매핑 및 모델 알림
다음에서 지원:
Google secops
SOAR
이 문서에서는 이벤트에 대한 알림을 매핑하고 모델링하는 방법을 설명합니다. 기본적으로 알림은 매핑되고 모델링되지 않으며, 이는 보안 데이터를 적절하게 분석하는 데 필요한 단계입니다. 이 프로세스는 Google Security Operations 플랫폼의 매핑 및 모델링 섹션에서 이루어집니다.
이벤트 매핑
다음 사용 사례에서는 이벤트를 매핑하는 방법을 설명합니다.
- 케이스 화면의 이벤트 탭에서 이벤트를 선택하고 설정 이벤트 구성을 클릭합니다.
- 모델링 매핑 및 모델링을 선택합니다. 이 사용 사례에서는 이메일 모니터링 이벤트를 위해 사전 정의된 패밀리 MailRelayOrTAP을 사용하여 데이터를 매핑합니다.
매핑 계층 구조 이해
세 가지 수준 중 하나에서 매핑 및 모델링을 구성할 수 있습니다. 매핑은 위에서 아래로 상속되므로 상위 수준에서 적용한 매핑은 하위 수준에 자동으로 적용됩니다.
- 소스: 데이터를 수집하고 알림을 생성한 이전에 제공한 소스의 이름입니다. 예를 들어 소스의 이름이
Email Connector일 수 있습니다. 이 수준에서는 시간 필드만 매핑하면 됩니다. 모든 단계에서 공통적으로 사용되기 때문입니다. 지금 매핑을 수행하면 후속 단계인 제품 - '메일' 및 이벤트 - '의심스러운 이메일'이 동일한 매핑을 자동으로 상속합니다. - 제품: 제품은 특정 소스(예: 메일)에서 데이터를 수집하는 애플리케이션입니다. 예를 들어 단일 커넥터는 여러 소스의 데이터를 수집할 수 있습니다. 이 수준에서 매핑하면 모든 후속 이벤트가 동일한 매핑을 상속합니다.
- 이벤트: 이전에 정의한
event_name입니다(예: 의심스러운 이메일). 이 경우 이벤트는 이메일 메시지 자체입니다. - 이 사용 사례에서는 제품 수준에서 모든 관련 필드를 매핑하여 각 필드를 코드의 적절한 필드에 할당합니다.
| 대상 필드 | 필드 값 | 추출된 필드 | 변환 함수 |
|---|---|---|---|
DestinationUserName |
event["destinationUserName"] |
TO_STRING | 이메일을 수신한 사람의 이메일 주소입니다. |
SourceUserName |
event["sourceUserName"] |
EXTRACT_BY_REGEX 형식:[\w\.-]+@[\w\.-]+ |
이메일을 보낸 사람의 이메일 주소 |
EmailSubject |
event["subject"] |
TO_STRING |
이메일 제목 |
DestinationURL |
event["found_url"] |
TO_STRING |
이메일 본문에서 발견된 URL |
StartTime |
event["startTime"] |
FROM_UNIXTIME_STRING_OR_LONG |
이메일을 수신한 시작 시간입니다. |
EndTime |
event["endTime"] |
FROM_UNIXTIME_STRING_OR_LONG |
이메일을 수신한 종료 시간입니다. |
매핑된 알림 시뮬레이션 및 검토
케이스를 매핑한 후 다음과 같이 알림을 시뮬레이션하여 매핑 결과를 확인합니다.
- 알림의 개요 탭에서 더보기를 클릭하고 테스트 사례로 알림 수집을 선택합니다. 새로운 시뮬레이션된 알림이 케이스 대기열에 케이스로 표시됩니다. 모든 시뮬레이션된 케이스에는 케이스 이름 옆에 테스트 태그가 표시됩니다.
- more_vert 더보기 > 결과 표시를 클릭하여 매핑된 각 이메일 메시지 인수를 확인합니다.
- 선택사항: 탐색을 클릭하여 항목과 관계를 시각화합니다.
- 커넥터 매핑 및 모델링을 완료한 후 커넥터를 사용 설정하여 자동 알림 수집을 시작합니다.
- 커넥터 페이지로 이동합니다.
- 전환 버튼을 클릭하여 사용 위치로 전환합니다.
- 저장을 클릭합니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.