建立實體 (對應和建模)

支援的國家/地區:

實體是從快訊中擷取的觀光景點物件,例如入侵指標 (IOC) 和構件。協助安全分析師:

  • 自動追蹤記錄。
  • 自動將警示分組。
  • 根據實體之間的關係,搜尋惡意活動。
  • 讓案件更容易閱讀,並輕鬆建立應對手冊。

Google Security Operations 會使用自動化系統 (本體),從原始快訊中擷取主要物件,藉此建立實體。每個實體都由物件表示,可追蹤自己的記錄,以供日後參考。

設定實體本體

如要設定本體,您需要對應資料並建立模型。這包括選取快訊的視覺化呈現方式,以及定義要擷取的實體。Google SecOps 提供預先設定的本體規則,適用於最熱門的 SIEM 產品。

將連接器資料匯入 Google SecOps 後,就是自訂本體論的最佳時機。這個程序包含兩個主要步驟:

  1. 建模:選擇資料的視覺化呈現方式 (模型/視覺化系列)。
  2. 對應:對應欄位以支援所選模型,並擷取實體。

支援的實體

系統支援下列實體:

  • 地址
  • 應用程式
  • 叢集
  • 容器
  • 信用卡資訊
  • CVE
  • 資料庫
  • 部署作業
  • 到達網頁網址
  • 網域
  • 電子郵件主旨
  • 檔案雜湊
  • 檔案名稱
  • 一般實體
  • 主機名稱
  • IP 集
  • MAC 位址
  • 電話號碼
  • Pod
  • 程序
  • 服務
  • 威脅發動者
  • 威脅事件
  • 威脅特徵
  • USB
  • 使用者名稱

使用案例:對擷取的電子郵件資料進行對應和建模

這個用途說明如何對應及模擬擷取電子郵件的新資料:

  1. 依序前往「Marketplace」>「Use Case」
  2. 執行「Zero to Hero」測試案例。如要瞭解如何執行這項操作,請參閱「執行使用案例」。
  3. 在「案件」分頁中,從「案件佇列」選取「郵件」案件,然後選取「事件」分頁。
  4. 在快訊旁邊,依序按一下「設定」 和「事件設定」,開啟「事件設定」頁面。
  5. 在階層清單中,按一下「郵件」。這樣一來,系統就會自動為來自這項產品 (電子郵件信箱) 的每筆資料套用設定。
  6. 指派最能代表資料的視覺化系列。在本例中,由於先前已選取 MailRelayOrTAP,因此可以略過這個步驟。
  7. 切換至「對應」,然後對應下列實體欄位。按兩下每個實體,然後在擷取的欄位中選取該實體的原始資料欄位。您可以提供替代欄位,從中擷取資訊:
    • SourceUserName
    • DestinationUserName
    • DestinationURL
    • EmailSubject
  8. 按一下「原始事件屬性」,即可查看原始電子郵件欄位。

擷取規則運算式

Google SecOps 不支援規則運算式群組。如要使用規則運算式模式從事件欄位擷取文字,請在擷取函式邏輯中使用 lookaheadlookbehind

在下列範例中,事件欄位會顯示大量文字:
Suspicious activity on A16_WWJ - Potential Account Takeover (33120)

如要只擷取文字 Suspicious activity on A16_WWJ,請按照下列步驟操作:

  1. 在「擷取函式」值欄位中輸入下列規則運算式:
    Suspicious activity on A16_WWJ(?=.*)
  2. 在「轉換函式」欄位中,選取「To_String」

如要只擷取 Suspicious activity on A16_WWJ 後的文字,請執行下列步驟:

  1. 在「擷取函式」值欄位中輸入下列規則運算式:
    (?<=Suspicious activity on A16_WWJ).*
  2. 在「轉換函式」欄位中,選取「To_String」

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。