Descripción general de la ontología

Compatible con:

La ontología de Google Security Operations usa una especificación formal que proporciona una representación basada en el conocimiento compartible y reutilizable de las alertas y los eventos. La ontología permite que Google SecOps cree entidades a partir de eventos y defina relaciones entre ellas. Este proceso te permite ver el panorama completo y explorar posibles amenazas en la página Explorar. Una vez que se definen las entidades con la ontología, puedes ejecutar acciones en ellas según su rol en el ataque o evento.

Cómo ver el estado de la ontología

Ve a Configuración > Ontology {y_luego} Ontology Status para ver la siguiente información:
  • Cantidad de tipos de productos: Es la cantidad de productos que Google SecOps captura de tu entorno. Este número cambia a medida que se agregan más productos a tus entornos.
  • Cantidad de tipos de eventos: Es la cantidad de eventos que captura Google SecOps.
  • Cantidad de eventos asignados a familias predeterminadas: Es la cantidad de eventos que Google SecOps asignó automáticamente. Puedes reasignar un evento (en cualquier momento). Para ello, busca el valor predeterminado en la columna Nombre de familia y haz clic en Configuración Configurar.

Puedes exportar las filas de estado de la ontología seleccionadas como un archivo ZIP que contiene un archivo JSON. También puedes importar filas de estado de la ontología. Asegúrate de importar un archivo ZIP que contenga un archivo JSON con los detalles de la ontología.

Configura familias de modelos

Después de establecer una conexión de datos inicial, deberás hacer lo siguiente:

  1. Completa los siguientes procedimientos para asegurarte de que los datos se transfieran al modelo de datos de Google SecOps.
  2. Crear mapas y modelos de eventos y alertas nuevos según tus requisitos

Para configurar una familia de modelos, sigue estos pasos generales:

  1. Define la familia: Haz clic en Configuración > Ontología > Familias visuales.
  2. Asigna la familia al evento (o producto/fuente) desde la pestaña Eventos de alertas o la página Estado de la ontología, haz clic en Visualización de la configuración del evento >.

Campos de datos de asignación

Para asignar campos de datos, sigue estos pasos generales:

  1. En la página Administración de casos o Explorar, corrige la información de los campos que falte o sea incorrecta.
  2. Comprueba si se puede resolver adjuntando una nueva familia visual. De lo contrario, edita y configura las reglas que componen tanto la familia como los campos generales del sistema en la página Event Configuration > Mapping.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.