地圖和模型快訊
支援的國家/地區:
Google SecOps
SOAR
本文說明如何對應及模擬事件的快訊。根據預設,系統不會對應及模擬快訊,但這是正確分析安全資料的必要步驟。這個程序會在 Google Security Operations 平台的「對應和建模」部分進行。
對應活動
以下使用案例說明如何對應事件:
- 在「案件」畫面「事件」分頁中,選取事件,然後按一下「設定」 「事件設定」。
- 選取「建模」「對應與模型」。針對這個用途,請使用預先定義的 MailRelayOrTAP 系列,對應電子郵件監控事件的資料。
瞭解對應階層
您可以在下列任一層級設定對應和建模。對應會從上層向下層繼承,因此您在上層套用的任何對應,都會自動套用至下層的所有層級。
- 來源:您先前提供的來源名稱,該來源會擷取資料並建立快訊。舉例來說,來源可能稱為
Email Connector。在這個層級,您只需要對應「時間」欄位,因為所有階段都會用到這個欄位。如果您現在執行對應,後續階段 (「產品 -『郵件』」和「事件 -『可疑電子郵件』」) 會自動沿用相同的對應。 - 產品:產品是指從特定來源 (例如 Mail) 擷取資料的應用程式。舉例來說,單一連結器可以從多個來源擷取資料。如果您在這個層級對應,後續所有事件都會沿用相同的對應。
- 事件:這是您先前定義的
event_name,例如「可疑電子郵件」。在本例中,事件就是電子郵件。 - 在這個用途中,請在「產品」層級對應所有相關欄位,並將每個欄位指派給程式碼中的適當欄位。
| 目標欄位 | 欄位值 | 擷取的欄位 | 轉換函式 |
|---|---|---|---|
DestinationUserName |
event["destinationUserName"] |
TO_STRING | 收到電子郵件的使用者電子郵件地址。 |
SourceUserName |
event["sourceUserName"] |
EXTRACT_BY_REGEX 格式:[\w\.-]+@[\w\.-]+ |
傳送電子郵件者的電子郵件地址 |
EmailSubject |
event["subject"] |
TO_STRING |
電子郵件主旨 |
DestinationURL |
event["found_url"] |
TO_STRING |
電子郵件內文中的網址 |
StartTime |
event["startTime"] |
FROM_UNIXTIME_STRING_OR_LONG |
收到電子郵件的開始時間。 |
EndTime |
event["endTime"] |
FROM_UNIXTIME_STRING_OR_LONG |
收到電子郵件的結束時間。 |
模擬及查看對應的快訊
對應案件後,請模擬快訊,查看對應結果,如下所示:
- 在快訊的「總覽」分頁中,按一下「更多」,然後選取「將快訊擷取為測試案例」。模擬的新快訊會以案件形式顯示在案件佇列中。所有模擬案例標記為「測試」,並顯示在案例名稱旁。
- 依序點選「更多」圖示 more_vert 「更多」>「顯示結果」,即可查看每個對應的電子郵件訊息引數。
- 選用:按一下「探索」,以視覺化方式呈現實體及其關係。
- 完成連接器對應和建模後,請啟用連接器,開始自動擷取快訊:
- 前往「Connectors」(連結器) 頁面。
- 將切換鈕設為開啟
- 按一下 [儲存]。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。