Alertas de mapa e modelo

Compatível com:

Este documento descreve como mapear e modelar alertas para seus eventos. Por padrão, os alertas não são mapeados nem estimados, o que é uma etapa necessária para analisar corretamente os dados de segurança. Esse processo acontece na seção Mapeamento e modelagem da plataforma Google Security Operations.

Mapear seus eventos

O caso de uso a seguir descreve como mapear seus eventos:

  1. Na tela Casos, guia Eventos, selecione um evento e clique em configurações Configuração de evento.
  2. Selecione modelagem Mapeamento e modelagem. Para esse caso de uso, mapeie seus dados usando a família predefinida MailRelayOrTAP para eventos de monitoramento de e-mail.

Entender a hierarquia de mapeamento

É possível configurar o mapeamento e a modelagem em um de três níveis. Os mapeamentos são herdados de cima para baixo. Portanto, qualquer mapeamento aplicado em um nível mais alto é aplicado automaticamente a todos os níveis abaixo dele.

  • Origem: o nome da origem que você informou anteriormente, que ingeriu os dados e criou o alerta. Por exemplo, sua origem pode ser chamada de Email Connector. Nesse nível, você só precisa mapear o campo Tempo, que é comum em todas as etapas. Se você fizer o mapeamento agora, as etapas subsequentes (Produto - "E-mail" e Evento - "E-mail suspeito") vão herdar automaticamente o mesmo mapeamento.
  • Produto: é o aplicativo que ingere dados de uma fonte específica, por exemplo, o Gmail. Por exemplo, um único conector pode ingerir dados de várias fontes. Se você fizer o mapeamento nesse nível, todos os eventos subsequentes vão herdar o mesmo mapeamento.
  • Evento: é o event_name que você definiu antes, por exemplo, E-mail suspeito. Nesse caso, o evento é a própria mensagem de e-mail.
  • Para esse caso de uso, mapeie todos os campos relevantes no nível Product, atribuindo cada campo ao campo apropriado no código.
Campo de destino O valor do campo Campo extraído Função de transformação
DestinationUserName event["destinationUserName"] TO_STRINGO endereço de e-mail da pessoa que recebeu a mensagem.
SourceUserName event["sourceUserName"] Formato EXTRACT_BY_REGEX:

[\w\.-]+@[\w\.-]+
 O endereço de e-mail da pessoa que enviou a mensagem
EmailSubject event["subject"] TO_STRING O assunto do e-mail
DestinationURL event["found_url"] TO_STRING URLs encontrados no corpo do e-mail
StartTime event["startTime"] FROM_UNIXTIME_STRING_OR_LONG Horário de início em que o e-mail foi recebido.
EndTime event["endTime"] FROM_UNIXTIME_STRING_OR_LONG Hora de término em que o e-mail foi recebido.

Simular e analisar os alertas mapeados

Depois de mapear o caso, simule o alerta para conferir os resultados do mapeamento da seguinte forma:

  1. Na guia Visão geral do alerta, clique em Mais e selecione Ingerir alerta como caso de teste. Um novo alerta simulado aparece como um caso na fila de casos. Todos os casos simulados são marcados com um Teste ao lado do nome do caso.
  2. Clique em more_vert Mais > Mostrar resultado para ver cada argumento de mensagem de e-mail mapeado.
  3. Opcional: clique em Analisar para visualizar as entidades e os relacionamentos delas.
  4. Depois de concluir o mapeamento e a modelagem do conector, ative-o para iniciar a ingestão automática de alertas:
    1. Acesse a página Conectores.
    2. Clique no botão para ativar.
    3. Clique em Salvar.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.