온톨로지 개요

Google Security Operations 온톨로지는 알림과 이벤트의 공유 가능하고 재사용 가능한 지식 표현을 제공하는 공식 사양을 사용합니다. 온톨로지를 사용하면 Google SecOps가 이벤트에서 항목을 빌드하고 항목 간의 관계를 정의할 수 있습니다. 이 프로세스를 통해 전체 상황을 파악하고 탐색 페이지에서 잠재적인 위협을 살펴볼 수 있습니다. 온톨로지를 사용하여 엔티티를 정의한 후에는 공격 또는 이벤트에서의 역할을 기반으로 엔티티에 작업을 실행할 수 있습니다.

온톨로지 상태 보기

• 제품 유형 수: Google SecOps에서 환경에서 캡처한 제품 수입니다. 환경에 제품이 추가됨에 따라 이 숫자는 변동됩니다.
• 이벤트 유형 수: Google SecOps에서 캡처하는 이벤트 수입니다.
• 기본 계열에 할당된 이벤트 수: Google SecOps에서 자동으로 할당한 이벤트 수입니다. 성 열에서 기본값을 찾아 설정 구성을 클릭하면 언제든지 이벤트를 재할당할 수 있습니다.

선택한 온톨로지 상태 행을 JSON 파일이 포함된 ZIP 파일로 내보낼 수 있습니다. 온톨로지 상태 행을 가져올 수도 있습니다. 온톨로지 세부정보가 포함된 JSON이 포함된 ZIP 파일을 가져와야 합니다.

모델 패밀리 설정

초기 데이터 연결을 설정한 후 다음을 수행해야 합니다.

1. 데이터가 Google SecOps 데이터 모델로 수집되도록 하려면 다음 절차를 완료하세요.
2. 요구사항에 따라 새로운 이벤트와 알림을 매핑하고 모델링합니다.

모델 패밀리를 설정하려면 다음 고급 단계를 따르세요.

1. 가족 정의: 설정 > 온톨로지 > 시각적 가족을 클릭합니다.
2. 알림 이벤트 탭 또는 온톨로지 상태 페이지에서 가족을 이벤트 (또는 제품/소스)에 할당하고 이벤트 구성 > 시각화를 클릭합니다.

데이터 필드 매핑

데이터 필드를 매핑하려면 다음 단계를 따르세요.

1. 케이스 관리 또는 탐색 페이지에서 누락되었거나 잘못된 입력란 정보를 수정합니다.
2. 새 시각적 계열을 연결하여 이 문제를 해결할 수 있는지 확인합니다. 그렇지 않은 경우 이벤트 구성 > 매핑 페이지에서 계열과 일반 시스템 필드를 모두 구성하는 규칙을 수정하고 구성합니다.