本體總覽

支援的國家/地區:

Google Security Operations 術語集採用正式規格,可提供警報和事件的知識表示,方便共用及重複使用。Google SecOps 可透過本體從事件建立實體,並定義實體之間的關係。您可以在「探索」頁面查看完整情況,並探索潛在威脅。使用本體定義實體後,您就能根據實體在攻擊或事件中的角色,對實體執行動作。

查看本體狀態

依序前往「設定」>「本體」{and_then}「本體狀態」,即可查看下列資訊:
  • 產品類型數量:Google SecOps 從環境擷取的產品數量。隨著更多產品新增至環境,這個數字也會隨之變動。
  • 事件類型數量:Google SecOps 擷取的事件數量。
  • 指派給預設分組的事件數:Google SecOps 自動指派的事件數。如要重新指派事件 (隨時可以),請在「家庭名稱」欄中找出預設值,然後按一下「設定」 「設定」

您可以將所選本體狀態列匯出為 ZIP 檔案,內含 JSON 檔案。您也可以匯入本體狀態列。請務必匯入包含本體詳細資料的 JSON 檔案。

設定模型系列

建立初始資料連結後,請完成下列步驟:

  1. 完成下列程序,確保資料會擷取至 Google SecOps 資料模型。
  2. 根據需求對應及模擬新事件和快訊。

如要設定模型系列,請按照下列高階步驟操作:

  1. 定義家庭:依序點選「設定」>「本體」>「視覺化家庭」
  2. 從「快訊事件」分頁或「本體狀態」頁面,將系列指派給事件 (或產品/來源),然後依序點選「事件設定」> 視覺化

對應資料欄位

如要對應資料欄位,請按照下列高階步驟操作:

  1. 在「案件管理」或「探索」頁面中,修正任何遺漏或錯誤的欄位資訊。
  2. 檢查是否可透過附加新的視覺化系列解決問題;否則,請在「事件設定」>「對應」頁面上,編輯及設定構成系列和一般系統欄位的規則。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。