Entitätsauswahl

Unterstützt in:

In diesem Dokument wird erläutert, wie Google Security Operations Entitäten aus aufgenommenen Benachrichtigungen extrahiert und verwendet. Wenn Google SecOps eine Benachrichtigung aufnimmt, werden auch die zugrunde liegenden Sicherheitsereignisse berücksichtigt. Diese Ereignisse werden analysiert, um wichtige Indikatoren wie IP-Adressen, Nutzernamen und Domains zu extrahieren, die dann als Objekte namens Entitäten modelliert werden. Jede Entität hat eigene Eigenschaften.

Attribute einer Entität ansehen

  1. Wählen Sie auf der Seite Fälle einen Fall aus. In der Standardfallansicht werden die Entitäten auf den Tabs Fallübersicht und Benachrichtigungen im Abschnitt Entitätshighlights angezeigt.
  2. Klicken Sie auf Details ansehen, um eine Seitenleiste mit allen Eigenschaften der ausgewählten Einheit zu öffnen.
  3. Klicken Sie auf einen Namen, um den Entity Explorer in einem neuen Tab zu öffnen. Im Entity Explorer werden alle Fälle angezeigt, die mit der ausgewählten Einheit verknüpft sind.

Aktion zur Elementauswahl

Wenn eine Benachrichtigung aufgenommen wird, wird je nach konfigurierten Bedingungen automatisch oder halbautomatisch ein Playbook ausgelöst. Google SecOps verwendet diese Playbooks, um zu bestimmen, wie mit der Benachrichtigung umzugehen ist.

Jede Aktion in einem Playbook wird für eine bestimmte Gruppe von Entitäten ausgeführt. Mit der Aktion Entität auswählen können Sie diese Gruppen anhand von Entitätseigenschaften definieren. Sie können beispielsweise eine Gruppe erstellen, die nur interne Einheiten enthält, die mit Aktionen verwendet werden sollen, die auf interne Assets zugeschnitten sind.

Mit der Aktion Entität auswählen können Sie verschiedene Gruppen erstellen, je nachdem, welche Logik Sie anwenden möchten. Wenn Sie diese Methode verwenden, werden die einzelnen Aktionen nur auf die relevanten Elemente angewendet.

Neue Entitätengruppe erstellen

So erstellen Sie eine Entitätengruppe mit der Aktion Entität auswählen:

  1. Rufen Sie die Seite Playbooks auf und klicken Sie auf Schrittauswahl öffnen.
  2. Wählen Sie auf dem Tab Schrittauswahl die Option Aktionen > Flow aus.
  3. Ziehen Sie Entity Selection in das zweite Feld mit der Beschriftung Drag a step over here (Schritt hierher ziehen).
  4. Doppelklicken Sie auf das Feld Entität auswählen, um die neue Gruppe von Entitäten zu konfigurieren.
  5. Fügen Sie die Bedingungen hinzu, die zum Auswählen der neuen Gruppe von Einheiten erforderlich sind. Wählen Sie beispielsweise alle IP-Adressenentitäten aus, die von VirusTotal v3 angereichert wurden und von mehr als 10 Engines als schädlich gekennzeichnet wurden.
  6. Nach der Definition ist die neue Entitätsgruppe für alle nachfolgenden Aktionen im Playbook verfügbar.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten