オントロジーの概要

Google Security Operations オントロジーは、アラートとイベントの共有可能で再利用可能な知識表現を提供する正式な仕様を使用します。オントロジーを使用すると、Google SecOps はイベントからエンティティを構築し、エンティティ間の関係を定義できます。このプロセスでは、全体像を把握し、[ピックアップ] ページで潜在的な脅威を調べることができます。オントロジーを使用してエンティティを定義したら、攻撃やイベントでの役割に基づいてエンティティに対してアクションを実行できます。

オントロジーのステータスを表示する

• プロダクトタイプの数: Google SecOps が環境からキャプチャするプロダクトの数。この数は、環境にプロダクトが追加されるたびに変動します。
• イベントタイプの数: Google SecOps がキャプチャするイベントの数。
• デフォルトのファミリーに割り当てられたイベントの数: Google SecOps が自動的に割り当てたイベントの数。イベントを再割り当てするには、[ファミリー名] 列でデフォルト値を見つけて、 設定 アイコン [構成] をクリックします。

選択したオントロジー ステータス行を、JSON ファイルを含む ZIP ファイルとしてエクスポートできます。オントロジーのステータス行をインポートすることもできます。オントロジーの詳細を含む JSON を含む ZIP ファイルをインポートしてください。

モデル ファミリーを設定する

最初のデータ接続を確立したら、次の操作を行う必要があります。

1. 次の手順を完了して、データが Google SecOps データモデルに取り込まれるようにします。
2. 要件に応じて、新しいイベントとアラートをマッピングしてモデル化します。

モデル ファミリーを設定する手順の概要は次のとおりです。

1. ファミリーを定義します。[Settings] > [Ontology] > [Visual Families] をクリックします。
2. [アラート イベント] タブまたは [オントロジーのステータス] ページで、イベント（またはプロダクト/ソース）にファミリを割り当て、[イベント構成 > 可視化] をクリックします。

データ フィールドのマッピング

データ フィールドをマッピングする手順の概要は次のとおりです。

1. [ケース管理] ページまたは [探索] ページで、不足しているフィールド情報や誤ったフィールド情報を修正します。
2. 新しいビジュアル ファミリーを添付することで解決できるかどうかを確認します。解決できない場合は、[イベント設定] > [マッピング] ページで、ファミリーと一般的なシステム フィールドの両方を構成するルールを編集して設定します。