本体概览

支持的平台:

Google Security Operations 本体使用正式规范,可提供可共享且可重复使用的警报和事件知识表示形式。借助本体,Google SecOps 可以根据事件构建实体并定义实体之间的关系。通过此流程,您可以在探索页面上全面了解情况并探索潜在威胁。使用本体定义实体后,您可以根据实体在攻击或事件中的角色对其运行操作。

查看本体状态

前往设置 > 本体 {and_then} 本体状态,查看以下信息:
  • 产品类型数量:Google SecOps 从您的环境中捕获的产品数量。随着更多产品添加到您的环境中,此数量会不断变化。
  • 事件类型数量:Google SecOps 捕获的事件数量。
  • 分配给默认系列的事件数:Google SecOps 自动分配的事件数。您可以随时重新分配活动,方法是找到家庭名称列中的默认值,然后依次点击 设置 配置

您可以将所选的本体状态行导出为包含 JSON 文件的 ZIP 文件。您还可以导入本体状态行。请务必导入包含 JSON(其中包含本体详细信息)的 ZIP 文件。

设置模型系列

建立初始数据连接后,您需要执行以下操作:

  1. 完成以下程序,确保数据被注入到 Google SecOps 数据模型中。
  2. 根据您的要求,映射和建模新事件及提醒。

如需设置模型系列,请按以下大致步骤操作:

  1. 定义家庭:依次点击设置 > 本体 > 可视化家庭
  2. “提醒”事件标签页知识图谱状态页面中,将家庭分配给相应事件(或商品/来源),然后依次点击事件配置 > 可视化

映射数据字段

如需映射数据字段,请按以下大致步骤操作:

  1. 问题管理探索页面上,更正任何缺失或不正确的字段信息。
  2. 检查是否可以通过附加新的视觉系列来解决此问题;否则,请在“活动配置”>“映射”页面上修改并配置构成系列和常规系统字段的规则。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。