Avvisi relativi a mappe e modelli
Questo documento descrive come mappare e modellare gli avvisi per i tuoi eventi. Per impostazione predefinita, gli avvisi non vengono mappati e modellati, il che è un passaggio necessario per analizzare correttamente i dati di sicurezza. Questo processo avviene nella sezione Mapping e modellazione della piattaforma Google Security Operations.
Mappare gli eventi
Il seguente caso d'uso descrive come mappare gli eventi:
- Nella scheda Eventi della schermata Casi, seleziona un evento e fai clic su Impostazioni Configurazione evento.
- Seleziona modellazione Mappatura e modellazione. Per questo caso d'uso, mappa i dati utilizzando la famiglia predefinita MailRelayOrTAP per gli eventi di monitoraggio delle email.
Informazioni sulla gerarchia di mapping
Puoi configurare la mappatura e la modellazione a uno dei tre livelli. Le mappature vengono ereditate dall'alto verso il basso, quindi tutte le mappature applicate a un livello superiore vengono applicate automaticamente a tutti i livelli sottostanti.
- Origine: il nome dell'origine che hai fornito in precedenza, che ha importato i dati e creato l'avviso. Ad esempio, la tua origine potrebbe essere chiamata
Email Connector. A questo livello, devi mappare solo il campo Ora, che è comune a tutte le fasi. Se esegui la mappatura ora, le fasi successive, Prodotto - "Posta" ed Evento - "Email sospetta", ereditano automaticamente la stessa mappatura. - Prodotto: il prodotto è l'applicazione che acquisisce i dati da un'origine specifica, ad esempio Mail. Ad esempio, un singolo connettore può importare dati da più origini. Se esegui il mapping a questo livello, tutti gli eventi successivi ereditano lo stesso mapping.
- Evento: si tratta di
event_nameche hai definito in precedenza, ad esempio Email sospetta. In questo caso, l'evento è il messaggio email stesso. - Per questo caso d'uso, mappa tutti i campi pertinenti a livello di Prodotto, assegnando ogni campo a quello appropriato nel codice.
| Campo target | Il valore del campo | Campo estratto | Funzione di trasformazione |
|---|---|---|---|
DestinationUserName |
event["destinationUserName"] |
TO_STRING | L'indirizzo email della persona che ha ricevuto l'email. |
SourceUserName |
event["sourceUserName"] |
EXTRACT_BY_REGEX formato:[\w\.-]+@[\w\.-]+ |
L'indirizzo email della persona che ha inviato l'email |
EmailSubject |
event["subject"] |
TO_STRING |
L'oggetto dell'email |
DestinationURL |
event["found_url"] |
TO_STRING |
URL trovati nel corpo dell'email |
StartTime |
event["startTime"] |
FROM_UNIXTIME_STRING_OR_LONG |
Ora di inizio della ricezione dell'email. |
EndTime |
event["endTime"] |
FROM_UNIXTIME_STRING_OR_LONG |
Ora di fine della ricezione dell'email. |
Simulare e rivedere gli avvisi mappati
Dopo aver mappato lo scenario, simula l'avviso per visualizzare i risultati della mappatura nel seguente modo:
- Nella scheda Panoramica dell'avviso, fai clic su Altro e seleziona Importa avviso come scenario di test. Un nuovo avviso simulato viene visualizzato come richiesta nella coda delle richieste. Tutti i tag dei casi simulati con la dicitura Test accanto al nome del caso.
- Fai clic su more_vert Altro > Mostra risultato per visualizzare ogni argomento del messaggio email mappato.
- (Facoltativo) Fai clic su Esplora per visualizzare le entità e le loro relazioni.
- Dopo aver completato la mappatura e la modellazione del connettore, abilita il connettore per iniziare l'importazione automatica degli avvisi:
- Vai alla pagina Connettori.
- Fai clic sul pulsante di attivazione/disattivazione per impostarlo su On.
- Fai clic su Salva.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.