Asigna relaciones de eventos de seguridad con familias visuales

Compatible con:

Google Security Operations proporciona una colección de familias visuales predefinidas que se adaptan a muchos tipos de alertas comunes. La familia visual predeterminada incluye todos los tipos de entidades y las relaciones fundamentales.

Las familias visuales representan las relaciones entre las entidades en un evento de seguridad y ayudan a identificar a los actores clave y el flujo de un incidente de seguridad.

Cada familia visual consta de varias reglas. Cada regla contiene hasta cuatro fuentes, hasta cuatro destinos y un tipo de conexión. Tanto las fuentes como los destinos representan tipos de entidades relevantes para la alerta, y las conexiones entre ellos son Typed o Linked.

  • Las conexiones tipificadas vinculan las entidades principales (actores) dentro de una alerta. Por lo general, representan una acción que realiza una entidad sobre otra (o sobre sí misma) y se muestran como una línea con una flecha. Cada familia visual debe contener una sola regla de conexión escrita.
  • Las conexiones vinculadas conectan dos o más entidades relacionadas de forma lógica, como un nombre de host y una dirección IP, o un correo electrónico y un nombre de usuario. Se representan con una línea punteada, lo que significa esta relación lógica.

Además, las familias visuales definen qué tipos de entidades pueden participar en el evento. Cuando asignas campos de eventos a entidades, los tipos de entidades permitidos están predeterminados por la familia visual asignada a ese tipo de evento.

Las familias visuales se aplican a eventos de un tipo o producto específico, y se agregan de forma dinámica con otros eventos para crear un gráfico de entidades visuales para toda la alerta y el caso. Puedes ver este gráfico en la página Configuración del evento > Visualización o en la página Explorar.

Define una familia visual

Sigue estos pasos para crear una visualización que muestre las relaciones y las conexiones entre entidades:

  1. Identifica el evento que requiere una familia visual.
  2. Clasifica y asigna los campos a sus respectivos tipos de entidades. En este ejemplo, usa el siguiente evento Suspicious Connection: 
        {
  "name": "Suspicious Connection", 
  "product": "SecOps", 
  "event_type": "Suspicious connection", 
  "hostname": "USER_PC", 
  "process_sha256": "6857fee8812490499164bb7efb7f457d038e82140bb1fa0adbd0dc018e404f84", 
  "process_name": "notepad.exe", 
  "destination_domain": "google.com",
  "destination_ip_address": "8.8.8.8" 
}
  3. Clasifica los campos de eventos en tipos de entidades específicos de la siguiente manera:
    Campo Tipo de entidad
    Nombre de host SourceHostName
    process_name SourceProcessName
    process_sha256 FileHash
    destination_domain DestinationDomain
    destination_ip_address DestinationAddress
  4. Ve a Configuración > Ontología > Familias visuales.
  5. Selecciona add Agregar y, luego, ingresa un nombre y una descripción.
  6. Define la regla de conexión obligatoria con tipo identificando la acción principal. En este ejemplo, como un proceso creó una conexión a un dominio, la entidad process es la fuente y la entidad domain es el destino.
  7. Define entidades relacionadas de forma lógica con reglas de conexión vinculadas. Con el mismo ejemplo de evento, puedes observar varias relaciones:
    • SourceProcessName se ejecutó en SourceHostName.
    • El hash SourceProcessName es la entidad FileHash.
    • DestinationDomain y DestinationAddress representan el destino del proceso.
  8. Guarda la familia visual. Una vez que la guardes, puedes agregar de forma opcional una imagen que represente la familia visual en la tabla Configuración > Ontología > Familias visuales.

Entidades flotantes

Una entidad flotante es aquella que aparece en una visualización de gráfico sin ninguna conexión con otras entidades. Esto puede ocurrir por varios motivos clave, y comprenderlos es fundamental para un análisis y una visualización de datos eficaces:

  • Falta una regla de conexión en la familia visual: Es posible que la familia visual, que define cómo se muestran los eventos, no tenga una regla para vincular el tipo de entidad flotante a un tipo de entidad existente dentro del evento. Por ejemplo, se puede definir una entidad de usuario, pero no hay ninguna regla que especifique que debe conectarse a una entidad de archivo en un evento de "Acceso al archivo".
  • Datos de eventos incompletos: Es posible que a los datos del evento les falte la información necesaria para crear un vínculo. Por ejemplo, un evento de conexión de red podría no tener una dirección IP de destino, lo que impide que se conecte a una entidad de host.
  • Entidades aisladas: Se puede crear una entidad, pero nunca se hace referencia a ella en ningún otro evento, lo que la convierte en "aislada". Por ejemplo, se crea una cuenta de usuario nueva, pero aún no se realizaron acciones que generen eventos para vincularlos a ella.

Para abordar las entidades flotantes, puedes realizar las siguientes acciones:

  • Revisa la familia visual: Comprueba si la familia visual tiene las reglas necesarias para conectar los tipos de entidades. De lo contrario, es posible que debas crear una regla nueva para establecer la relación.
  • Inspecciona los datos sin procesar del evento: Examina los datos sin procesar del evento para ver si están presentes los campos obligatorios para la asignación (por ejemplo, la IP de origen, el puerto de destino y el ID de usuario).
  • Ajusta la asignación de campos: Si los datos existen, pero no se asignan correctamente, ajusta la asignación de campos para asegurarte de que los campos de eventos correctos completen las propiedades de la entidad.

Obtén más información para crear entidades (asignación y modelado) y configurar la asignación y asignar familias visuales.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.