Karten- und Modellbenachrichtigungen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Benachrichtigungen für Ihre Ereignisse zuordnen und modellieren. Standardmäßig werden Benachrichtigungen nicht zugeordnet und modelliert. Dies ist jedoch ein notwendiger Schritt, um Sicherheitsdaten richtig zu analysieren. Dieser Prozess findet im Bereich Mapping and modeling (Zuordnung und Modellierung) der Google Security Operations-Plattform statt.

Termine auf der Karte anzeigen

Im folgenden Anwendungsfall wird beschrieben, wie Sie Ihre Ereignisse zuordnen:

  1. Wählen Sie auf dem Tab Ereignisse des Bildschirms Vorgänge ein Ereignis aus und klicken Sie auf Einstellungen Ereigniskonfiguration.
  2. Wählen Sie Modellierung Zuordnung und Modellierung aus. Ordnen Sie Ihre Daten für diesen Anwendungsfall mit der vordefinierten Familie MailRelayOrTAP für E-Mail-Überwachungsereignisse zu.

Hierarchie der Zuordnung

Sie können die Zuordnung und Modellierung auf einer von drei Ebenen konfigurieren. Zuordnungen werden von oben nach unten übernommen. Alle Zuordnungen, die Sie auf einer höheren Ebene anwenden, werden also automatisch auf alle darunterliegenden Ebenen angewendet.

  • Quelle: Der Name der Quelle, die Sie zuvor angegeben haben und über die die Daten aufgenommen und die Benachrichtigung erstellt wurde. Ihre Quelle könnte beispielsweise Email Connector heißen. Auf dieser Ebene müssen Sie nur das Feld Zeit zuordnen, da es in allen Phasen verwendet wird. Wenn Sie die Zuordnung jetzt vornehmen, wird sie automatisch auf die nachfolgenden Phasen Produkt – „Mail“ und Ereignis – „Verdächtige E-Mail“ übertragen.
  • Produkt: Das Produkt ist die Anwendung, die Daten aus einer bestimmten Quelle aufnimmt, z. B. Mail. Mit einem einzelnen Connector können beispielsweise Daten aus mehreren Quellen aufgenommen werden. Wenn Sie die Zuordnung auf dieser Ebene vornehmen, wird sie auf alle nachfolgenden Ereignisse übertragen.
  • Ereignis: Dies ist das event_name, das Sie zuvor definiert haben, z. B. Verdächtige E-Mail. In diesem Fall ist das Ereignis die E-Mail selbst.
  • Ordnen Sie für diesen Anwendungsfall alle relevanten Felder auf der Ebene Produkt zu und weisen Sie jedes Feld dem entsprechenden Feld im Code zu.
Zielfeld Der Feldwert Extrahiertes Feld Transformationsfunktion
DestinationUserName event["destinationUserName"] TO_STRINGDie E-Mail-Adresse der Person, die die E-Mail erhalten hat.
SourceUserName event["sourceUserName"] EXTRACT_BY_REGEX-Format:

[\w\.-]+@[\w\.-]+
 Die E-Mail-Adresse der Person, die die E-Mail gesendet hat
EmailSubject event["subject"] TO_STRING Der E‑Mail-Betreff
DestinationURL event["found_url"] TO_STRING Im E‑Mail-Text gefundene URLs
StartTime event["startTime"] FROM_UNIXTIME_STRING_OR_LONG Startzeitpunkt, zu dem die E‑Mail empfangen wurde.
EndTime event["endTime"] FROM_UNIXTIME_STRING_OR_LONG Endzeitpunkt, zu dem die E-Mail empfangen wurde.

Zugeordnete Benachrichtigungen simulieren und überprüfen

Nachdem Sie den Fall zugeordnet haben, simulieren Sie die Benachrichtigung, um die Zuordnungsergebnisse zu sehen:

  1. Klicken Sie auf dem Tab Übersicht der Benachrichtigung auf Mehr und wählen Sie Benachrichtigung als Testlauf aufnehmen aus. Eine neue simulierte Benachrichtigung wird als Fall in der Fallwarteschlange angezeigt. Alle simulierten Fälle sind mit dem Tag Test neben dem Namen des Falls gekennzeichnet.
  2. Klicken Sie auf das Dreipunkt-Menü more_vert  > Mehr > Ergebnis anzeigen, um die einzelnen zugeordneten E-Mail-Argumente zu sehen.
  3. Optional: Klicken Sie auf Untersuchen, um die Entitäten und ihre Beziehungen zu visualisieren.
  4. Nachdem Sie die Connector-Zuordnung und das Modellieren abgeschlossen haben, aktivieren Sie den Connector, um mit der automatischen Aufnahme von Benachrichtigungen zu beginnen:
    1. Rufen Sie die Seite Connectors auf.
    2. Klicken Sie auf die Ein/Aus-Schaltfläche, um die Position „Ein“ festzulegen.
    3. Klicken Sie auf Speichern.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten