Se usó la API de Cloud Translation para traducir esta página.

Cómo agregar o editar propiedades de entidades

Compatible con:

Google SecOps SOAR

En este documento, se explica cómo puedes agregar o editar propiedades de enriquecimiento de entidades directamente desde las páginas de investigación como parte de la investigación de casos en Google Security Operations para trabajar de manera más eficiente durante el análisis de casos. Puedes agregar hasta 100 propiedades de entidad a una sola entidad.

Cómo agregar o editar propiedades de entidades en varias páginas

Agrega o edita una propiedad de enriquecimiento de entidad en las siguientes páginas:

Investigación: En la vista del caso, haz clic en Explorar para abrir la página Investigación.
Explorador de entidades: En la vista del caso, haz clic en el widget Aspectos destacados de la entidad y selecciona la entidad pertinente.
Casos (Aspectos destacados de entidades): En la vista de casos, haz clic en una entidad en el widget Aspectos destacados de entidades y, luego, en Ver más para abrir un panel lateral con las propiedades de la entidad.
Casos (gráfico de entidades): En la vista de casos, haz clic en el widget Gráfico de entidades y, luego, en Entidad. Se abrirá un panel lateral con las propiedades de la entidad.

Cómo agregar una propiedad de entidad

Como parte de la investigación, incluye otras claves de entidades para enriquecer tu caso. Identificar el tipo de malware que se usa para comprender mejor la amenaza En este ejemplo, se muestra cómo crear una nueva propiedad de entidad llamada Malware_family.

Para agregar una propiedad de entidad, sigue estos pasos:

Ve a la cola de Casos.
Selecciona el caso Se encontró un virus o se encontró un riesgo de seguridad y haz clic en Explorar para abrir la página Investigación.
Haz clic en Agregar Agregar.
Ingresa Malware_family como la Clave y Trojan.Generic como el Valor.
Haz clic en Guardar para agregar la nueva propiedad de la entidad.

El nuevo enriquecimiento proporciona una capa adicional de comprensión durante la investigación de tu caso.

Agregar entidades nuevas o existentes

Para agregar entidades nuevas o existentes, sigue estos pasos:

Haz clic enOpciones de alerta y selecciona Agregar entidad.
En el diálogo Add entities to alert, selecciona una entidad de Add existing entities o Add new entity.
Ingresa un identificador y haz clic en Agregar Agregar > Aplicar.

Cómo editar una propiedad de entidad

En este ejemplo, se sigue un caso de uso en el que un archivo se marca como sospechoso con un nivel de confianza bajo en un caso relacionado con una posible amenaza de software malicioso. Después de ejecutar un bloque de enriquecimiento y una investigación de TI, tienes la certeza de que el archivo es malicioso y quieres actualizar el confidence_level de Bajo a Alto.

Para editar una propiedad de entidad, sigue estos pasos:

Ve a la página Casos.
Ve al caso Se encontró un virus o un riesgo de seguridad y haz clic en Explorar para abrir la página Investigación.
Haz clic en tag File Hash Entity en la página Investigation.
Mantén el puntero sobre el valor de confidence_level en el panel lateral.
Haz clic en more_vert Más y selecciona Ver o editar la propiedad.
En el diálogo Ver o editar la propiedad de entidad, cambia el valor de Confidence_level de Low a High para destacar el riesgo potencial de la entidad hash. También puedes seleccionar un formato de visualización para controlar cómo aparecen los datos en el panel lateral.
Nota: El formato de visualización solo afecta la forma en que se muestra el valor en la IU. No cambia los datos subyacentes.
Haz clic en Guardar.

Se actualiza el nivel de confianza de la entidad y se refleja en el panel lateral.

Nota: No puedes cambiar las propiedades de la entidad, como isAttacker, isVulnerable y isPivot a false una vez que se establecen en true.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.