Añadir o editar propiedades de entidad

Disponible en:

En este documento se explica cómo puedes añadir o editar propiedades de enriquecimiento de entidades directamente desde las páginas de investigación como parte de la investigación de casos en Google Security Operations para trabajar de forma más eficiente durante el análisis de casos. Puede añadir hasta 100 propiedades de entidad a una sola entidad.

Añadir o editar propiedades de entidad en varias páginas

Añade o edita una propiedad de enriquecimiento de entidad en las siguientes páginas:

  • Investigación: en la vista del caso, haga clic en Explorar para abrir la página Investigación.
  • Explorador de entidades: en la vista de caso, haz clic en el widget Entidades destacadas y selecciona la entidad pertinente.
  • Casos (Destacados de entidades): en la vista de casos, haga clic en una entidad del widget Destacados de entidades y, a continuación, en Ver más para abrir un panel lateral con las propiedades de la entidad.
  • Casos (gráfico de entidades): en la vista de caso, haz clic en el widget Gráfico de entidades y, a continuación, en Entidad. Se abre un panel lateral con las propiedades de la entidad.

Añadir una propiedad de entidad

Como parte de la investigación, incluye otras claves de entidad para enriquecer tu investigación de caso. Identifica el tipo de malware que se está usando para comprender mejor la amenaza. En este ejemplo se muestra cómo crear una propiedad de entidad llamada Malware_family.

Para añadir una propiedad de entidad, siga estos pasos:

  1. Ve a la cola Casos.
  2. Selecciona el caso Virus Found or Security Risk Found (Se ha detectado un virus o un riesgo de seguridad) y haz clic en Explorar para abrir la página Investigación.
  3. Haz clic en Añadir Añadir.
  4. Introduce Malware_family como Clave y Trojan.Generic como Valor.
  5. Haz clic en Guardar para añadir la nueva propiedad de entidad.

Esta nueva función proporciona una capa adicional de información durante la investigación de tu caso.

Añadir entidades nuevas o que ya tengas

Para añadir entidades nuevas o ya creadas, sigue estos pasos:

  1. Haz clic en Opciones de alerta y selecciona Añadir entidad.
  2. En el cuadro de diálogo Añadir entidades a la alerta, seleccione una entidad de Añadir entidades o Añadir entidad.
  3. Introduce un identificador y haz clic en Añadir Añadir > Aplicar.

Editar una propiedad de entidad

En este ejemplo se sigue un caso práctico en el que un archivo se marca como sospechoso con una confianza baja en un caso relacionado con una posible amenaza de malware. Después de ejecutar un bloque de enriquecimiento de TI y una investigación, tienes la certeza de que el archivo es malicioso y quieres actualizar el confidence_level de Bajo a Alto.

Para editar una propiedad de una entidad, sigue estos pasos:

  1. Ve a la página Casos.
  2. Ve al caso Virus Found or security risk found (Se ha encontrado un virus o un riesgo de seguridad) y haz clic en Explorar para abrir la página Investigación.
  3. En la página Investigación, haz clic en tag Entidad de hash de archivo.
  4. Mantén el puntero sobre el valor confidence_level del panel lateral.
  5. Haz clic en more_vert Más y selecciona Ver o editar propiedad.
  6. En el cuadro de diálogo Ver o editar propiedad de entidad, cambie el valor de Confidence_level de Low a High para destacar el riesgo potencial de la entidad de hash. También puedes seleccionar un formato de visualización para controlar cómo se muestran los datos en el panel lateral.
  7. Haz clic en Guardar.

El nivel de confianza de la entidad se actualiza y se refleja en el panel lateral.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.