Sélection d'entités

Compatible avec :

Ce document explique comment Google Security Operations extrait et utilise les entités à partir des alertes ingérées. Lorsque Google SecOps ingère une alerte, il inclut également les événements de sécurité sous-jacents. Ces événements sont analysés pour extraire des indicateurs clés (adresses IP, noms d'utilisateur et domaines, par exemple), qui sont ensuite modélisés sous forme d'objets appelés entités. Chaque entité inclut son propre ensemble de propriétés.

Afficher les propriétés d'une entité

  1. Sur la page Demandes, sélectionnez une demande. Dans la vue par défaut des demandes, les entités s'affichent dans la section Points forts des entités des onglets Présentation de la demande et Alertes.
  2. Cliquez sur Afficher les détails pour ouvrir un panneau latéral qui affiche toutes les propriétés de l'entité sélectionnée.
  3. Cliquez sur le nom d'une entité pour ouvrir l'explorateur d'entités dans un nouvel onglet. L'explorateur d'entités affiche toutes les demandes associées à l'entité sélectionnée.

Action de sélection d'entité

Lorsqu'une alerte est ingérée, un playbook est déclenché automatiquement ou semi-automatiquement, en fonction des conditions configurées. Google SecOps utilise ces playbooks pour déterminer comment gérer l'alerte.

Chaque action d'un playbook s'applique à un groupe d'entités spécifique. L'action Sélection d'entités vous permet de définir ces groupes en fonction des propriétés des entités. Par exemple, vous pouvez créer un groupe contenant uniquement des entités internes à utiliser avec des actions adaptées aux composants internes.

Utilisez l'action Sélection d'entités pour créer différents groupes en fonction de la logique que vous souhaitez appliquer. Lorsque vous utilisez cette méthode, chaque action ne s'applique qu'aux entités concernées.

Créer un groupe d'entités

Pour créer un groupe d'entités à l'aide de l'action Sélection d'entités, procédez comme suit :

  1. Accédez à la page Playbooks, puis cliquez sur Ouvrir la sélection d'étapes.
  2. Dans l'onglet Sélection de l'étape, sélectionnez Actions > Flux.
  3. Faites glisser Sélection d'entités dans la deuxième zone intitulée Faites glisser une étape ici.
  4. Double-cliquez sur la zone Sélection d'entités pour configurer le nouveau groupe d'entités.
  5. Ajoutez les conditions nécessaires pour sélectionner le nouveau groupe d'entités. Par exemple, sélectionnez toutes les entités d'adresse IP enrichies par VirusTotal v3 et signalées comme malveillantes par plus de 10 moteurs.
  6. Une fois défini, le nouveau groupe d'entités devient disponible pour toutes les actions suivantes du playbook.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.