Cette page a été traduite par l'API Cloud Translation.

Alertes de carte et de modèle

Compatible avec :

Google SecOps SOAR

Ce document explique comment mapper et modéliser les alertes pour vos événements. Par défaut, les alertes ne sont pas mappées ni modélisées, ce qui est une étape nécessaire pour analyser correctement les données de sécurité. Ce processus se déroule dans la section Cartographie et modélisation de la plate-forme Google Security Operations.

Cartographier vos événements

Le cas d'utilisation suivant explique comment mapper vos événements :

Dans l'onglet Événements de l'écran Demandes, sélectionnez un événement, puis cliquez sur paramètres Configuration des événements.
Sélectionnez Modélisation Mappage et modélisation. Pour ce cas d'utilisation, mappez vos données à l'aide de la famille prédéfinie MailRelayOrTAP pour les événements de surveillance des e-mails.

Comprendre la hiérarchie de mappage

Vous pouvez configurer le mappage et la modélisation à l'un des trois niveaux suivants. Les mappages sont hérités de haut en bas. Par conséquent, tous les mappages que vous appliquez à un niveau supérieur sont automatiquement appliqués à tous les niveaux inférieurs.

Source : nom de la source que vous avez fournie précédemment et qui a ingéré les données et créé l'alerte. Par exemple, votre source peut s'appeler Email Connector. À ce niveau, il vous suffit de mapper le champ Heure, qui est commun à toutes les étapes. Si vous effectuez le mappage maintenant, les étapes suivantes (Produit > "Mail" et Événement > "E-mail suspect") hériteront automatiquement du même mappage.
Produit : le produit est l'application qui ingère les données d'une source spécifique, par exemple Mail. Par exemple, un seul connecteur peut ingérer des données provenant de plusieurs sources. Si vous effectuez le mappage à ce niveau, tous les événements suivants héritent du même mappage.
Événement : il s'agit du event_name que vous avez défini précédemment, par exemple E-mail suspect. Dans ce cas, l'événement est le message électronique lui-même.
Pour ce cas d'utilisation, mappez tous les champs pertinents au niveau Produit, en attribuant chaque champ au champ approprié dans le code.

Champ cible	Valeur du champ	Champ extrait	Fonction de transformation
`DestinationUserName`	`event["destinationUserName"]`	`TO_STRING`	Adresse e-mail de la personne qui a reçu l'e-mail.
`SourceUserName`	`event["sourceUserName"]`	Format `EXTRACT_BY_REGEX` : [\w\.-]+@[\w\.-]+	Adresse e-mail de l'expéditeur
`EmailSubject`	`event["subject"]`	`TO_STRING`	Objet de l'e-mail
`DestinationURL`	`event["found_url"]`	`TO_STRING`	URL trouvées dans le corps de l'e-mail
`StartTime`	`event["startTime"]`	`FROM_UNIXTIME_STRING_OR_LONG`	Heure de début à laquelle l'e-mail a été reçu.
`EndTime`	`event["endTime"]`	`FROM_UNIXTIME_STRING_OR_LONG`	Heure de fin de réception de l'e-mail.

Simuler et examiner vos alertes mappées

Après avoir mappé votre cas, simulez l'alerte pour voir les résultats du mappage, comme suit :

Dans l'onglet Présentation de l'alerte, cliquez sur Plus, puis sélectionnez Ingérer l'alerte en tant que scénario de test. Une nouvelle alerte simulée apparaît sous forme de demande dans la file d'attente des demandes. Tous les cas simulés sont tagués avec la mention Test à côté du nom du cas.
Cliquez sur more_vert Plus > Afficher le résultat pour afficher chaque argument de message électronique mappé.
Facultatif : Cliquez sur Explorer pour visualiser les entités et leurs relations.
Une fois le mappage et la modélisation du connecteur terminés, activez-le pour commencer l'ingestion automatique des alertes :

Accédez à la page Connecteurs.
Cliquez sur le bouton pour l'activer.
Cliquez sur Enregistrer.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.