Beziehungen zwischen Sicherheitsereignissen mit visuellen Familien abbilden

Google Security Operations bietet eine Sammlung vordefinierter visueller Familien, die für viele gängige Benachrichtigungstypen geeignet sind. Die Standardvisualisierung umfasst alle Entitätstypen und grundlegenden Beziehungen.

Visuelle Familien stellen Beziehungen zwischen Entitäten in einem Sicherheitsereignis dar und helfen, wichtige Akteure und den Ablauf eines Sicherheitsvorfalls zu identifizieren.

Jede visuelle Familie besteht aus mehreren Regeln. Jede Regel enthält bis zu vier Quellen, bis zu vier Ziele und einen Verbindungstyp. Sowohl Quellen als auch Ziele stellen für die Benachrichtigung relevante Entitätstypen dar. Verbindungen zwischen ihnen sind entweder Typed (Typisiert) oder Linked (Verknüpft).

• Typisierte Verbindungen verknüpfen die primären Entitäten (Akteure) in einer Benachrichtigung. Sie stellen in der Regel eine Aktion dar, die von einer Einheit an einer anderen (oder an sich selbst) ausgeführt wird, und werden als Linie mit Pfeilspitze dargestellt. Jede visuelle Familie muss eine einzelne typisierte Verbindungsregel enthalten.
• Verknüpfte Verbindungen verbinden zwei oder mehr logisch zusammenhängende Einheiten, z. B. einen Hostnamen und eine IP-Adresse oder eine E-Mail-Adresse und einen Nutzernamen. Sie werden durch eine gepunktete Linie dargestellt, die diese logische Beziehung kennzeichnet.

Außerdem wird durch visuelle Familien festgelegt, welche Entitätstypen an der Veranstaltung beteiligt sein können. Wenn Sie Ereignisfelder Entitäten zuordnen, werden die zulässigen Entitätstypen durch die der Ereignisart zugewiesene visuelle Familie vorgegeben.

Visuelle Familien werden auf Ereignisse eines bestimmten Typs oder Produkts angewendet und dynamisch mit anderen Ereignissen zusammengefasst, um ein visuelles Entity-Diagramm für die gesamte Benachrichtigung und den gesamten Fall zu erstellen. Sie können dieses Diagramm auf der Seite Ereigniskonfiguration > Visualisierung oder auf der Seite Erkunden aufrufen.

Visuelle Familie definieren

So erstellen Sie eine Visualisierung, in der die Beziehungen und Verbindungen zwischen Entitäten dargestellt werden:

1. Ermitteln Sie das Ereignis, für das eine visuelle Familie erforderlich ist.
2. Klassifizieren und ordnen Sie die Felder den entsprechenden Entitätstypen zu. Verwenden Sie für dieses Beispiel das folgende Suspicious Connection-Ereignis:

       {
     "name": "Suspicious Connection", 
     "product": "SecOps", 
     "event_type": "Suspicious connection", 
     "hostname": "USER_PC", 
     "process_sha256": "6857fee8812490499164bb7efb7f457d038e82140bb1fa0adbd0dc018e404f84", 
     "process_name": "notepad.exe", 
     "destination_domain": "google.com",
     "destination_ip_address": "8.8.8.8" 
   }
       

3. Weisen Sie Ereignisfelder bestimmten Entitätstypen zu:

   Feld	Entitätstyp
   Hostname	SourceHostName
   process_name	SourceProcessName
   process_sha256	FileHash
   destination_domain	DestinationDomain
   destination_ip_address	DestinationAddress

4. Gehen Sie zu Einstellungen > Ontologie > Visuelle Familien.
5. Wählen Sie Hinzufügen Hinzufügen aus und geben Sie einen Namen und eine Beschreibung ein.
6. Definieren Sie die obligatorische typisierte Verbindungsregel, indem Sie die primäre Aktion angeben. In diesem Beispiel ist die process-Entität die Quelle und die domain-Entität das Ziel, da ein Prozess eine Verbindung zu einer Domain hergestellt hat.
7. Definieren Sie logisch zusammenhängende Entitäten mit verknüpften Verbindungsregeln. Anhand desselben Ereignisbeispiels lassen sich mehrere Beziehungen beobachten:
   • SourceProcessName wurde am SourceHostName ausgeführt.
   • Der SourceProcessName-Hash ist die FileHash-Entität.
   • DestinationDomain und DestinationAddress stellen das Ziel des Prozesses dar.
8. Speichern Sie die visuelle Familie. Nach dem Speichern können Sie optional ein Bild hinzufügen, das die visuelle Familie in der Tabelle Einstellungen > Ontologie > Visuelle Familien darstellt.

Floating-Entitäten

Eine schwebende Einheit ist eine Einheit, die in einer Diagrammvisualisierung ohne Verbindungen zu anderen Einheiten angezeigt wird. Dafür kann es mehrere Gründe geben. Es ist wichtig, diese zu verstehen, um Daten effektiv analysieren und visualisieren zu können:

• Fehlende Verbindungsregel in der visuellen Familie: Die visuelle Familie, die definiert, wie Ereignisse dargestellt werden, hat möglicherweise keine Regel, um den schwebenden Entitätstyp mit einem vorhandenen Entitätstyp im Ereignis zu verknüpfen. Beispiel: Eine User-Entität ist definiert, aber es gibt keine Regel, die angibt, dass sie in einem „File Access“-Ereignis mit einer File-Entität verknüpft werden soll.
• Unvollständige Ereignisdaten: In den Ereignisdaten selbst fehlen möglicherweise die Informationen, die zum Erstellen eines Links erforderlich sind. Bei einem Ereignis für eine Netzwerkverbindung fehlt möglicherweise eine Ziel-IP-Adresse, sodass es nicht mit einer Host-Einheit verknüpft werden kann.
• Isolierte Entitäten: Eine Entität wird möglicherweise erstellt, aber nie von einem anderen Ereignis referenziert, wodurch sie „isoliert“ ist. Beispiel: Ein neues Nutzerkonto wird erstellt, aber es wurden noch keine Aktionen ausgeführt, die Ereignisse generieren, die damit verknüpft werden könnten.

So können Sie mit schwebenden Entitäten umgehen:

• Visuelle Familie überprüfen: Prüfen Sie, ob die visuelle Familie die erforderlichen Regeln zum Verknüpfen der Rechtssubjekttypen enthält. Andernfalls müssen Sie möglicherweise eine neue Regel erstellen, um die Beziehung herzustellen.
• Rohdaten des Ereignisses prüfen: Untersuchen Sie die Rohdaten des Ereignisses, um festzustellen, ob die erforderlichen Felder für die Zuordnung (z. B. Quell-IP, Zielport, Nutzer-ID) vorhanden sind.
• Feldzuordnung anpassen: Wenn die Daten vorhanden sind, aber nicht richtig zugeordnet werden, passen Sie die Feldzuordnung an, damit die richtigen Ereignisfelder die Attributwerte der Einheit enthalten.

Weitere Informationen zum Erstellen von Einheiten (Zuordnung und Modellierung) und zum Konfigurieren der Zuordnung und Zuweisen visueller Familien