Pemberitahuan peta dan model
Dokumen ini menjelaskan cara memetakan dan memodelkan pemberitahuan untuk peristiwa Anda. Secara default, pemberitahuan tidak dipetakan dan dimodelkan, yang merupakan langkah yang diperlukan untuk menganalisis data keamanan dengan benar. Proses ini terjadi di bagian Pemetaan dan pemodelan pada platform Google Security Operations.
Memetakan acara Anda
Kasus penggunaan berikut menguraikan cara memetakan peristiwa Anda:
- Dari tab Peristiwa di layar Kasus, pilih peristiwa, lalu klik setelan Konfigurasi Peristiwa.
- Pilih pemodelan Pemetaan & Pemodelan. Untuk kasus penggunaan ini, petakan data Anda menggunakan famili MailRelayOrTAP yang telah ditentukan sebelumnya untuk peristiwa pemantauan email.
Memahami hierarki pemetaan
Anda dapat mengonfigurasi pemetaan dan pemodelan di salah satu dari tiga tingkat. Pemetaan diwarisi dari atas ke bawah, sehingga pemetaan apa pun yang Anda terapkan di tingkat yang lebih tinggi akan otomatis diterapkan ke semua tingkat di bawahnya.
- Sumber: Nama sumber yang Anda berikan sebelumnya yang menyerap data dan membuat pemberitahuan. Misalnya, sumber Anda mungkin disebut
Email Connector. Di tingkat ini, Anda hanya perlu memetakan kolom Time—kolom ini umum di semua tahap. Jika Anda melakukan pemetaan sekarang, tahap berikutnya—Produk - "Mail" dan Peristiwa - "Email mencurigakan"—akan otomatis mewarisi pemetaan yang sama. - Produk: Produk adalah aplikasi yang menyerap data dari sumber tertentu, misalnya, Mail. Misalnya, satu konektor dapat menyerap data dari beberapa sumber. Jika Anda memetakan di tingkat ini, semua peristiwa berikutnya akan mewarisi pemetaan yang sama.
- Peristiwa: Ini adalah
event_nameyang Anda tentukan sebelumnya, misalnya, Email mencurigakan. Dalam hal ini, peristiwanya adalah pesan email itu sendiri. - Untuk kasus penggunaan ini, petakan semua kolom yang relevan di tingkat Produk, dengan menetapkan setiap kolom ke kolom yang sesuai dalam kode.
| Kolom target | Nilai kolom | Kolom yang diekstrak | Fungsi transformasi |
|---|---|---|---|
DestinationUserName |
event["destinationUserName"] |
TO_STRING | Alamat email orang yang menerima email. |
SourceUserName |
event["sourceUserName"] |
EXTRACT_BY_REGEX format:[\w\.-]+@[\w\.-]+ |
Alamat email orang yang mengirim email |
EmailSubject |
event["subject"] |
TO_STRING |
Subjek email |
DestinationURL |
event["found_url"] |
TO_STRING |
URL yang ditemukan dalam isi email |
StartTime |
event["startTime"] |
FROM_UNIXTIME_STRING_OR_LONG |
Waktu mulai email diterima. |
EndTime |
event["endTime"] |
FROM_UNIXTIME_STRING_OR_LONG |
Waktu berakhir email diterima. |
Menyimulasikan dan meninjau pemberitahuan yang dipetakan
Setelah memetakan kasus, simulasikan pemberitahuan untuk melihat hasil pemetaan, sebagai berikut:
- Di tab Ringkasan pemberitahuan, klik Lainnya lalu pilih Masukkan pemberitahuan sebagai kasus pengujian. Pemberitahuan simulasi baru akan muncul sebagai kasus dalam antrean kasus. Semua kasus simulasi ditandai dengan Test di samping nama kasus.
- Klik more_vert Lainnya > Tampilkan Hasil untuk melihat setiap argumen pesan email yang dipetakan.
- Opsional: Klik Jelajahi untuk memvisualisasikan entitas dan hubungannya.
- Setelah menyelesaikan pemetaan dan pemodelan konektor, aktifkan konektor untuk memulai penyerapan pemberitahuan otomatis:
- Buka halaman Konektor.
- Klik tombol ke posisi aktif
- Klik Simpan.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.