实体选择

本文档介绍了 Google Security Operations 如何从提取的提醒中提取和使用实体。当 Google SecOps 接收到提醒时，其中还包含基础安全事件。系统会对这些事件进行分析，以提取关键指标（例如 IP 地址、用户名和网域），然后将这些指标建模为称为实体的对象。每个实体都包含自己的一组属性。

查看实体的属性

1. 在支持请求页面上，选择一个支持请求。在默认的支持请求视图中，实体会显示在支持请求概览和提醒标签页的实体突出显示部分中。
2. 点击查看详情，打开显示所选实体所有属性的侧边抽屉式导航栏。
3. 点击实体名称，即可在新标签页中打开实体资源管理器。实体资源管理器会显示与所选实体关联的所有支持请求。

实体选择操作

当系统接收到提醒时，会根据配置的条件自动或半自动触发 playbook。Google SecOps 使用这些 playbook 来确定如何处理提醒。

playbook 中的每个操作都针对特定的一组实体执行。借助实体选择操作，您可以根据实体属性定义这些组。例如，您可以创建一个仅包含内部实体的群组，以便与针对内部资产量身定制的操作搭配使用。

使用实体选择操作，根据您要应用的逻辑构建不同的组。使用此方法有助于确保每项操作仅针对相关实体执行。

创建新的实体组

如需使用实体选择操作创建实体组，请按以下步骤操作：

1. 前往 Playbook 页面，然后点击打开步骤选择。
2. 在步骤选择标签页中，依次选择操作 > 流程。
3. 将实体选择拖动到标有将步骤拖动到此处的第二个框中。
4. 双击实体选择框，以配置新的实体组。
5. 添加选择新实体组所需的条件。例如，选择所有由 VirusTotal v3 扩充且被 10 个以上引擎标记为恶意 IP 地址的实体。
6. 定义后，新的实体组将可用于剧本中的所有后续操作。