Asociar y modelar alertas
En este documento se describe cómo asignar y modelar alertas para sus eventos. De forma predeterminada, las alertas no se asignan ni se modelizan, lo que es un paso necesario para analizar correctamente los datos de seguridad. Este proceso se lleva a cabo en la sección Asignación y modelado de la plataforma Google Security Operations.
Asociar tus eventos
En el siguiente caso práctico se explica cómo mapear los eventos:
- En la pestaña Eventos de la pantalla Casos, seleccione un evento y haga clic en settings Configuración de eventos.
- Selecciona Modelado Asociar y modelar. En este caso práctico, mapea tus datos con la familia predefinida MailRelayOrTAP para los eventos de monitorización de correo electrónico.
Información sobre la jerarquía de asignación
Puedes configurar la asignación y el modelado en uno de los tres niveles. Las asignaciones se heredan de arriba abajo, por lo que las que apliques en un nivel superior se aplicarán automáticamente a todos los niveles inferiores.
- Fuente: el nombre de la fuente que proporcionó anteriormente, que ingirió los datos y creó la alerta. Por ejemplo, tu fuente podría llamarse
Email Connector. En este nivel, solo tiene que asignar el campo Hora, que es común en todas las fases. Si realiza la asignación ahora, las fases posteriores (Producto - "Correo" y Evento - "Correo sospechoso") heredarán automáticamente la misma asignación. - Producto: el producto es la aplicación que ingiere datos de una fuente específica, como Correo. Por ejemplo, un solo conector puede ingerir datos de varias fuentes. Si asigna los eventos a este nivel, todos los eventos posteriores heredarán la misma asignación.
- Evento: es el
event_nameque has definido antes, por ejemplo, Correo sospechoso. En este caso, el evento es el propio mensaje de correo. - En este caso práctico, asigna todos los campos pertinentes a nivel de Producto, asignando cada campo al campo correspondiente del código.
| Campo objetivo | Valor del campo | Campo extraído | Función de transformación |
|---|---|---|---|
DestinationUserName |
event["destinationUserName"] |
TO_STRING | La dirección de correo de la persona que ha recibido el correo. |
SourceUserName |
event["sourceUserName"] |
EXTRACT_BY_REGEX formato:[\w\.-]+@[\w\.-]+ |
La dirección de correo de la persona que envió el correo |
EmailSubject |
event["subject"] |
TO_STRING |
El asunto del correo |
DestinationURL |
event["found_url"] |
TO_STRING |
URLs encontradas en el cuerpo del correo |
StartTime |
event["startTime"] |
FROM_UNIXTIME_STRING_OR_LONG |
Hora de inicio en la que se recibió el correo. |
EndTime |
event["endTime"] |
FROM_UNIXTIME_STRING_OR_LONG |
Hora de finalización a la que se ha recibido el correo. |
Simular y revisar las alertas asignadas
Después de asignar el caso, simula la alerta para ver los resultados de la asignación, como se indica a continuación:
- En la pestaña Resumen de la alerta, haz clic en Más y selecciona Ingerir alerta como caso de prueba. Aparecerá una alerta simulada como caso en la cola de casos. Todas las simulaciones de casos se etiquetan con la marca Prueba junto al nombre del caso.
- Haz clic en more_vert Más > Mostrar resultado para ver cada argumento del mensaje de correo asignado.
- Opcional: Haz clic en Explorar para visualizar las entidades y sus relaciones.
- Una vez que hayas completado la asignación y el modelado del conector, habilítalo para que empiece a ingerir alertas automáticamente:
- Ve a la página Conectores.
- Haz clic en el interruptor para activarlo.
- Haz clic en Guardar.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.