Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

בדיקת מתקן טעינה

נתמך ב:

Google secops SOAR

במאמר הזה מוסבר איך לבדוק מחבר על ידי הטמעה של אימייל זדוני לדוגמה בפלטפורמת Google Security Operations. תהליך הבדיקה מראה איך:

הוספת אימייל זדוני לדוגמה.
מפעילים את המחבר.
טוענים את ההתראה לתור של בקשות התמיכה.
איך מתורגמים נתוני ההתראות

אחרי שמבצעים את השלבים האלה, אפשר לראות את הכרטיס החדש, לצפות בתצוגה מקדימה של תוכן האימייל ולהבין איך נתוני ההתראה מתורגמים ומוצגים בפלטפורמה לפני שהם ממופים ומעוצבים.

הוספת אימייל זדוני לדוגמה

כדי להטמיע דוגמה של אימייל זדוני בפלטפורמת Google SecOps, פועלים לפי השלבים הבאים:

הוספת אימייל זדוני לפלטפורמה.

מעתיקים את הטקסט לדוגמה של האימייל הבא ושולחים את האימייל הזה ממשתמש אחר:

Subject: Your new salary notification

Email body:
Hello, You have an important email from the Human Resources Department with regards to your December 2018 Paycheck. This email is enclosed in the Marquette University secure network.
Access the documents here: www.example.com. Ensure your login credentials are correct to avoid cancellations.
Faithfully,
Human Resources
University of California, Berkeley

הפעלת המחבר

כדי להפעיל את המחבר:

עוברים אל הגדרות > העברה > מחברים.
בכרטיסייה בדיקה, לוחצים על הפעלת המחבר פעם אחת. התוצאות מופיעות בקטע Output ומוצג מופע חדש של מחבר שנוצר בפלטפורמה. בכל פעם שמריצים את הפונקציה הזו, היא תפעל כאילו זו האיטרציה הראשונה. חותמות הזמן לא נשמרות והמזהים לא מאוחסנים בקצה העורפי.
אם המחבר פועל בהצלחה, תופיע התראה על אימייל אחד שלא נקרא. מוודאים שבתיבת הדואר הנכנס יש לפחות הודעת אימייל אחת שלא נקראה לצורך הבדיקה הזו.
אופציונלי: לוחצים על תצוגה מקדימה כדי לראות תצוגה מקדימה של האימייל.

טעינת ההתראה בתור של בקשות התמיכה

אחרי שמטמיעים התראה לדוגמה, מטמיעים את ההתראה בתור של הבקשות לטיפול באמצעות השלבים הבאים:

בוחרים את ההתראה ולוחצים על Load to system.
בכרטיסייה Cases (בקשות תמיכה), רואים את בקשת התמיכה שהועברה.
אחרי שהמחבר מקבל את האימייל על ידי תרגום נתוני האימייל לנתוני Google SecOps, אפשר לראות את ההתראה בכרטיסייה Cases בתור של הפניות.

אחרי שהמחבר מתרגם את נתוני האימייל לפורמט של Google SecOps, ההתראה מופיעה בתור של הטיפול בפניות. כשהאירוע מופיע בפעם הראשונה, הוא לא ממופה או ממוזער. השלבים האלה מתרחשים בהמשך תהליך העבודה.

איך נתוני ההתראות מתורגמים

אפשר לראות איך כל שדה בקוד המחבר תואם לשדה הרלוונטי שמוצג בפרטי ההקשר של הפלטפורמה.

כדי לראות איך נתוני ההתראה מוצגים בפלטפורמה, לוחצים על ההתראה כדי לראות את פרטי ההקשר של ההתראה.

שדה הפלטפורמה	תיאור	מיפוי קוד
שם השדה/הערך	נושא האימייל, לדוגמה: "הודעה על השכר החדש שלך"	`alert_info.name = email_message_data['Subject']`
RuleGenerator / Mail	השם של כלל ה-SIEM ב-Google Security Operations שגורם ליצירת ההתראה	`alert_info.rule_generator = RULE_GENERATOR_EXAMPLE`
TicketID	המזהה הייחודי של הודעת האימייל	`alert_info.ticket_id = f"{alert_id}"`
AlertID	המזהה הייחודי של הודעת האימייל	`alert_info.display_id = f"{alert_id}"`
DeviceProduct / Mail	כפי שהגדרנו בקטע CONSTANTS: `PRODUCT= "Mail"`	`alert_info.device_product = PRODUCT`
DeviceVendor / Mail	כפי שהגדרנו בקטע CONSTANTS: `VENDOR = "Mail"`	`alert_info.device_vendor = VENDOR`
DetectionTime / EndTime / StartTime / EstimatedStartTime	השעה שבה התקבלה הודעת האימייל	`alert_info.start_time = datetime_in_unix_time` `alert_info.end_time = datetime_in_unix_time`
עדיפות / אינפורמטיבי	כפי שהגדרנו בהתראה הזו: אינפורמטיביות = -1 נמוך = 40 ‫Medium = 60 גבוהה = 80 קריטית = 100	`alert_info.priority = 60`

הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.