地图和模型提醒
支持的平台:
Google SecOps
SOAR
本文档介绍了如何为您的活动映射和建模提醒。默认情况下,系统不会对提醒进行映射和建模,而这是正确分析安全数据的必要步骤。此流程在 Google Security Operations 平台的映射和建模部分中进行。
在地图上显示活动
以下使用情形概述了如何映射事件:
- 在案例界面中的活动标签页中,选择一个活动,然后依次点击 设置 活动配置。
- 依次选择建模 地图和模型。对于此使用情形,请使用预定义的系列 MailRelayOrTAP 映射您的数据,以用于电子邮件监控事件。
了解映射层次结构
您可以在三个级别之一配置地图和模型。映射是从上到下继承的,因此您在较高级别应用的任何映射都会自动应用于其下方的所有级别。
- 来源:您之前提供的来源的名称,该来源提取了数据并创建了提醒。例如,您的来源可能名为
Email Connector。在此级别,您只需映射 Time 字段,该字段在所有阶段都是通用的。如果您现在执行映射,后续阶段(产品 -“邮件”和事件 -“可疑电子邮件”)会自动沿用相同的映射。 - 产品:产品是指从特定来源(例如 Mail)提取数据的应用。例如,单个连接器可以从多个来源注入数据。如果您在此级别进行映射,则所有后续事件都会沿用相同的映射。
- 事件:这是您之前定义的
event_name,例如可疑电子邮件。在这种情况下,事件就是电子邮件本身。 - 对于此使用情形,请在 Product 级别映射所有相关字段,并将每个字段分配给代码中的相应字段。
| 目标字段 | 字段值 | 提取的字段 | 转换函数 |
|---|---|---|---|
DestinationUserName |
event["destinationUserName"] |
TO_STRING | 收到电子邮件的人员的电子邮件地址。 |
SourceUserName |
event["sourceUserName"] |
EXTRACT_BY_REGEX 格式:[\w\.-]+@[\w\.-]+ |
发送电子邮件的人员的电子邮件地址 |
EmailSubject |
event["subject"] |
TO_STRING |
电子邮件主题 |
DestinationURL |
event["found_url"] |
TO_STRING |
电子邮件正文中发现的网址 |
StartTime |
event["startTime"] |
FROM_UNIXTIME_STRING_OR_LONG |
收到电子邮件的开始时间。 |
EndTime |
event["endTime"] |
FROM_UNIXTIME_STRING_OR_LONG |
收到电子邮件的结束时间。 |
模拟并查看已映射的提醒
映射完支持情况后,请模拟提醒以查看映射结果,如下所示:
- 在提醒的概览标签页上,点击 更多,然后选择将提醒作为测试用例提取。 系统会生成一个模拟的新提醒,并将其作为支持请求显示在支持请求队列中。所有模拟的案例都会在案例名称旁边标记测试。
- 依次点击 more_vert 更多 > 显示结果,即可查看每个已映射的电子邮件消息实参。
- 可选:点击探索以直观呈现实体及其关系。
- 完成连接器映射和建模后,启用连接器以开始自动提取提醒:
- 前往连接器页面。
- 点击切换开关,将其切换到开启位置
- 点击保存。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。