地図とモデルのアラート

以下でサポートされています。

このドキュメントでは、イベントのアラートをマッピングしてモデル化する方法について説明します。デフォルトでは、アラートはマッピングおよびモデリングされません。これは、セキュリティ データを適切に分析するために必要な手順です。このプロセスは、Google Security Operations プラットフォームのマッピングとモデリング セクションで行われます。

イベントをマッピングする

次のユースケースでは、イベントをマッピングする方法について説明します。

  1. [ケース] 画面の [イベント] タブでイベントを選択し、[ 設定 ] [イベントの設定] をクリックします。
  2. [モデリング] [マッピングとモデリング] を選択します。このユースケースでは、メール モニタリング イベントに事前定義されたファミリ MailRelayOrTAP を使用してデータをマッピングします。

マッピングの階層を理解する

マッピングとモデリングは、3 つのレベルのいずれかで構成できます。マッピングは上から下に継承されるため、上位レベルで適用したマッピングは、その下のすべてのレベルに自動的に適用されます。

  • ソース: データを取り込んでアラートを作成した、以前に指定したソースの名前。たとえば、ソースの名前が Email Connector であるとします。このレベルでは、時間フィールドのマッピングのみが必要です。このフィールドはすべてのステージで共通です。今マッピングを行うと、後続のステージ(プロダクト - 「メール」イベント - 「不審なメール」)に同じマッピングが自動的に継承されます。
  • プロダクト: プロダクトは、特定のソース(メールなど)からデータを取り込むアプリケーションです。たとえば、1 つのコネクタで複数のソースからデータを取り込むことができます。このレベルでマッピングすると、後続のすべてのイベントで同じマッピングが継承されます。
  • イベント: これは、以前に定義した event_name(例: 不審なメール)です。この場合のイベントはメール メッセージ自体です。
  • このユースケースでは、Product レベルで関連するすべてのフィールドをマッピングし、各フィールドをコード内の適切なフィールドに割り当てます。
ターゲット フィールド フィールド値 抽出されたフィールド 変換関数
DestinationUserName event["destinationUserName"] TO_STRINGメールを受信したユーザーのメールアドレス。
SourceUserName event["sourceUserName"] EXTRACT_BY_REGEX 形式:

[\w\.-]+@[\w\.-]+
 メールを送信したユーザーのメールアドレス
EmailSubject event["subject"] TO_STRING メールの件名
DestinationURL event["found_url"] TO_STRING メール本文で検出された URL
StartTime event["startTime"] FROM_UNIXTIME_STRING_OR_LONG メールが受信された開始時刻。
EndTime event["endTime"] FROM_UNIXTIME_STRING_OR_LONG メールが受信された終了時刻。

マッピングされたアラートをシミュレートして確認する

ケースをマッピングしたら、次のようにアラートをシミュレートしてマッピング結果を確認します。

  1. アラートの [概要] タブで、 [その他] をクリックし、[アラートをテストケースとして取り込む] を選択します。新しいシミュレートされたアラートがケースキューにケースとして表示されます。すべてのシミュレートされたケースには、ケース名の横に [テスト] というタグが付けられます。
  2. more_vert [その他] > [結果を表示] をクリックすると、マッピングされた各メール メッセージ引数が表示されます。
  3. 省略可: [探索] をクリックして、エンティティとその関係を可視化します。
  4. コネクタのマッピングとモデリングが完了したら、コネクタを有効にしてアラートの自動取り込みを開始します。
    1. [コネクタ] ページに移動します。
    2. 切り替えボタンをクリックしてオンにします。
    3. [保存] をクリックします。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。