Questa pagina è stata tradotta dall'API Cloud Translation.

Aggiungere o modificare le proprietà dell'entità

Supportato in:

Google secops SOAR

Questo documento spiega come aggiungere o modificare le proprietà di arricchimento delle entità direttamente dalle pagine di indagine nell'ambito dell'indagine sui casi in Google Security Operations per lavorare in modo più efficiente durante l'analisi dei casi. Puoi aggiungere fino a 100 proprietà di entità a una singola entità.

Aggiungere o modificare le proprietà delle entità in più pagine

Aggiungi o modifica una proprietà di arricchimento dell'entità nelle seguenti pagine:

Indagine: nella visualizzazione della richiesta, fai clic su Esplora per aprire la pagina Indagine.
Esplora entità: nella visualizzazione della richiesta, fai clic sul widget Elementi salienti dell'entità e seleziona l'entità pertinente.
Casi (elementi in evidenza delle entità): nella visualizzazione dei casi, fai clic su un'entità nel widget Elementi in evidenza delle entità e poi su Visualizza altro per aprire un riquadro laterale con le proprietà dell'entità.
Richieste (grafico delle entità): nella visualizzazione delle richieste, fai clic sul widget Grafico delle entità e poi su Entità. Si apre un riquadro laterale con le proprietà dell'entità.

Aggiungere una proprietà dell'entità

Nell'ambito dell'indagine, includi altre chiavi di entità per arricchire l'indagine sul caso. Identifica il tipo di malware utilizzato per comprendere meglio la minaccia. Questo esempio mostra come creare una nuova proprietà dell'entità chiamata Malware_family.

Per aggiungere una proprietà dell'entità:

Vai alla coda Richieste.
Seleziona la richiesta Virus trovato o Rischio per la sicurezza trovato e fai clic su Esplora per aprire la pagina Indagine.
Fai clic su Aggiungi Aggiungi.
Inserisci Malware_family come chiave e Trojan.Generic come valore.
Fai clic su Salva per aggiungere la nuova proprietà dell'entità.

Il nuovo arricchimento fornisce un ulteriore livello di comprensione durante l'indagine sul caso.

Aggiungere entità nuove o esistenti

Per aggiungere entità nuove o esistenti, segui questi passaggi:

Fai clic suOpzioni avviso e seleziona Aggiungi entità.
Nella finestra di dialogo Aggiungi entità all'avviso, seleziona un'entità da Aggiungi entità esistenti o Aggiungi nuova entità.
Inserisci un identificatore e fai clic su Aggiungi Aggiungi > Applica.

Modificare una proprietà dell'entità

Questo esempio segue un caso d'uso in cui un file viene contrassegnato come sospetto con bassa confidenza in un caso correlato a una potenziale minaccia malware. Dopo aver eseguito un blocco di arricchimento e un'indagine TI, hai la certezza che il file sia dannoso e vuoi aggiornare il confidence_level da Basso a Alto.

Per modificare una proprietà dell'entità:

Vai alla pagina Richieste.
Vai alla richiesta Virus trovato o rischio per la sicurezza trovato e fai clic su Esplora per aprire la pagina Indagine.
Fai clic sul tag Entità hash file nella pagina Indagine.
Tieni il puntatore sopra il valore confidence_level nel riquadro laterale.
Fai clic su more_vert Altro e seleziona Visualizza o modifica proprietà.
Nella finestra di dialogo Visualizza o modifica proprietà dell'entità, modifica il valore di Confidence_level da Low a High per evidenziare il potenziale rischio dell'entità hash. Puoi anche selezionare un formato di visualizzazione per controllare la modalità di visualizzazione dei dati nel riquadro laterale.
Nota:il formato di visualizzazione influisce solo sul modo in cui il valore viene mostrato nell'interfaccia utente. Non vengono modificati i dati sottostanti.
Fai clic su Salva.

Il livello di confidenza dell'entità viene aggiornato e visualizzato nel riquadro laterale.

Nota:non puoi modificare le proprietà dell'entità, ad esempio isAttacker, isVulnerable e isPivot in false una volta impostate su true.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.