Adicionar ou editar propriedades da entidade

Este documento explica como adicionar ou editar propriedades de enriquecimento de entidades diretamente nas páginas de investigação como parte da investigação de caso no Google Security Operations para trabalhar com mais eficiência durante a análise de casos. É possível adicionar até 100 propriedades de entidade a uma única entidade.

Adicionar ou editar propriedades de entidades em várias páginas

Adicione ou edite uma propriedade de enriquecimento de entidade nas seguintes páginas:

• Investigação: na visualização do caso, clique em Explorar para abrir a página Investigação.
• Explorador de entidades: na visualização de caso, clique no widget Destaques de entidades e selecione a entidade relevante.
• Casos (destaques de entidades): na visualização de caso, clique em uma entidade no widget Destaques de entidades e em Ver mais para abrir um painel lateral com as propriedades da entidade.
• Casos (gráfico de entidades): na visualização de caso, clique no widget Gráfico de entidades e em Entidade. Uma gaveta lateral é aberta com as propriedades da entidade.

Adicionar uma propriedade de entidade

Como parte da investigação, inclua outras chaves de entidade para enriquecer a investigação do caso. Identifique o tipo de malware usado para entender melhor a ameaça. Este exemplo mostra como criar uma nova propriedade de entidade chamada Malware_family.

Para adicionar uma propriedade de entidade, siga estas etapas:

1. Acesse a fila Casos.
2. Selecione o caso Vírus encontrado ou Risco de segurança encontrado e clique em Analisar para abrir a página Investigação.
3. Clique em add Adicionar.
4. Digite Malware_family como a Chave e Trojan.Generic como o Valor.
5. Clique em Salvar para adicionar a nova propriedade de entidade.

O novo enriquecimento oferece uma camada extra de compreensão durante a investigação do caso.

Adicionar entidades novas ou atuais

Para adicionar entidades novas ou atuais, siga estas etapas:

1. Clique em more_vertOpções de alerta e selecione Adicionar entidade.
2. Na caixa de diálogo Adicionar entidades ao alerta, selecione uma opção em Adicionar entidades atuais ou Adicionar nova entidade.
3. Insira um identificador e clique em add Adicionar > Aplicar.

Editar uma propriedade de entidade

Este exemplo segue um caso de uso em que um arquivo é marcado como suspeito com baixa confiança em um caso relacionado a uma possível ameaça de malware. Depois de executar um bloco de enriquecimento e uma investigação de TI, você tem certeza de que o arquivo é malicioso e quer atualizar a confidence_level de Baixa para Alta.

Para editar uma propriedade de entidade, siga estas etapas:

1. Acesse a página Casos.
2. Acesse o caso Vírus encontrado ou risco de segurança encontrado e clique em Explorar para abrir a página Investigação.
3. Clique em tag Entidade de hash de arquivo na página Investigação.
4. Mantenha o ponteiro sobre o valor confidence_level no painel lateral.
5. Clique em more_vert Mais e selecione Ver ou editar propriedade.
6. Na caixa de diálogo Ver ou editar a propriedade da entidade, mude o valor de Confidence_level de Baixo para Alto para destacar o risco potencial da entidade de hash. Você também pode selecionar um formato de exibição para controlar como os dados aparecem no painel lateral.
7. Clique em Salvar.

O nível de confiança da entidade é atualizado e refletido no painel lateral.