Mappare le relazioni tra gli eventi di sicurezza con le famiglie visive

Supportato in:

Google Security Operations fornisce una raccolta di famiglie visive predefinite che soddisfano molti tipi di avvisi comuni. La famiglia visiva predefinita include tutti i tipi di entità e le relazioni fondamentali.

Le famiglie visive rappresentano le relazioni tra le entità in un evento di sicurezza e aiutano a identificare gli attori chiave e il flusso di un incidente di sicurezza.

Ogni famiglia visiva è composta da più regole. Ogni regola contiene fino a quattro origini, fino a quattro destinazioni e un tipo di connessione. Le origini e le destinazioni rappresentano tipi di entità pertinenti all'avviso e le connessioni tra loro sono tipizzate o collegate.

  • Le connessioni digitate collegano le entità principali (attori) all'interno di un avviso. In genere rappresentano un'azione eseguita da un'entità su un'altra (o su se stessa) e vengono visualizzati come una linea con freccia. Ogni famiglia visiva deve contenere una sola regola di connessione digitata.
  • Le connessioni collegate collegano due o più entità correlate logicamente, come un nome host e un indirizzo IP o un indirizzo email e un nome utente. Sono rappresentati da una linea punteggiata, che indica questa relazione logica.

Inoltre, le famiglie visive definiscono quali tipi di entità possono essere coinvolti nell'evento. Quando mappi i campi evento alle entità, i tipi di entità consentiti sono predeterminati dalla famiglia visiva assegnata a quel tipo di evento.

Le famiglie visive vengono applicate agli eventi di un tipo o prodotto specifico e vengono aggregate dinamicamente con altri eventi per creare un grafico delle entità visive per l'intero avviso e la richiesta. Puoi visualizzare questo grafico nella pagina Configurazione evento > Visualizzazione o nella pagina Esplora.

Definire una famiglia visiva

Per creare una visualizzazione che mostri le relazioni e le connessioni tra le entità:

  1. Identifica l'evento che richiede una famiglia di immagini.
  2. Classifica e mappa i campi ai rispettivi tipi di entità. Per questo esempio, utilizza il seguente evento Suspicious Connection: 
        {
  "name": "Suspicious Connection", 
  "product": "SecOps", 
  "event_type": "Suspicious connection", 
  "hostname": "USER_PC", 
  "process_sha256": "6857fee8812490499164bb7efb7f457d038e82140bb1fa0adbd0dc018e404f84", 
  "process_name": "notepad.exe", 
  "destination_domain": "google.com",
  "destination_ip_address": "8.8.8.8" 
}
  3. Classifica i campi evento in base a tipi di entità specifici nel seguente modo:
    Campo Tipo di entità
    nome host SourceHostName
    process_name SourceProcessName
    process_sha256 FileHash
    destination_domain DestinationDomain
    destination_ip_address DestinationAddress
  4. Vai a Impostazioni > Ontologia > Famiglie visive.
  5. Seleziona aggiungi Aggiungi e inserisci un nome e una descrizione.
  6. Definisci la regola di connessione digitata obbligatoria identificando l'azione principale. In questo esempio, poiché un processo ha creato una connessione a un dominio, l'entità process è l'origine e l'entità domain è la destinazione.
  7. Definisci entità correlate logicamente con regole di connessione collegate. Utilizzando lo stesso esempio di evento, puoi osservare diverse relazioni:
    • SourceProcessName è stato eseguito il giorno SourceHostName.
    • L'hash SourceProcessName è l'entità FileHash
    • DestinationDomain e DestinationAddress rappresentano la destinazione del processo.
  8. Salva la famiglia visiva. Una volta salvata, puoi aggiungere facoltativamente un'immagine che rappresenti la famiglia visiva nella tabella Impostazioni > Ontologia > Famiglie visive.

Entità mobili

Un'entità mobile è un'entità che viene visualizzata in una visualizzazione del grafico senza alcuna connessione ad altre entità. Ciò può accadere per alcuni motivi principali e capire perché è fondamentale per un'analisi e una visualizzazione efficaci dei dati:

  • Manca una regola di connessione nella famiglia visiva: la famiglia visiva, che definisce la modalità di visualizzazione degli eventi, potrebbe non avere una regola per collegare il tipo di entità mobile a un tipo di entità esistente all'interno dell'evento. Ad esempio, potrebbe essere definita un'entità Utente, ma non esiste una regola che specifichi che deve essere collegata a un'entità File in un evento "Accesso al file".
  • Dati sugli eventi incompleti: i dati sugli eventi stessi potrebbero non contenere le informazioni necessarie per creare un link. Ad esempio, un evento per una connessione di rete potrebbe non avere un indirizzo IP di destinazione, impedendo la connessione a un'entità Host.
  • Entità isolate: un'entità potrebbe essere creata, ma non essere mai referenziata da nessun altro evento, il che la rende "isolata". Ad esempio, viene creato un nuovo account utente, ma non sono ancora state eseguite azioni che genererebbero eventi da collegare.

Per risolvere il problema delle entità mobili, puoi eseguire le seguenti azioni:

  • Rivedi la famiglia visiva: controlla se la famiglia visiva ha le regole necessarie per collegare i tipi di entità. In caso contrario, potrebbe essere necessario creare una nuova regola per stabilire la relazione.
  • Esamina i dati non elaborati degli eventi: esamina i dati non elaborati dell'evento per verificare se sono presenti i campi richiesti per il mapping (ad esempio, IP di origine, porta di destinazione, ID utente).
  • Modifica la mappatura dei campi: se i dati esistono ma non vengono mappati correttamente, modifica la mappatura dei campi per assicurarti che i campi evento corretti vengano compilati con le proprietà dell'entità.

Scopri di più su come creare entità (mappatura e modellazione) e configurare la mappatura e assegnare famiglie visive.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.