Adicione ou edite propriedades de entidades

Compatível com:

Este documento explica como pode adicionar ou editar propriedades de enriquecimento de entidades diretamente a partir das páginas de investigação como parte da investigação de registos no Google Security Operations para trabalhar de forma mais eficiente durante a análise de registos. Pode adicionar até 100 propriedades de entidades a uma única entidade.

Adicione ou edite propriedades de entidades em várias páginas

Adicione ou edite uma propriedade de enriquecimento de entidades nas seguintes páginas:

  • Investigação: na vista do registo, clique em Explorar para abrir a página Investigação.
  • Explorador de entidades: na vista de registo, clique no widget Destaques de entidades e selecione a entidade relevante.
  • Casos (destaques de entidades): na vista de casos, clique numa entidade no widget Destaques de entidades e, de seguida, clique em Ver mais para abrir um painel lateral com as propriedades da entidade.
  • Registos (gráfico de entidades): na vista de registo, clique no widget Gráfico de entidades e, de seguida, clique em Entidade. É aberta uma gaveta lateral com as propriedades da entidade.

Adicione uma propriedade de entidade

Como parte da investigação, inclua outras chaves de entidades para enriquecer a investigação do registo. Identificar o tipo de software malicioso que está a ser usado para compreender melhor a ameaça. Este exemplo mostra como criar uma nova propriedade de entidade denominada Malware_family.

Para adicionar uma propriedade de entidade, siga estes passos:

  1. Aceda à fila Registos.
  2. Selecione o caso Vírus encontrado ou risco de segurança encontrado e clique em Explorar para abrir a página Investigação.
  3. Clique em Adicionar Adicionar.
  4. Introduza Malware_family como a Chave e Trojan.Generic como o Valor.
  5. Clique em Guardar para adicionar a nova propriedade da entidade.

O novo enriquecimento oferece uma camada adicional de compreensão durante a investigação do registo.

Adicione entidades novas ou existentes

Para adicionar entidades novas ou existentes, siga estes passos:

  1. Clique emOpções de alerta e selecione Adicionar entidade.
  2. Na caixa de diálogo Adicionar entidades ao alerta, selecione uma entidade em Adicionar entidades existentes ou Adicionar nova entidade.
  3. Introduza um identificador e clique em adicionar Adicionar > Aplicar.

Edite uma propriedade de entidade

Este exemplo segue um exemplo de utilização em que um ficheiro é marcado como suspeito com baixa confiança num caso relacionado com uma potencial ameaça de software malicioso. Depois de executar um bloco de enriquecimento e uma investigação de TI, tem a certeza de que o ficheiro é malicioso e quer atualizar o confidence_levelnível de confiança de Baixo para Alto.

Para editar uma propriedade de entidade, siga estes passos:

  1. Aceda à página Registos.
  2. Aceda ao registo Vírus encontrado ou risco de segurança encontrado e clique em Explorar para abrir a página Investigação.
  3. Clique em etiqueta Entidade de hash de ficheiro na página Investigação.
  4. Mantenha o ponteiro sobre o valor confidence_level no painel lateral.
  5. Clique em more_vert Mais e selecione Ver ou editar propriedade.
  6. Na caixa de diálogo Ver ou editar propriedade da entidade, altere o valor de Confidence_level de Baixo para Alto para realçar o potencial risco da entidade hash. Também pode selecionar um formato de apresentação para controlar a forma como os dados aparecem na gaveta lateral.
  7. Clique em Guardar.

O nível de confiança da entidade é atualizado e refletido no painel lateral.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.