Seleção de entidade

Compatível com:

Este documento explica como o Google Security Operations extrai e usa entidades de alertas ingeridos. Quando o Google SecOps ingere um alerta, ele também inclui os eventos de segurança subjacentes. Esses eventos são analisados para extrair indicadores principais, como endereços IP, nomes de usuário e domínios, que são modelados como objetos chamados de entidades. Cada entidade inclui um conjunto de propriedades.

Ver as propriedades de uma entidade

  1. Na página Casos, selecione um caso. Na visualização padrão de caso, as entidades aparecem na seção Destaques de entidades nas guias Visão geral do caso e Alertas.
  2. Clique em Ver detalhes para abrir um painel lateral que mostra todas as propriedades da entidade selecionada.
  3. Clique no nome de uma entidade para abrir o Explorador de entidades em uma nova guia. O Explorador de entidades mostra todos os casos associados à entidade selecionada.

Ação de seleção de entidade

Quando um alerta é ingerido, um playbook é acionado automaticamente ou semiautomaticamente, dependendo das condições configuradas. O Google SecOps usa esses playbooks para determinar como lidar com o alerta.

Cada ação em um playbook opera em um grupo específico de entidades. Com a ação Seleção de entidade, você define esses grupos com base nas propriedades da entidade. Por exemplo, é possível criar um grupo que contenha apenas entidades internas para usar com ações personalizadas para recursos internos.

Use a ação Seleção de entidade para criar grupos diferentes dependendo da lógica que você quer aplicar. Ao usar esse método, cada ação opera apenas nas entidades relevantes.

Criar um grupo de entidades

Para criar um grupo de entidades usando a ação Seleção de entidade, siga estas etapas:

  1. Acesse a página Playbooks e clique em Abrir seleção de etapas.
  2. Na guia Seleção de etapa, selecione Ações > Fluxo.
  3. Arraste Seleção de entidade para a segunda caixa com o rótulo Arraste uma etapa para cá.
  4. Clique duas vezes na caixa Seleção de entidade para configurar o novo grupo de entidades.
  5. Adicione as condições necessárias para selecionar o novo grupo de entidades. Por exemplo, selecione todas as entidades de endereço IP enriquecidas pelo VirusTotal v3 e sinalizadas como maliciosas por mais de 10 mecanismos.
  6. Depois de definido, o novo grupo de entidades fica disponível para todas as ações subsequentes no playbook.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.