Mapear relações de ocorrência de segurança com famílias visuais

Compatível com:

O Google Security Operations oferece uma coleção de famílias visuais predefinidas que atendem a muitos tipos comuns de alertas. A família visual padrão inclui todos os tipos de entidade e relacionamentos fundamentais.

As famílias visuais representam relações entre entidades em um ocorrência de segurança e ajudam a identificar os principais atores e o fluxo de um incidente de segurança.

Cada família visual consiste em várias regras. Cada regra contém até quatro origens, quatro destinos e um tipo de conexão. As origens e os destinos representam tipos de entidades relevantes para o alerta, e as conexões entre eles são tipadas ou vinculadas.

  • As conexões digitadas vinculam as entidades principais (atores) em um alerta. Normalmente, eles representam uma ação realizada por uma entidade em outra (ou em si mesma) e são exibidos como uma linha com uma seta. Cada família visual precisa conter uma única regra de conexão digitada.
  • As conexões vinculadas conectam duas ou mais entidades logicamente relacionadas, como um nome do host e um endereço IP ou um e-mail e um nome de usuário. Elas são representadas por uma linha pontilhada, significando essa relação lógica.

Além disso, as famílias visuais definem quais tipos de entidade podem estar envolvidos no evento. Quando você mapeia campos de evento para entidades, os tipos de entidade permitidos são predeterminados pela família visual atribuída a esse tipo de evento.

As famílias visuais são aplicadas a eventos de um tipo ou produto específico e são agregadas dinamicamente com outros eventos para criar um gráfico de entidades visuais para todo o alerta e caso. Você pode conferir esse gráfico na página Configuração de eventos > visualização ou na página Analisar.

Definir uma família visual

Siga estas etapas para criar uma visualização que mostre as relações e conexões entre entidades:

  1. Identifique o evento que precisa de uma família visual.
  2. Classifique e mapeie os campos para os respectivos tipos de entidade. Para este exemplo, use o seguinte evento Suspicious Connection: 
        {
  "name": "Suspicious Connection", 
  "product": "SecOps", 
  "event_type": "Suspicious connection", 
  "hostname": "USER_PC", 
  "process_sha256": "6857fee8812490499164bb7efb7f457d038e82140bb1fa0adbd0dc018e404f84", 
  "process_name": "notepad.exe", 
  "destination_domain": "google.com",
  "destination_ip_address": "8.8.8.8" 
}
  3. Classifique os campos de evento para tipos de entidade específicos da seguinte maneira:
    Campo Tipo de entidade
    nome do host SourceHostName
    process_name SourceProcessName
    process_sha256 FileHash
    destination_domain DestinationDomain
    destination_ip_address DestinationAddress
  4. Acesse Configurações > Ontologia > Famílias visuais.
  5. Selecione adicionar Adicionar e insira um nome e uma descrição.
  6. Defina a regra de conexão tipada obrigatória identificando a ação principal. Neste exemplo, como um processo criou uma conexão com um domínio, a entidade process é a origem e a entidade domain é o destino.
  7. Defina entidades logicamente relacionadas com regras de conexão vinculadas. Usando o mesmo exemplo de evento, é possível observar várias relações:
    • SourceProcessName foi executado em SourceHostName.
    • O hash SourceProcessName é a entidade FileHash
    • DestinationDomain e DestinationAddress representam o destino do processo.
  8. Salve a família visual. Depois de salvar, você pode adicionar uma imagem que represente a família visual na tabela Configurações > Ontologia > Famílias visuais.

Entidades flutuantes

Uma entidade flutuante é aquela que aparece em uma visualização de gráfico sem conexões com outras entidades. Isso pode acontecer por alguns motivos principais, e entender por quê é crucial para uma análise e visualização de dados eficazes:

  • Falta de uma regra de conexão na família visual: a família visual, que define como os eventos são mostrados, pode não ter uma regra para vincular o tipo de entidade flutuante a um tipo de entidade existente no evento. Por exemplo, uma entidade "User" pode ser definida, mas não há uma regra especificando que ela deve ser conectada a uma entidade "File" em um evento "File Access".
  • Dados de evento incompletos: os dados de evento podem não ter as informações necessárias para criar um link. Por exemplo, um evento de conexão de rede pode não ter um endereço IP de destino, o que impede que ele seja conectado a uma entidade de host.
  • Entidades isoladas: uma entidade pode ser criada, mas nunca referenciada por outro evento, o que a torna "isolada". Por exemplo, uma nova conta de usuário foi criada, mas ainda não realizou nenhuma ação que gere eventos para vincular a ela.

Para resolver o problema das entidades flutuantes, faça o seguinte:

  • Revise a família visual: verifique se ela tem as regras necessárias para conectar os tipos de entidade. Caso contrário, talvez seja necessário criar uma regra para estabelecer a relação.
  • Inspecione os dados brutos de eventos: examine os dados brutos do evento para ver se os campos obrigatórios para mapeamento (por exemplo, IP de origem, porta de destino, ID do usuário) estão presentes.
  • Ajuste o mapeamento de campos: se os dados existirem, mas não estiverem sendo mapeados corretamente, ajuste o mapeamento para garantir que os campos de evento certos estejam preenchendo as propriedades da entidade.

Saiba como criar entidades (mapeamento e modelagem) e configurar o mapeamento e atribuir famílias visuais.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.