Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

התראות לגבי מפות ומודלים

נתמך ב:

Google secops SOAR

במסמך הזה מוסבר איך למפות ולבנות מודלים של התראות לאירועים. כברירת מחדל, התראות לא ממופות ולא נבנים להן מודלים, אבל זה שלב הכרחי לניתוח נכון של נתוני אבטחה. התהליך הזה מתבצע בקטע מיפוי ובניית מודלים בפלטפורמת Google Security Operations.

מיפוי האירועים

תרחיש השימוש הבא מתאר איך למפות את האירועים:

במסך Cases (אירועים) בכרטיסייה Events (אירועים), בוחרים אירוע ולוחצים על settings (הגדרות) Event Configuration (הגדרת אירוע).
בוחרים באפשרות מודלים מיפוי ומודלים. במקרה השימוש הזה, ממפים את הנתונים באמצעות משפחת המשתנים המוגדרת מראש MailRelayOrTAP לאירועים של ניטור אימיילים.

הסבר על היררכיית המיפוי

אפשר להגדיר מיפוי ומידול באחת משלוש רמות. מיפויים מועברים בירושה מלמעלה למטה, כך שכל מיפוי שתחיל ברמה גבוהה יותר יחול אוטומטית על כל הרמות שמתחתיה.

מקור: השם של המקור שסיפקתם קודם, שממנו הנתונים נלקחו והתראה נוצרה. לדוגמה, יכול להיות שהמקור שלכם נקרא Email Connector. ברמה הזו, צריך למפות רק את השדה שעה – הוא משותף לכל השלבים. אם תבצעו את המיפוי עכשיו, השלבים הבאים – מוצר – 'Mail' ואירוע – 'אימייל חשוד' – יקבלו בירושה את אותו המיפוי באופן אוטומטי.
מוצר: המוצר הוא האפליקציה שקולטת נתונים ממקור ספציפי, למשל Mail. לדוגמה, מחבר יחיד יכול לקלוט נתונים מכמה מקורות. אם ממפים ברמה הזו, כל האירועים הבאים יקבלו בירושה את אותו מיפוי.
אירוע: זהו event_name שהגדרתם קודם, לדוגמה, אימייל חשוד. האירוע במקרה הזה הוא הודעת האימייל עצמה.
בתרחיש השימוש הזה, צריך למפות את כל השדות הרלוונטיים ברמת המוצר, ולהקצות כל שדה לשדה המתאים בקוד.

שדה יעד	ערך השדה	שדה שחולץ	פונקציית טרנספורמציה
`DestinationUserName`	`event["destinationUserName"]`	`TO_STRING`	כתובת האימייל של האדם שקיבל את האימייל.
`SourceUserName`	`event["sourceUserName"]`	`EXTRACT_BY_REGEX` פורמט: [\w\.-]+@[\w\.-]+	כתובת האימייל של מי ששלח את האימייל
`EmailSubject`	`event["subject"]`	`TO_STRING`	נושא האימייל
`DestinationURL`	`event["found_url"]`	`TO_STRING`	כתובות URL שנמצאו בתוכן האימייל
`StartTime`	`event["startTime"]`	`FROM_UNIXTIME_STRING_OR_LONG`	שעת ההתחלה שבה האימייל התקבל.
`EndTime`	`event["endTime"]`	`FROM_UNIXTIME_STRING_OR_LONG`	שעת הסיום שבה האימייל התקבל.

הדמיה ובדיקה של ההתראות הממופות

אחרי מיפוי האירוע, מדמים את ההתראה כדי לראות את תוצאות המיפוי, באופן הבא:

בכרטיסייה סקירה כללית של ההתראה, לוחצים על עוד ובוחרים באפשרות הוספת ההתראה כתרחיש בדיקה. התראה חדשה ומדומה מופיעה כבקשת תמיכה בתור של בקשות התמיכה. כל בקשות התמיכה המדומות מסומנות בתג בדיקה לצד שם בקשת התמיכה.
כדי לראות כל ארגומנט של הודעת אימייל שמופה, לוחצים על more_vert עוד > הצגת התוצאה.
אופציונלי: לוחצים על חקר כדי לראות את הישויות ואת הקשרים ביניהן.
אחרי שממפים את המחבר ויוצרים את המודל, מפעילים את המחבר כדי להתחיל בהטמעה אוטומטית של התראות:

עוברים לדף מחברים.
לוחצים על המתג כדי להעביר אותו למצב מופעל.
לוחצים על Save.

הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.