Pemilihan entity

Didukung di:

Dokumen ini menjelaskan cara Google Security Operations mengekstrak dan menggunakan entitas dari pemberitahuan yang di-ingest. Saat menyerap pemberitahuan, Google SecOps juga menyertakan peristiwa keamanan yang mendasarinya. Peristiwa ini dianalisis untuk mengekstrak indikator utama—seperti alamat IP, nama pengguna, dan domain—yang kemudian dimodelkan sebagai objek yang disebut entitas. Setiap entitas mencakup serangkaian propertinya sendiri.

Melihat properti entity

  1. Di halaman Kasus, pilih kasus. Dalam tampilan kasus default, entitas muncul di bagian Sorotan Entitas pada tab Ringkasan Kasus dan Pemberitahuan.
  2. Klik Lihat Detail untuk membuka panel samping yang menampilkan semua properti entitas yang dipilih.
  3. Klik nama entitas untuk membuka Penjelajah Entitas di tab baru. Penjelajah Entitas menampilkan semua kasus yang terkait dengan entitas yang dipilih.

Tindakan Pemilihan Entity

Saat pemberitahuan diproses, playbook akan dipicu secara otomatis atau semi-otomatis, bergantung pada kondisi yang dikonfigurasi. Google SecOps menggunakan playbook ini untuk menentukan cara menangani peringatan.

Setiap tindakan dalam playbook beroperasi pada grup entity tertentu. Tindakan Pemilihan Entity memungkinkan Anda menentukan grup ini berdasarkan properti entitas. Misalnya, Anda dapat membuat grup yang hanya berisi entitas internal untuk digunakan dengan tindakan yang disesuaikan untuk aset internal.

Gunakan tindakan Pemilihan Entitas untuk membuat grup yang berbeda-beda bergantung pada logika yang ingin Anda terapkan. Saat Anda menggunakan metode ini, setiap tindakan hanya akan beroperasi pada entitas yang relevan.

Membuat grup entity baru

Untuk membuat grup entity menggunakan tindakan Pemilihan Entity, ikuti langkah-langkah berikut:

  1. Buka halaman Playbook, lalu klik Open Step Selection.
  2. Di tab Pemilihan Langkah, pilih Alur > Tindakan.
  3. Tarik Entity Selection ke dalam kotak kedua yang berlabel Drag a step over here.
  4. Klik dua kali kotak Pemilihan Entitas untuk mengonfigurasi grup entitas baru.
  5. Tambahkan kondisi yang diperlukan untuk memilih grup entitas baru. Misalnya, pilih semua entitas alamat IP yang diperkaya oleh VirusTotal v3 dan ditandai sebagai berbahaya oleh lebih dari 10 mesin.
  6. Setelah ditentukan, grup entity baru akan tersedia untuk semua tindakan berikutnya dalam playbook.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.