Ajouter ou modifier des propriétés d'entité

Compatible avec :

Ce document explique comment ajouter ou modifier des propriétés d'enrichissement d'entités directement depuis les pages d'investigation dans Google Security Operations. Cela vous permet d'analyser plus efficacement les cas lors de vos investigations. Vous pouvez ajouter jusqu'à 100 propriétés d'entité à une même entité.

Ajouter ou modifier des propriétés d'entité sur plusieurs pages

Ajoutez ou modifiez une propriété d'enrichissement d'entité sur les pages suivantes :

  • Investigation : dans la vue Détails de la demande, cliquez sur Explorer pour ouvrir la page Investigation.
  • Explorateur d'entités : dans la vue de la demande, cliquez sur le widget Mise en évidence des entités, puis sélectionnez l'entité concernée.
  • Demandes (Points forts des entités) : dans la vue des demandes, cliquez sur une entité dans le widget Points forts des entités, puis sur Afficher plus pour ouvrir un panneau latéral avec les propriétés de l'entité.
  • Cas (graphique des entités) : dans la vue "Cas", cliquez sur le widget Graphique des entités, puis sur Entité. Un panneau latéral s'ouvre et affiche les propriétés de l'entité.

Ajouter une propriété d'entité

Dans le cadre de l'enquête, incluez d'autres clés d'entité pour l'enrichir. Identifiez le type de logiciel malveillant utilisé pour mieux comprendre la menace. Cet exemple montre comment créer une propriété d'entité appelée Malware_family.

Pour ajouter une propriété d'entité :

  1. Accédez à la file d'attente Demandes.
  2. Sélectionnez la demande Virus détecté ou Risque de sécurité détecté, puis cliquez sur Explorer pour ouvrir la page Investigation.
  3. Cliquez sur Ajouter Ajouter.
  4. Saisissez Malware_family comme clé et Trojan.Generic comme valeur.
  5. Cliquez sur Enregistrer pour ajouter la nouvelle propriété d'entité.

Ce nouvel enrichissement vous permet de mieux comprendre les problèmes lors de l'examen de vos demandes.

Ajouter des entités nouvelles ou existantes

Pour ajouter des entités nouvelles ou existantes, procédez comme suit :

  1. Cliquez sur Options d'alerte, puis sélectionnez Ajouter une entité.
  2. Dans la boîte de dialogue Ajouter des entités à l'alerte, sélectionnez une entité dans Ajouter des entités existantes ou Ajouter une entité.
  3. Saisissez un identifiant, puis cliquez sur add Ajouter > Appliquer.

Modifier une propriété d'entité

Cet exemple suit un cas d'utilisation dans lequel un fichier est marqué comme suspect avec un faible degré de confiance dans un cas lié à une menace potentielle de logiciel malveillant. Après avoir exécuté un bloc d'enrichissement et d'analyse des renseignements sur les menaces, vous êtes certain que le fichier est malveillant et vous souhaitez modifier la confidence_level de Faible à Élevée.

Pour modifier une propriété d'entité, procédez comme suit :

  1. Accédez à la page Demandes.
  2. Accédez à la demande Virus détecté ou risque de sécurité détecté, puis cliquez sur Explorer pour ouvrir la page Investigation.
  3. Sur la page Investigation, cliquez sur la balise  Entité de hachage de fichier.
  4. Pointez sur la valeur confidence_level dans le panneau latéral.
  5. Cliquez sur more_vert Plus, puis sélectionnez Afficher ou modifier la propriété.
  6. Dans la boîte de dialogue Afficher ou modifier la propriété d'entité, remplacez la valeur Confidence_level de Low (Faible) par High (Élevé) pour mettre en évidence le risque potentiel de l'entité de hachage. Vous pouvez également sélectionner un format d'affichage pour contrôler la façon dont les données apparaissent dans le panneau latéral.
  7. Cliquez sur Enregistrer.

Le niveau de confiance de l'entité est mis à jour et reflété dans le panneau latéral.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.