Asignar relaciones de eventos de seguridad con familias visuales

Disponible en:

Google Security Operations ofrece una colección de familias visuales predefinidas que se adaptan a muchos tipos de alertas habituales. La familia visual predeterminada incluye todos los tipos de entidades y las relaciones fundamentales.

Las familias visuales representan las relaciones entre entidades en un evento de seguridad y ayudan a identificar a los actores clave y el flujo de un incidente de seguridad.

Cada familia visual consta de varias reglas. Cada regla contiene hasta cuatro orígenes, cuatro destinos y un tipo de conexión. Tanto las fuentes como los destinos representan tipos de entidades relevantes para la alerta, y las conexiones entre ellos son tipificadas o vinculadas.

  • Las conexiones tipadas vinculan las entidades principales (actores) de una alerta. Normalmente, representan una acción realizada por una entidad sobre otra (o sobre sí misma) y se muestran como una línea con una flecha. Cada familia visual debe contener una única regla de conexión tipada.
  • Las conexiones vinculadas conectan dos o más entidades relacionadas lógicamente, como un nombre de host y una dirección IP, o un correo electrónico y un nombre de usuario. Se representan con una línea de puntos, que indica esta relación lógica.

Además, las familias visuales definen qué tipos de entidades pueden participar en el evento. Cuando asignas campos de evento a entidades, los tipos de entidad permitidos se predeterminan por la familia visual asignada a ese tipo de evento.

Las familias visuales se aplican a eventos de un tipo o producto específico y se agregan dinámicamente con otros eventos para crear un gráfico de entidades visuales de toda la alerta y el caso. Puede ver este gráfico en la página Configuración de eventos > Visualización o en la página Explorar.

Definir una familia visual

Sigue estos pasos para crear una visualización que muestre las relaciones y las conexiones entre entidades:

  1. Identifique el evento que requiera una familia visual.
  2. Clasifica y asigna los campos a sus respectivos tipos de entidad. En este ejemplo, usa el evento Suspicious Connection: 
        {
  "name": "Suspicious Connection", 
  "product": "SecOps", 
  "event_type": "Suspicious connection", 
  "hostname": "USER_PC", 
  "process_sha256": "6857fee8812490499164bb7efb7f457d038e82140bb1fa0adbd0dc018e404f84", 
  "process_name": "notepad.exe", 
  "destination_domain": "google.com",
  "destination_ip_address": "8.8.8.8" 
}
  3. Clasifica los campos de eventos en tipos de entidad específicos de la siguiente manera:
    Campo Tipo de entidad
    nombre de host SourceHostName
    process_name SourceProcessName
    process_sha256 FileHash
    destination_domain DestinationDomain
    destination_ip_address DestinationAddress
  4. Ve a Configuración > Ontología > Familias visuales.
  5. Selecciona Añadir Añadir y escribe un nombre y una descripción.
  6. Define la regla de conexión obligatoria con tipo identificando la acción principal. En este ejemplo, como un proceso ha creado una conexión a un dominio, la entidad process es el origen y la entidad domain es el destino.
  7. Define entidades relacionadas de forma lógica con reglas de conexión vinculadas. Siguiendo con el mismo ejemplo de evento, puedes observar varias relaciones:
    • SourceProcessName se ejecutó el SourceHostName.
    • El hash SourceProcessName es la entidad FileHash
    • DestinationDomain y DestinationAddress representan el destino del proceso.
  8. Guarda la familia visual. Una vez guardada, puedes añadir una imagen que represente la familia visual en la tabla Ajustes > Ontología > Familias visuales.

Entidades flotantes

Una entidad flotante es aquella que aparece en una visualización de gráfico sin ninguna conexión con otras entidades. Esto puede ocurrir por varios motivos clave, y es fundamental entender por qué para llevar a cabo análisis y visualizaciones de datos eficaces:

  • Falta una regla de conexión en la familia visual: es posible que la familia visual, que define cómo se muestran los eventos, no tenga una regla para vincular el tipo de entidad flotante con un tipo de entidad que ya exista en el evento. Por ejemplo, se puede definir una entidad Usuario, pero no hay ninguna regla que especifique que debe conectarse a una entidad Archivo en un evento "Acceso a archivo".
  • Datos de evento incompletos: puede que falte la información necesaria para crear un enlace en los datos del evento. Por ejemplo, un evento de una conexión de red puede no tener una dirección IP de destino, lo que impide que se conecte a una entidad Host.
  • Entidades aisladas: se puede crear una entidad, pero nunca se hace referencia a ella en ningún otro evento, por lo que se considera "aislada". Por ejemplo, se crea una cuenta de usuario nueva, pero aún no ha realizado ninguna acción que genere eventos para vincularlos a ella.

Para solucionar el problema de las entidades flotantes, puedes hacer lo siguiente:

  • Revisa la familia visual: comprueba si la familia visual tiene las reglas necesarias para conectar los tipos de entidad. Si no es así, puede que tenga que crear una regla para establecer la relación.
  • Inspeccionar los datos de eventos sin procesar: examina los datos sin procesar del evento para ver si están presentes los campos necesarios para la asignación (por ejemplo, la IP de origen, el puerto de destino y el ID de usuario).
  • Ajustar la asignación de campos: si los datos existen, pero no se asignan correctamente, ajuste la asignación de campos para asegurarse de que los campos de evento correctos rellenan las propiedades de la entidad.

Consulta más información sobre cómo crear entidades (asignación y modelización) y configurar la asignación y asignar familias visuales.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.