Mapeie e modele alertas

Compatível com:

Este documento descreve como mapear e modelar alertas para os seus eventos. Por predefinição, os alertas não são mapeados nem modelados, o que é um passo necessário para analisar corretamente os dados de segurança. Este processo ocorre na secção Mapeamento e modelagem da plataforma Google Security Operations.

Mapeie os seus eventos

O exemplo de utilização seguinte descreve como mapear os seus eventos:

  1. No separador Eventos do ecrã Registos, selecione um evento e clique em definições Configuração de eventos.
  2. Selecione modelagem Mapeamento e modelagem. Para este exemplo de utilização, mapeie os seus dados através da família predefinida MailRelayOrTAP para eventos de monitorização de email.

Compreenda a hierarquia de mapeamento

Pode configurar o mapeamento e a modelagem num de três níveis. Os mapeamentos são herdados de cima para baixo. Assim, todos os mapeamentos que aplicar a um nível superior são aplicados automaticamente a todos os níveis inferiores.

  • Origem: o nome da origem que indicou anteriormente que carregou os dados e criou o alerta. Por exemplo, a sua origem pode chamar-se Email Connector. Neste nível, só precisa de mapear o campo Hora, que é comum a todas as fases. Se fizer o mapeamento agora, as fases subsequentes (Produto – "Mail" e Evento – "Email suspeito") herdam automaticamente o mesmo mapeamento.
  • Produto: o produto é a aplicação que introduz dados de uma origem específica, por exemplo, o Mail. Por exemplo, um único conector pode carregar dados de várias origens. Se fizer o mapeamento a este nível, todos os eventos subsequentes herdam o mesmo mapeamento.
  • Evento: este é o event_name que definiu anteriormente, por exemplo, Email suspeito. Neste caso, o evento é a própria mensagem de email.
  • Para este exemplo de utilização, mapeie todos os campos relevantes ao nível de Product, atribuindo cada campo ao campo adequado no código.
Campo de destino O valor do campo Campo extraído Função de transformação
DestinationUserName event["destinationUserName"] TO_STRINGO endereço de email da pessoa que recebeu o email.
SourceUserName event["sourceUserName"] EXTRACT_BY_REGEX formato:

[\w\.-]+@[\w\.-]+
 O endereço de email da pessoa que enviou o email
EmailSubject event["subject"] TO_STRING O assunto do email
DestinationURL event["found_url"] TO_STRING URLs encontrados no corpo do email
StartTime event["startTime"] FROM_UNIXTIME_STRING_OR_LONG Hora de início em que o email foi recebido.
EndTime event["endTime"] FROM_UNIXTIME_STRING_OR_LONG Hora de fim da receção do email.

Simule e reveja os seus alertas mapeados

Depois de mapear o registo, simule o alerta para ver os resultados do mapeamento, da seguinte forma:

  1. No separador Vista geral do alerta, clique em Mais e selecione Carregar alerta como exemplo de teste. É apresentado um novo alerta simulado como um registo na fila de registos. Todos os casos simulados são etiquetados com Teste junto ao nome do caso.
  2. Clique em more_vert Mais > Mostrar resultado para ver cada argumento de mensagem de email mapeado.
  3. Opcional: clique em Explorar para visualizar as entidades e as respetivas relações.
  4. Depois de concluir o mapeamento e a modelagem do conector, ative o conector para iniciar a ingestão automática de alertas:
    1. Aceda à página Conetores.
    2. Clique no botão para o ativar
    3. Clique em Guardar.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.