Memetakan hubungan peristiwa keamanan dengan keluarga visual

Didukung di:

Google Security Operations menyediakan kumpulan keluarga visual yang telah ditentukan sebelumnya yang sesuai dengan berbagai jenis pemberitahuan umum. Keluarga visual default mencakup semua jenis entity dan hubungan mendasar.

Kelompok visual merepresentasikan hubungan antara entitas dalam peristiwa keamanan dan membantu mengidentifikasi aktor utama dan alur insiden keamanan.

Setiap keluarga visual terdiri dari beberapa aturan. Setiap aturan berisi hingga empat sumber, hingga empat tujuan, dan jenis koneksi. Sumber dan tujuan merepresentasikan jenis entitas yang relevan dengan pemberitahuan, dan koneksi di antara keduanya adalah Berjenis atau Tertaut.

  • Koneksi berjenis menautkan entitas utama (aktor) dalam pemberitahuan. Biasanya mewakili mewakili tindakan yang dilakukan oleh satu entity pada entity lain (atau dirinya sendiri) dan ditampilkan sebagai garis berpanah. Setiap keluarga visual harus berisi satu aturan koneksi yang diketik.
  • Koneksi tertaut menghubungkan dua atau beberapa entitas yang terkait secara logis, seperti nama host dan alamat IP, atau email dan nama pengguna. Hubungan ini diwakili oleh garis putus-putus, yang menandakan hubungan logis ini.

Selain itu, keluarga visual menentukan jenis entity mana yang dapat terlibat dalam acara. Saat Anda memetakan kolom peristiwa ke entity, jenis entity yang diizinkan telah ditentukan sebelumnya oleh keluarga visual yang ditetapkan ke jenis peristiwa tersebut.

Kelompok visual diterapkan ke peristiwa dari jenis atau produk tertentu, dan diagregasi secara dinamis dengan peristiwa lain untuk membuat grafik entitas visual untuk seluruh kasus dan pemberitahuan. Anda dapat melihat grafik ini di halaman Konfigurasi peristiwa > visualisasi atau halaman Jelajahi.

Menentukan kelompok visual

Ikuti langkah-langkah berikut untuk membuat visualisasi yang menunjukkan hubungan dan koneksi antar-entitas:

  1. Identifikasi acara yang memerlukan keluarga visual.
  2. Klasifikasikan dan petakan kolom ke jenis entitasnya masing-masing. Untuk contoh ini, gunakan peristiwa Suspicious Connection berikut: 
        {
  "name": "Suspicious Connection", 
  "product": "SecOps", 
  "event_type": "Suspicious connection", 
  "hostname": "USER_PC", 
  "process_sha256": "6857fee8812490499164bb7efb7f457d038e82140bb1fa0adbd0dc018e404f84", 
  "process_name": "notepad.exe", 
  "destination_domain": "google.com",
  "destination_ip_address": "8.8.8.8" 
}
  3. Mengklasifikasikan kolom peristiwa ke jenis entitas tertentu sebagai berikut:
    Kolom Jenis entitas
    hostname SourceHostName
    process_name SourceProcessName
    process_sha256 FileHash
    destination_domain DestinationDomain
    destination_ip_address DestinationAddress
  4. Buka Setelan > Ontology > Visual Families.
  5. Pilih tambahkan Tambahkan, lalu masukkan nama dan deskripsi.
  6. Tentukan aturan koneksi yang diketik wajib dengan mengidentifikasi tindakan utama. Dalam contoh ini, karena suatu proses membuat koneksi ke domain, entity process adalah sumber dan entity domain adalah tujuan.
  7. Tentukan entitas terkait secara logis dengan aturan koneksi tertaut. Dengan contoh acara yang sama, Anda dapat mengamati beberapa hubungan:
    • SourceProcessName dieksekusi di SourceHostName.
    • Hash SourceProcessName adalah entitas FileHash
    • DestinationDomain dan DestinationAddress merepresentasikan tujuan proses.
  8. Simpan keluarga visual. Setelah disimpan, Anda dapat menambahkan gambar yang merepresentasikan kelompok visual di tabel Settings > Ontology > Visual Families.

Entitas mengambang

Entitas mengambang adalah entitas yang muncul dalam visualisasi grafik tanpa koneksi apa pun ke entitas lain. Hal ini dapat terjadi karena beberapa alasan utama, dan memahami alasannya sangat penting untuk analisis dan visualisasi data yang efektif:

  • Tidak ada aturan koneksi dalam keluarga visual: Keluarga visual, yang menentukan cara acara ditampilkan, mungkin tidak memiliki aturan untuk menautkan jenis entitas mengambang ke jenis entitas yang ada dalam acara. Misalnya, entitas Pengguna mungkin ditentukan, tetapi tidak ada aturan yang menentukan bahwa entitas tersebut harus terhubung ke entitas File dalam peristiwa "Akses File".
  • Data Peristiwa Tidak Lengkap: Data peristiwa itu sendiri mungkin tidak memiliki informasi yang diperlukan untuk membuat link. Misalnya, peristiwa untuk koneksi jaringan mungkin tidak memiliki alamat IP tujuan, sehingga tidak dapat dihubungkan ke entitas Host.
  • Entitas Terisolasi: Entitas dapat dibuat, tetapi tidak pernah dirujuk oleh peristiwa lain, sehingga menjadi "terisolasi". Misalnya, akun pengguna baru dibuat, tetapi belum melakukan tindakan apa pun yang akan menghasilkan peristiwa untuk ditautkan ke akun tersebut.

Untuk mengatasi entitas mengambang, Anda dapat melakukan tindakan berikut:

  • Tinjau Keluarga Visual: Periksa apakah keluarga visual memiliki aturan yang diperlukan untuk menghubungkan jenis entitas. Jika tidak, Anda mungkin perlu membuat aturan baru untuk membuat hubungan.
  • Periksa data mentah peristiwa: Periksa data mentah peristiwa untuk melihat apakah kolom yang diperlukan untuk pemetaan (misalnya, IP sumber, port tujuan, ID pengguna) ada.
  • Sesuaikan pemetaan kolom: Jika data ada tetapi tidak dipetakan dengan benar, sesuaikan pemetaan kolom untuk memastikan kolom peristiwa yang tepat mengisi properti entitas.

Pelajari lebih lanjut cara membuat entitas (pemetaan dan pemodelan) dan mengonfigurasi pemetaan serta menetapkan keluarga visual.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.