Seleção de entidades

Compatível com:

Este documento explica como as operações de segurança da Google extraem e usam entidades de alertas carregados. Quando o Google SecOps carrega um alerta, também inclui os eventos de segurança subjacentes. Estes eventos são analisados para extrair indicadores principais, como endereços IP, nomes de utilizadores e domínios, que são, em seguida, modelados como objetos denominados entidades. Cada entidade inclui o seu próprio conjunto de propriedades.

Veja as propriedades de uma entidade

  1. Na página Registos, selecione um registo. Na vista de registo predefinida, as entidades aparecem na secção Destaques de entidades nos separadores Vista geral do registo e Alertas.
  2. Clique em Ver detalhes para abrir um painel lateral que mostra todas as propriedades da entidade selecionada.
  3. Clique no nome de uma entidade para abrir o explorador de entidades num novo separador. O Explorador de entidades apresenta todos os registos associados à entidade selecionada.

Ação de seleção de entidades

Quando um alerta é carregado, é acionado um manual de procedimentos de forma automática ou semiautomática, consoante as condições configuradas. O Google SecOps usa estes manuais de procedimentos para determinar como processar o alerta.

Cada ação num manual de estratégias opera num grupo específico de entidades. A ação Seleção de entidades permite-lhe definir estes grupos com base nas propriedades das entidades. Por exemplo, pode criar um grupo que contenha apenas entidades internas para usar com ações personalizadas para recursos internos.

Use a ação Seleção de entidades para criar grupos diferentes consoante a lógica que quer aplicar. Quando usa este método, ajuda a que cada ação funcione apenas nas entidades relevantes.

Crie um novo grupo de entidades

Para criar um grupo de entidades através da ação Seleção de entidades, siga estes passos:

  1. Aceda à página Playbooks e clique em Abrir seleção de passos.
  2. No separador Seleção de passos, selecione Ações > Fluxo.
  3. Arraste Seleção de entidades para a segunda caixa com a etiqueta Arraste um passo para aqui.
  4. Clique duas vezes na caixa Seleção de entidades para configurar o novo grupo de entidades.
  5. Adicione as condições necessárias para selecionar o novo grupo de entidades. Por exemplo, selecione todas as entidades de endereços IP que foram enriquecidas pelo VirusTotal v3 e sinalizadas como maliciosas por mais de 10 motores.
  6. Depois de definido, o novo grupo de entidades fica disponível para todas as ações subsequentes no manual de estratégias.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.