Mappez les relations entre les événements de sécurité avec des familles visuelles

Google Security Operations propose une collection de familles visuelles prédéfinies qui s'adaptent à de nombreux types d'alertes courants. La famille visuelle par défaut inclut tous les types d'entités et les relations fondamentales.

Les familles visuelles représentent les relations entre les entités d'un événement de sécurité et aident à identifier les acteurs clés et le déroulement d'un incident de sécurité.

Chaque famille visuelle se compose de plusieurs règles. Chaque règle contient jusqu'à quatre sources, jusqu'à quatre destinations et un type de connexion. Les sources et les destinations représentent des types d'entités pertinents pour l'alerte. Les connexions entre elles sont typées ou associées.

• Les connexions typées associent les entités principales (acteurs) d'une alerte. Elles représentent généralement une action effectuée par une entité sur une autre (ou sur elle-même) et sont affichées sous forme de ligne avec une flèche. Chaque famille visuelle doit contenir une seule règle de connexion typée.
• Les connexions associées relient deux entités ou plus qui sont logiquement liées, comme un nom d'hôte et une adresse IP, ou une adresse e-mail et un nom d'utilisateur. Elles sont représentées par une ligne pointillée, qui indique cette relation logique.

De plus, les familles visuelles définissent les types d'entités pouvant être impliqués dans l'événement. Lorsque vous mappez des champs d'événement à des entités, les types d'entités autorisés sont prédéterminés par la famille visuelle attribuée à ce type d'événement.

Les familles visuelles sont appliquées aux événements d'un type ou d'un produit spécifique, et sont agrégées de manière dynamique avec d'autres événements pour créer un graphique d'entités visuelles pour l'ensemble de l'alerte et de la demande. Vous pouvez consulter ce graphique sur la page Configuration des événements > Visualisation ou sur la page Explorer.

Définir une famille visuelle

Pour créer une visualisation qui montre les relations et les connexions entre les entités, procédez comme suit :

1. Identifiez l'événement nécessitant une famille visuelle.
2. Classez et mappez les champs sur leurs types d'entités respectifs. Pour cet exemple, utilisez l'événement Suspicious Connection suivant :

       {
     "name": "Suspicious Connection", 
     "product": "SecOps", 
     "event_type": "Suspicious connection", 
     "hostname": "USER_PC", 
     "process_sha256": "6857fee8812490499164bb7efb7f457d038e82140bb1fa0adbd0dc018e404f84", 
     "process_name": "notepad.exe", 
     "destination_domain": "google.com",
     "destination_ip_address": "8.8.8.8" 
   }
       

3. Classez les champs d'événement selon des types d'entité spécifiques comme suit :

   Champ	Type d'entité
   nom d'hôte	SourceHostName
   process_name	SourceProcessName
   process_sha256	FileHash
   destination_domain	DestinationDomain
   destination_ip_address	DestinationAddress

4. Accédez à Paramètres > Ontologie > Familles visuelles.
5. Sélectionnez add Ajouter, puis saisissez un nom et une description.
6. Définissez la règle de connexion typée obligatoire en identifiant l'action principale. Dans cet exemple, comme un processus a créé une connexion à un domaine, l'entité process est la source et l'entité domain est la destination.
7. Définissez des entités logiquement liées avec des règles de connexion associées. En reprenant l'exemple d'événement, vous pouvez observer plusieurs relations :
   • SourceProcessName a été exécuté le SourceHostName.
   • Le hachage SourceProcessName est l'entité FileHash.
   • DestinationDomain et DestinationAddress représentent la destination du processus.
8. Enregistrez la famille visuelle. Une fois enregistrée, vous pouvez éventuellement ajouter une image représentant la famille visuelle dans le tableau Paramètres > Ontologie > Familles visuelles.

Entités flottantes

Une entité flottante est une entité qui apparaît dans une visualisation de graphique sans aucune connexion à d'autres entités. Cela peut s'expliquer par plusieurs raisons essentielles. Il est crucial de les comprendre pour analyser et visualiser efficacement les données :

• Règle de connexion manquante dans la famille visuelle : il est possible que la famille visuelle, qui définit la façon dont les événements sont affichés, ne comporte pas de règle permettant d'associer le type d'entité flottante à un type d'entité existant dans l'événement. Par exemple, une entité "Utilisateur" peut être définie, mais aucune règle ne spécifie qu'elle doit être associée à une entité "Fichier" dans un événement "Accès au fichier".
• Données d'événement incomplètes : il est possible que les données d'événement elles-mêmes ne contiennent pas les informations nécessaires à la création d'un lien. Par exemple, un événement de connexion réseau peut ne pas comporter d'adresse IP de destination, ce qui l'empêche d'être associé à une entité hôte.
• Entités isolées : une entité peut être créée, mais ne jamais être référencée par un autre événement, ce qui la rend "isolée". Par exemple, un compte utilisateur a été créé, mais n'a pas encore effectué d'actions susceptibles de générer des événements à associer.

Pour résoudre le problème des entités flottantes, vous pouvez effectuer les actions suivantes :

• Examiner la famille visuelle : vérifiez si la famille visuelle comporte les règles nécessaires pour connecter les types d'entités. Si ce n'est pas le cas, vous devrez peut-être créer une règle pour établir la relation.
• Inspectez les données brutes de l'événement : examinez les données brutes de l'événement pour voir si les champs requis pour le mappage (par exemple, l'adresse IP source, le port de destination, l'ID utilisateur) sont présents.
• Ajustez le mappage des champs : si les données existent, mais ne sont pas mappées correctement, ajustez le mappage des champs pour vous assurer que les bons champs d'événement remplissent les propriétés de l'entité.

Découvrez comment créer des entités (mappage et modélisation) et configurer le mappage et attribuer des familles visuelles.