Alertas de mapas y modelos

Compatible con:

En este documento, se describe cómo asignar y modelar alertas para tus eventos. De forma predeterminada, las alertas no se asignan ni se modelan, lo que es un paso necesario para analizar correctamente los datos de seguridad. Este proceso se lleva a cabo en la sección Asignación y modelado de la plataforma de Google Security Operations.

Cómo asignar tus eventos

En el siguiente caso de uso, se describe cómo asignar tus eventos:

  1. En la pestaña Eventos de la pantalla Casos, selecciona un evento y haz clic en configuración Configuración de eventos.
  2. Selecciona modelado Mapping & Modeling. Para este caso de uso, asigna tus datos con la familia predefinida MailRelayOrTAP para los eventos de supervisión de correo electrónico.

Comprende la jerarquía de asignación

Puedes configurar la asignación y el modelado en uno de los tres niveles. Las asignaciones se heredan de arriba hacia abajo, por lo que cualquier asignación que apliques en un nivel superior se aplicará automáticamente a todos los niveles inferiores.

  • Fuente: Es el nombre de la fuente que proporcionaste antes y que transfirió los datos y creó la alerta. Por ejemplo, tu fuente podría llamarse Email Connector. En este nivel, solo debes asignar el campo Time, que es común en todas las etapas. Si realizas la asignación ahora, las etapas posteriores (Producto: "Correo electrónico" y Evento: "Correo electrónico sospechoso") heredarán automáticamente la misma asignación.
  • Producto: El producto es la aplicación que ingiere datos de una fuente específica, por ejemplo, Correo. Por ejemplo, un solo conector puede transferir datos de varias fuentes. Si realizas la asignación en este nivel, todos los eventos posteriores heredarán la misma asignación.
  • Evento: Es el event_name que definiste antes, por ejemplo, Correo electrónico sospechoso. En este caso, el evento es el mensaje de correo electrónico en sí.
  • Para este caso de uso, asigna todos los campos pertinentes en el nivel Product, y asigna cada campo al campo correspondiente en el código.
Campo objetivo El valor del campo Campo extraído Función de transformación
DestinationUserName event["destinationUserName"] TO_STRINGDirección de correo electrónico de la persona que recibió el correo electrónico.
SourceUserName event["sourceUserName"] Formato EXTRACT_BY_REGEX:

[\w\.-]+@[\w\.-]+
 La dirección de correo electrónico de la persona que envió el correo electrónico
EmailSubject event["subject"] TO_STRING El asunto del correo electrónico
DestinationURL event["found_url"] TO_STRING URLs que se encuentran en el cuerpo del correo electrónico
StartTime event["startTime"] FROM_UNIXTIME_STRING_OR_LONG Fecha y hora de recepción del correo electrónico.
EndTime event["endTime"] FROM_UNIXTIME_STRING_OR_LONG Fecha y hora de finalización en que se recibió el correo electrónico.

Simula y revisa las alertas asignadas

Después de asignar tu caso, simula la alerta para ver los resultados de la asignación, de la siguiente manera:

  1. En la pestaña Resumen de la alerta, haz clic en Más y selecciona Ingerir alerta como caso de prueba. Aparecerá una nueva alerta simulada como un caso en la cola de casos. Todos los casos simulados se etiquetan con la marca Prueba junto al nombre del caso.
  2. Haz clic en more_vert Más > Mostrar resultado para ver cada argumento del mensaje de correo electrónico asignado.
  3. Opcional: Haz clic en Explorar para visualizar las entidades y sus relaciones.
  4. Después de completar la asignación y el modelado del conector, habilítalo para comenzar la transferencia automática de alertas:
    1. Ve a la página Conectores.
    2. Haz clic en el botón de activación para llevarlo a la posición activada.
    3. Haz clic en Guardar.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.