Présentation de l'ontologie

Compatible avec :

L'ontologie Google Security Operations utilise une spécification formelle qui fournit une représentation partageable et réutilisable des alertes et des événements. L'ontologie permet à Google SecOps de créer des entités à partir d'événements et de définir des relations entre elles. Ce processus vous permet d'avoir une vue d'ensemble et d'explorer les menaces potentielles sur la page Explorer. Une fois les entités définies à l'aide de l'ontologie, vous pouvez exécuter des actions sur celles-ci en fonction de leur rôle dans l'attaque ou l'événement.

Afficher l'état de l'ontologie

Accédez à Paramètres> Ontologie {and_then} État de l'ontologie pour afficher les informations suivantes :
  • Nombre de types de produits : nombre de produits que Google SecOps capture dans votre environnement. Ce nombre est susceptible de changer à mesure que des produits sont ajoutés à vos environnements.
  • Nombre de types d'événements : nombre d'événements capturés par Google SecOps.
  • Nombre d'événements attribués à des familles par défaut : nombre d'événements que Google SecOps a attribués automatiquement. Vous pouvez réattribuer un événement (à tout moment) en recherchant la valeur par défaut dans la colonne Nom de la famille, puis en cliquant sur Paramètres Configurer.

Vous pouvez exporter les lignes d'état de l'ontologie sélectionnées sous la forme d'un fichier ZIP contenant un fichier JSON. Vous pouvez également importer des lignes d'état d'ontologie. Veillez à importer un fichier ZIP contenant un fichier JSON avec les détails de l'ontologie.

Configurer des familles de modèles

Une fois que vous avez établi une connexion de données initiale, vous devez effectuer les opérations suivantes :

  1. Effectuez les procédures suivantes pour vous assurer que les données sont ingérées dans le modèle de données Google SecOps.
  2. Mappez et modélisez de nouveaux événements et alertes en fonction de vos besoins.

Pour configurer une famille de modèles, procédez comme suit :

  1. Définissez la famille : cliquez sur Paramètres > Ontologie > Familles visuelles.
  2. Attribuez la famille à l'événement (ou au produit/à la source) depuis l'onglet Événements d'alertes ou la page État de l'ontologie, puis cliquez sur Configuration des événements > Visualisation.

Mapper les champs de données

Pour mapper les champs de données, suivez ces étapes générales :

  1. Sur la page Gestion des demandes ou Explorer, corrigez les informations manquantes ou incorrectes dans les champs.
  2. Vérifiez si vous pouvez résoudre le problème en associant une nouvelle famille visuelle. Sinon, modifiez et configurez les règles qui composent à la fois la famille et les champs généraux du système sur la page Configuration des événements > Mappage.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.