Ontologie – Übersicht

Unterstützt in:

Die Google Security Operations-Ontologie verwendet eine formale Spezifikation, die eine gemeinsam nutzbare und wiederverwendbare Wissensdarstellung von Benachrichtigungen und Ereignissen bietet. Mithilfe der Ontologie kann Google SecOps Entitäten aus Ereignissen erstellen und Beziehungen zwischen ihnen definieren. So erhalten Sie einen umfassenden Überblick und können potenzielle Bedrohungen auf der Seite Erkunden untersuchen. Sobald Entitäten mithilfe der Ontologie definiert wurden, können Sie Aktionen für sie ausführen, die auf ihrer Rolle im Angriff oder Ereignis basieren.

Ontologiestatus ansehen

Rufen Sie die Einstellungen> Ontologie {and_then} Ontologiestatus auf, um die folgenden Informationen zu sehen:
  • Anzahl der Produkttypen: Die Anzahl der Produkte, die Google SecOps in Ihrer Umgebung erfasst. Diese Zahl ändert sich, wenn Ihrer Umgebung weitere Produkte hinzugefügt werden.
  • Anzahl der Ereignistypen: Die Anzahl der Ereignisse, die von Google SecOps erfasst werden.
  • Anzahl der Ereignisse, die Standardfamilien zugewiesen sind: Die Anzahl der Ereignisse, die Google SecOps automatisch zugewiesen hat. Sie können ein Ereignis jederzeit neu zuweisen. Suchen Sie dazu in der Spalte Familienname nach dem Standardwert und klicken Sie auf die Einstellungen Konfigurieren.

Sie können ausgewählte Ontologiestatuszeilen als ZIP-Datei mit einer JSON-Datei exportieren. Sie können auch Zeilen mit dem Ontologiestatus importieren. Achten Sie darauf, eine ZIP-Datei zu importieren, die eine JSON-Datei mit den Ontologiedetails enthält.

Modellfamilien einrichten

Nachdem Sie eine erste Datenverbindung hergestellt haben, müssen Sie Folgendes tun:

  1. Führen Sie die folgenden Schritte aus, um sicherzustellen, dass die Daten in das Google SecOps-Datenmodell aufgenommen werden.
  2. Neue Ereignisse und Benachrichtigungen entsprechend Ihren Anforderungen zuordnen und modellieren.

So richten Sie eine Modellfamilie ein:

  1. Definieren Sie die Familie: Klicken Sie auf Einstellungen> Ontologie> Visuelle Familien.
  2. Weisen Sie die Familie dem Ereignis (oder Produkt/der Quelle) entweder auf dem Tab Ereignisse für Benachrichtigungen oder auf der Seite Ontologiestatus zu. Klicken Sie dazu auf Ereigniskonfiguration> Visualisierung.

Datenfelder zuordnen

So ordnen Sie Datenfelder zu:

  1. Korrigieren Sie auf der Seite Case Management (Fallbearbeitung) oder Explore (Entdecken) fehlende oder falsche Feldinformationen.
  2. Prüfen Sie, ob das Problem durch Anhängen einer neuen visuellen Familie behoben werden kann. Andernfalls bearbeiten und konfigurieren Sie die Regeln, aus denen sowohl die Familie als auch die allgemeinen Systemfelder bestehen, auf der Seite Ereigniskonfiguration> Zuordnung.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten