選取實體

本文說明 Google Security Operations 如何從擷取的快訊中擷取及使用實體。Google SecOps 擷取快訊時，也會一併擷取相關的安全性事件。系統會分析這些事件，擷取 IP 位址、使用者名稱和網域等重要指標，然後將這些指標模擬為稱為「實體」的物件。每個實體都包含一組屬性。

查看實體的屬性

1. 在「案件」頁面中選取案件。在預設案件檢視畫面中，實體會顯示在「案件總覽」和「快訊」分頁的「實體重點」部分。
2. 按一下「查看詳細資料」，開啟側邊抽屜，顯示所選實體的所有屬性。
3. 按一下實體名稱，即可在新分頁中開啟「實體探索器」。「實體探索工具」會顯示與所選實體相關聯的所有案件。

實體選取動作

系統擷取快訊時，會根據設定的條件自動或半自動觸發應對手冊。Google SecOps 會使用這些應對手冊，判斷如何處理快訊。

應對手冊中的每個動作都會對特定實體群組執行。「實體選取」動作可讓您根據實體屬性定義這些群組。舉例來說，您可以建立只包含內部實體的群組，並搭配專為內部資產設計的動作使用。

使用「實體選取」動作，根據要套用的邏輯建立不同群組。使用這個方法時，每個動作只會對相關實體執行作業。

建立新的實體群組

如要使用「實體選取」動作建立實體群組，請按照下列步驟操作：

1. 前往「Playbooks」(劇本) 頁面，然後按一下「Open Step Selection」(開啟步驟選取)。
2. 在「步驟選取」分頁中，依序選取「動作」>「流程」。
3. 將「實體選取」拖曳到標示為「將步驟拖曳到這裡」的第二個方塊。
4. 按兩下「實體選取」方塊，設定新的實體群組。
5. 新增選取新實體群組所需的條件。舉例來說，選取由 VirusTotal v3 擴增，且遭超過 10 個引擎標示為惡意的所有 IP 位址實體。
6. 定義完成後，新的實體群組就會在劇本中用於所有後續動作。