Entitätseigenschaften hinzufügen oder bearbeiten

In diesem Dokument wird beschrieben, wie Sie Eigenschaften zur Entitätsanreicherung direkt auf Untersuchungsseiten als Teil Ihrer Falluntersuchung in Google Security Operations hinzufügen oder bearbeiten können, um die Fallanalyse effizienter zu gestalten. Sie können einer einzelnen Entität bis zu 100 Entitätseigenschaften hinzufügen.

Entitätseigenschaften auf mehreren Seiten hinzufügen oder bearbeiten

Sie können eine Property zur Anreicherung von Entitäten auf den folgenden Seiten hinzufügen oder bearbeiten:

• Prüfung: Klicken Sie in der Fallansicht auf Untersuchen, um die Seite Prüfung zu öffnen.
• Entity Explorer: Klicken Sie in der Fallansicht auf das Widget Entity Highlights (Hervorgehobene Einheiten) und wählen Sie die entsprechende Einheit aus.
• Fälle (Entitätshighlights): Klicken Sie in der Fallansicht im Widget Entitätshighlights auf eine Entität und dann auf Mehr ansehen, um eine Seitenleiste mit Entitätseigenschaften zu öffnen.
• Vorgänge (Entitätendiagramm): Klicken Sie in der Vorgangsansicht auf das Widget Entitätendiagramm und dann auf Entität. Eine Seitenleiste mit den Eigenschaften der Einheit wird geöffnet.

Entitätsattribut hinzufügen

Fügen Sie im Rahmen der Untersuchung weitere Entitätsschlüssel hinzu, um die Falluntersuchung zu optimieren. Ermitteln Sie die Art der verwendeten Malware, um die Bedrohung besser zu verstehen. In diesem Beispiel wird gezeigt, wie Sie eine neue Entitätseigenschaft namens Malware_family erstellen.

So fügen Sie eine Entitätseigenschaft hinzu:

1. Rufen Sie die Warteschlange Fälle auf.
2. Wählen Sie den Fall Virus gefunden oder Sicherheitsrisiko gefunden aus und klicken Sie auf Untersuchen, um die Seite Untersuchung zu öffnen.
3. Klicken Sie auf Hinzufügen Hinzufügen.
4. Geben Sie Malware_family als Schlüssel und Trojan.Generic als Wert ein.
5. Klicken Sie auf Speichern, um die neue Entitätseigenschaft hinzuzufügen.

Die neue Anreicherung bietet eine zusätzliche Ebene für das Verständnis während der Falluntersuchung.

Neue oder vorhandene Entitäten hinzufügen

So fügen Sie neue oder vorhandene Entitäten hinzu:

1. Klicken Sie auf more_vertBenachrichtigungsoptionen und wählen Sie Einheit hinzufügen aus.
2. Wählen Sie im Dialogfeld Entitäten für Benachrichtigung hinzufügen eine Entität aus Vorhandene Entitäten hinzufügen oder Neue Entität hinzufügen aus.
3. Geben Sie eine Kennung ein und klicken Sie auf add Hinzufügen > Übernehmen.

Entitätseigenschaft bearbeiten

In diesem Beispiel wird ein Anwendungsfall beschrieben, in dem eine Datei in einem Fall, der mit einer potenziellen Malware-Bedrohung zusammenhängt, mit geringer Wahrscheinlichkeit als verdächtig markiert wird. Nachdem Sie einen TI-Anreicherungsblock und eine Untersuchung ausgeführt haben, sind Sie sicher, dass die Datei schädlich ist, und möchten die confidence_level von Niedrig auf Hoch aktualisieren.

So bearbeiten Sie eine Entitätseigenschaft:

1. Rufen Sie die Seite Fälle auf.
2. Rufen Sie den Fall Virus gefunden oder Sicherheitsrisiko gefunden auf und klicken Sie auf Untersuchen, um die Seite Untersuchung zu öffnen.
3. Klicken Sie auf der Seite Untersuchung auf Tag File Hash Entity (Datei-Hash-Entität).
4. Bewegen Sie den Mauszeiger in der Seitenleiste auf den Wert confidence_level.
5. Klicken Sie auf das Dreipunkt-Menü Mehr und wählen Sie Property ansehen oder bearbeiten aus.
6. Ändern Sie im Dialogfeld Entitätsattribut ansehen oder bearbeiten den Wert von Confidence_level von Niedrig in Hoch, um das potenzielle Risiko der Hash-Entität hervorzuheben. Sie können auch ein Anzeigeformat auswählen, um festzulegen, wie die Daten in der Seitenleiste dargestellt werden.
7. Klicken Sie auf Speichern.

Das Konfidenzniveau der Entität wird aktualisiert und in der Seitenleiste angezeigt.