Visão geral da ontologia

Compatível com:

A ontologia do Google Security Operations usa uma especificação formal que fornece uma representação compartilhável e reutilizável de alertas e eventos. Com a ontologia, o Google SecOps cria entidades com base em eventos e define relações entre elas. Esse processo permite que você tenha uma visão geral e analise possíveis ameaças na página Explorar. Depois que as entidades são definidas usando a ontologia, é possível executar ações nelas com base na função no ataque ou evento.

Ver o status da ontologia

Acesse Configurações > Ontologia {and_then} Status da ontologia para conferir as seguintes informações:
  • Número de tipos de produtos: o número de produtos que o Google SecOps captura do seu ambiente. Esse número muda à medida que mais produtos são adicionados aos seus ambientes.
  • Número de tipos de eventos: o número de eventos que o Google SecOps captura.
  • Número de eventos atribuídos a famílias padrão: o número de eventos que o Google SecOps atribuiu automaticamente. É possível reatribuir um evento a qualquer momento. Para isso, localize o valor padrão na coluna Nome da família e clique em configurações Configurar.

É possível exportar as linhas de status da ontologia selecionadas como um arquivo ZIP que contém um arquivo JSON. Também é possível importar linhas de status da ontologia. Importe um arquivo ZIP que contenha um JSON com os detalhes da ontologia.

Configurar famílias de modelos

Depois de estabelecer uma conexão de dados inicial, faça o seguinte:

  1. Conclua os procedimentos a seguir para garantir que os dados sejam ingeridos no modelo de dados do Google SecOps.
  2. Mapear e modelar novos eventos e alertas de acordo com seus requisitos.

Para configurar uma família de modelos, siga estas etapas gerais:

  1. Defina a família: clique em Configurações > Ontologia > Famílias visuais.
  2. Atribua a família ao evento (ou produto/origem) na guia Eventos de alertas ou na página Status da ontologia. Clique em Configuração de eventos > Visualização.

Associar campos de dados

Para mapear campos de dados, siga estas etapas gerais:

  1. Na página Gerenciamento de casos ou Analisar, corrija as informações ausentes ou incorretas dos campos.
  2. Verifique se isso pode ser resolvido anexando uma nova família visual. Caso contrário, edite e configure as regras que compõem a família e os campos gerais do sistema na página Configuração de eventos > Mapeamento.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.