新增或編輯實體屬性

本文說明如何在 Google Security Operations 中，直接從案件調查頁面新增或編輯實體擴充屬性，以便在案件分析期間提高效率。單一實體最多可新增 100 個實體屬性。

在各個頁面中新增或編輯實體屬性

在下列頁面新增或編輯實體擴充屬性：

• 調查：在案件檢視畫面中，按一下「探索」開啟「調查」頁面。
• 實體探索工具：在案件檢視畫面中，按一下「實體重點」小工具，然後選取相關實體。
• 案件 (實體重點)：在案件檢視畫面中，按一下「實體重點」小工具中的實體，然後按一下「查看更多」，即可開啟含有實體屬性的側邊抽屜。
• 案件 (實體圖形)：在案件檢視畫面中，按一下「實體圖形」小工具，然後點選「實體」。側邊抽屜會開啟，顯示實體屬性。

新增實體屬性

在調查過程中，請加入其他實體鍵，以豐富案件調查內容。找出所用的惡意軟體類型，進一步瞭解威脅。這個範例說明如何建立名為 Malware_family 的新實體屬性。

如要新增實體屬性，請按照下列步驟操作：

1. 前往「案件」佇列。
2. 選取「發現病毒」或「發現安全性風險」案件，然後按一下「探索」開啟「調查」頁面。
3. 按一下「新增」。
4. 在「Key」(鍵) 中輸入 Malware_family，並在「Value」(值) 中輸入 Trojan.Generic。
5. 按一下「儲存」，新增實體屬性。

這項新功能可提供額外資訊，協助您調查案件。

新增現有或新的實體

如要新增或加入現有實體，請按照下列步驟操作：

1. 按一下「快訊選項」more_vert，然後選取「新增實體」。
2. 在「Add entities to alert」(將實體新增至快訊) 對話方塊中，從「Add existing entities」(新增現有實體) 或「Add new entity」(新增實體) 中選取實體。
3. 輸入 ID，然後依序按一下「新增」 「新增」>「套用」。

編輯實體屬性

這個範例是根據某個使用情況而來，其中檔案在與潛在惡意軟體威脅相關的案件中標示為可疑，但信心度偏低。執行 TI 擴充區塊和調查後，您確信檔案具有惡意，並想將 confidence_level 從「低」更新為「高」。

如要編輯實體屬性，請按照下列步驟操作：

1. 前往「案件」頁面。
2. 前往「發現病毒或發現安全性風險」案件，然後按一下「探索」開啟「調查」頁面。
3. 在「調查」頁面上，按一下「標記」 檔案雜湊實體。
4. 將指標懸停在側邊抽屜中的 confidence_level 值上。
5. 依序按一下 more_vert 「更多」，然後選取「查看或編輯資源」。
6. 在「查看或編輯實體屬性」對話方塊中，將「Confidence_level」的值從「Low」變更為「High」，即可醒目顯示雜湊實體的潛在風險。您也可以選取顯示格式，控制資料在側邊抽屜中的顯示方式。
7. 按一下 [儲存]。

實體的信賴度會更新，並反映在側邊抽屜中。