 MailRelayOrTAP,您可以跳过此步骤。
  7. 切换到映射,然后映射以下实体字段。双击每个实体,然后在提取的字段中选择相应实体的原始数据字段。您可以提供从中提取信息的替代字段:
    • SourceUserName
    • DestinationUserName
    • DestinationURL
    • EmailSubject
  8. 点击 Raw Event Properties(原始活动属性)可查看原始电子邮件字段。

提取正则表达式

Google SecOps 不支持正则表达式组。如需使用正则表达式模式从事件字段中提取文本,请在提取函数逻辑中使用 lookaheadlookbehind

在以下示例中,事件字段显示了一大段文字:
Suspicious activity on A16_WWJ - Potential Account Takeover (33120)

如需仅提取文本 Suspicious activity on A16_WWJ,请执行以下操作:

  1. 提取函数值字段中输入以下正则表达式:
    Suspicious activity on A16_WWJ(?=.*)
  2. 转换函数字段中,选择 To_String

如需仅提取 Suspicious activity on A16_WWJ 之后的文本,请执行以下操作:

  1. 提取函数值字段中输入以下正则表达式:
    (?<=Suspicious activity on A16_WWJ).*
  2. 转换函数字段中,选择 To_String

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。