Descripción general de la ontología

Disponible en:

La ontología de Google Security Operations usa una especificación formal que proporciona una representación de alertas y eventos basada en conocimientos que se puede compartir y reutilizar. La ontología permite a Google SecOps crear entidades a partir de eventos y definir relaciones entre ellas. Este proceso te permite ver la situación completa y explorar posibles amenazas en la página Explorar. Una vez que se han definido las entidades mediante la ontología, puede ejecutar acciones en ellas en función de su rol en el ataque o el evento.

Ver el estado de la ontología

Ve a Configuración > Ontología {and_then} Estado de la ontología para ver la siguiente información:
  • Número de tipos de productos: número de productos que Google SecOps captura de tu entorno. Este número cambia a medida que se añaden más productos a tus entornos.
  • Número de tipos de eventos: número de eventos que captura Google SecOps.
  • Número de eventos asignados a familias predeterminadas: número de eventos que Google SecOps ha asignado automáticamente. Puedes reasignar un evento (en cualquier momento) buscando el valor predeterminado en la columna Nombre de familia y haciendo clic en configuración Configurar.

Puede exportar las filas de estado de ontología seleccionadas como un archivo ZIP que contenga un archivo JSON. También puedes importar filas de estado de ontología. Asegúrate de importar un archivo ZIP que contenga un archivo JSON con los detalles de la ontología.

Configurar familias de modelos

Una vez que hayas establecido una conexión de datos inicial, tendrás que hacer lo siguiente:

  1. Siga los procedimientos que se indican a continuación para asegurarse de que los datos se ingieren en el modelo de datos de Google SecOps.
  2. Mapea y modeliza nuevos eventos y alertas según tus requisitos.

Para configurar una familia de modelos, sigue estos pasos generales:

  1. Define la familia: haz clic en Configuración > Ontología > Familias visuales.
  2. Asigna la familia al evento (o al producto o a la fuente) desde la página Pestaña Eventos de alertas o la página Estado de la ontología. A continuación, haz clic en Configuración de eventos > Visualización.

Asignar campos de datos

Para asignar campos de datos, sigue estos pasos generales:

  1. En la página Gestión de casos o Explorar, corrija la información que falte o sea incorrecta en los campos.
  2. Compruebe si se puede solucionar adjuntando una nueva familia visual. De lo contrario, edite y configure las reglas que componen tanto la familia como los campos generales del sistema en la página Configuración de eventos > Asignación.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.