将安全事件关系与视觉系列相关联

支持的平台:

Google Security Operations 提供了一系列预定义的视觉系列,可满足许多常见提醒类型的需求。默认可视化系列包含所有实体类型和基本关系。

可视化系列表示安全事件中实体之间的关系,有助于识别关键参与者和安全突发事件的流程。

每个视觉系列都包含多条规则。每条规则最多包含 4 个来源、4 个目的地和 1 个连接类型。来源和目的地都表示与提醒相关的实体类型,它们之间的连接可以是类型化的,也可以是关联的。

  • 带类型的连接用于关联提醒中的主要实体(演员)。它们通常表示一个实体对另一个实体(或自身)执行的操作,并以带箭头的线条显示。每个视觉系列都必须包含一条类型化连接规则。
  • 关联连接用于关联两个或更多逻辑上相关的实体,例如主机名和 IP 地址,或电子邮件地址和用户名。它们以虚线表示,表明这种逻辑关系。

此外,视觉系列还定义了哪些实体类型可以参与活动。将事件字段映射到实体时,允许的实体类型由分配给相应事件类型的视觉系列预先确定。

视觉素材系列会应用于特定类型或产品的事件,并与其他事件动态聚合,从而为整个提醒和支持请求创建视觉实体图。您可以在 事件配置 > 可视化页面或探索页面上查看此图表。

定义视觉系列

请按以下步骤操作,创建显示实体之间关系和连接的可视化图表:

  1. 确定需要视觉系列的活动。
  2. 对字段进行分类并将其映射到各自的实体类型。在此示例中,请使用以下 Suspicious Connection 事件: 
        {
  "name": "Suspicious Connection", 
  "product": "SecOps", 
  "event_type": "Suspicious connection", 
  "hostname": "USER_PC", 
  "process_sha256": "6857fee8812490499164bb7efb7f457d038e82140bb1fa0adbd0dc018e404f84", 
  "process_name": "notepad.exe", 
  "destination_domain": "google.com",
  "destination_ip_address": "8.8.8.8" 
}
  3. 将事件字段归类为特定实体类型,如下所示:
    字段 实体类型
    主机名 SourceHostName
    process_name SourceProcessName
    process_sha256 FileHash
    destination_domain DestinationDomain
    destination_ip_address DestinationAddress
  4. 依次前往设置 > 本体 > 可视化系列
  5. 选择 添加 图标 添加,然后输入名称和说明。
  6. 通过确定主要操作来定义强制性类型化连接规则。在此示例中,由于某个进程创建了与网域的连接,因此 process 实体是来源,而 domain 实体是目的地。
  7. 使用关联的连接规则定义逻辑上相关的实体。 以同一活动为例,您可以观察到以下几种关系:
    • SourceProcessName已于SourceHostName执行。
    • SourceProcessName 哈希是 FileHash 实体
    • DestinationDomainDestinationAddress 表示流程目的地。
  8. 保存视觉系列。保存后,您可以选择在设置 > 本体 > 视觉系列表格中添加代表视觉系列的图片。

浮动实体

浮动实体是指在图表可视化中显示但未与其他实体建立任何连接的实体。这种情况可能由以下几个主要原因导致,了解这些原因对于有效的数据分析和可视化至关重要:

  • 视觉系列中缺少连接规则:定义事件显示方式的视觉系列可能没有将浮动实体类型与事件中的现有实体类型相关联的规则。例如,可能定义了“用户”实体,但没有规则指定应在“文件访问”事件中将其与“文件”实体相关联。
  • 不完整的活动数据:活动数据本身可能缺少创建链接所需的信息。例如,网络连接的事件可能缺少目标 IP 地址,从而无法将其与主机实体相关联。
  • 孤立实体:实体可能已创建,但从未被任何其他事件引用,因此成为“孤立”实体。例如,系统创建了一个新用户账号,但该账号尚未执行任何会生成事件的操作,因此无法将事件与该账号相关联。

如需解决浮动实体问题,您可以执行以下操作:

  • 查看视觉家庭:检查视觉家庭是否具有连接实体类型所需的规则。如果不是,您可能需要创建新规则来建立这种关系。
  • 检查原始事件数据:检查事件的原始数据,看看是否存在用于映射的必需字段(例如,源 IP、目标端口、用户 ID)。
  • 调整字段映射:如果数据存在但未正确映射,请调整字段映射,确保正确的事件字段填充实体属性。

详细了解如何创建实体(映射和建模)以及如何配置映射和分配视觉系列

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。