Selección de entidades

Disponible en:

En este documento se explica cómo extrae y usa Google Security Operations las entidades de las alertas ingeridas. Cuando Google SecOps ingiere una alerta, también incluye los eventos de seguridad subyacentes. Estos eventos se analizan para extraer indicadores clave, como direcciones IP, nombres de usuario y dominios, que luego se modelan como objetos llamados entidades. Cada entidad incluye su propio conjunto de propiedades.

Ver las propiedades de una entidad

  1. En la página Casos, selecciona un caso. En la vista de caso predeterminada, las entidades aparecen en la sección Aspectos destacados de la entidad de las pestañas Vista general del caso y Alertas.
  2. Haga clic en Ver detalles para abrir un panel lateral que muestre todas las propiedades de la entidad seleccionada.
  3. Haga clic en el nombre de una entidad para abrir el Explorador de entidades en una nueva pestaña. El Explorador de entidades muestra todos los casos asociados a la entidad seleccionada.

Acción de selección de entidad

Cuando se ingiere una alerta, se activa una guía de forma automática o semiautomática, en función de las condiciones configuradas. Google SecOps usa estas guías para determinar cómo gestionar la alerta.

Cada acción de una guía se aplica a un grupo específico de entidades. La acción Selección de entidad te permite definir estos grupos en función de las propiedades de las entidades. Por ejemplo, puedes crear un grupo que solo contenga entidades internas para usarlo con acciones diseñadas para recursos internos.

Usa la acción Selección de entidad para crear diferentes grupos en función de la lógica que quieras aplicar. Si usas este método, cada acción solo se aplicará a las entidades pertinentes.

Crear un grupo de entidades

Para crear un grupo de entidades con la acción Selección de entidad, sigue estos pasos:

  1. Ve a la página Guiones y haz clic en Abrir selección de pasos.
  2. En la pestaña Selección de paso, selecciona Acciones > Flujo.
  3. Arrastra Selección de entidad al segundo cuadro, que tiene la etiqueta Arrastra un paso aquí.
  4. Haz doble clic en el cuadro Selección de entidad para configurar el nuevo grupo de entidades.
  5. Añade las condiciones necesarias para seleccionar el nuevo grupo de entidades. Por ejemplo, selecciona todas las entidades de direcciones IP que se hayan enriquecido con VirusTotal v3 y que más de 10 buscadores hayan marcado como maliciosas.
  6. Una vez definido, el nuevo grupo de entidades estará disponible para todas las acciones posteriores del cuaderno de estrategias.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.