Mapeie relações de eventos de segurança com famílias visuais

Compatível com:

O Google Security Operations oferece uma coleção de famílias visuais predefinidas que se adequam a muitos tipos de alertas comuns. A família visual predefinida inclui todos os tipos de entidades e relações fundamentais.

As famílias visuais representam relações entre entidades num evento de segurança e ajudam a identificar os principais intervenientes e o fluxo de um incidente de segurança.

Cada família visual consiste em várias regras. Cada regra contém até quatro origens, até quatro destinos e um tipo de ligação. As origens e os destinos representam tipos de entidades relevantes para o alerta, e as ligações entre eles são com tipo ou associadas.

  • As associações escritas associam as entidades principais (atores) num alerta. Normalmente, representam uma ação realizada por uma entidade noutra (ou em si própria) e são apresentados como uma linha com uma seta. Cada família visual tem de conter uma única regra de associação com tipo.
  • As associações associadas associam duas ou mais entidades logicamente relacionadas, como um nome de anfitrião e um endereço IP, ou um email e um nome de utilizador. São representados por uma linha tracejada, o que significa esta relação lógica.

Além disso, as famílias visuais definem que tipos de entidades podem estar envolvidos no evento. Quando mapeia campos de eventos para entidades, os tipos de entidades permitidos são predeterminados pela família visual atribuída a esse tipo de evento.

As famílias visuais são aplicadas a eventos de um tipo ou produto específico e são agregadas dinamicamente com outros eventos para criar um gráfico de entidades visuais para todo o alerta e registo. Pode ver este gráfico na página Configuração de eventos > visualização ou na página Explorar.

Defina uma família visual

Siga estes passos para criar uma visualização que mostre as relações e as ligações entre entidades:

  1. Identifique o evento que requer uma família visual.
  2. Classifique e mapeie os campos para os respetivos tipos de entidades. Para este exemplo, use o evento Suspicious Connection: 
        {
  "name": "Suspicious Connection", 
  "product": "SecOps", 
  "event_type": "Suspicious connection", 
  "hostname": "USER_PC", 
  "process_sha256": "6857fee8812490499164bb7efb7f457d038e82140bb1fa0adbd0dc018e404f84", 
  "process_name": "notepad.exe", 
  "destination_domain": "google.com",
  "destination_ip_address": "8.8.8.8" 
}
  3. Classifique os campos de eventos para tipos de entidades específicos da seguinte forma:
    Campo Tipo de entidade
    hostname SourceHostName
    process_name SourceProcessName
    process_sha256 FileHash
    destination_domain DestinationDomain
    destination_ip_address DestinationAddress
  4. Aceda a Definições > Ontologia > Famílias visuais.
  5. Selecione adicionar Adicionar e introduza um nome e uma descrição.
  6. Defina a regra de associação obrigatória com tipo identificando a ação principal. Neste exemplo, uma vez que um processo criou uma associação a um domínio, a entidade process é a origem e a entidade domain é o destino.
  7. Defina entidades relacionadas logicamente com regras de associação associadas. Usando o mesmo exemplo de evento, pode observar várias relações:
    • SourceProcessName foi executado a SourceHostName.
    • O hash SourceProcessName é a entidade FileHash
    • DestinationDomain e DestinationAddress representam o destino do processo.
  8. Guarde a família visual. Depois de guardar, pode adicionar opcionalmente uma imagem que represente a família visual na tabela Definições > Ontologia > Famílias visuais.

Entidades flutuantes

Uma entidade flutuante é uma entidade que aparece numa visualização de gráfico sem ligações a outras entidades. Isto pode acontecer por alguns motivos principais, e compreender porquê é fundamental para uma análise e visualização de dados eficazes:

  • Falta uma regra de associação na hierarquia visual: a hierarquia visual, que define como os eventos são apresentados, pode não ter uma regra para associar o tipo de entidade flutuante a um tipo de entidade existente no evento. Por exemplo, pode ser definida uma entidade User, mas não existe nenhuma regra que especifique que deve ser associada a uma entidade File num evento "File Access".
  • Dados de eventos incompletos: os dados de eventos podem não ter as informações necessárias para criar uma associação. Por exemplo, um evento para uma ligação de rede pode não ter um endereço IP de destino, o que impede que seja associado a uma entidade de anfitrião.
  • Entidades isoladas: uma entidade pode ser criada, mas nunca ser referenciada por outro evento, o que a torna "isolada". Por exemplo, é criada uma nova conta de utilizador, mas ainda não realizou ações que gerem eventos para associar à mesma.

Para resolver o problema das entidades flutuantes, pode realizar as seguintes ações:

  • Reveja a família visual: verifique se a família visual tem as regras necessárias para associar os tipos de entidades. Caso contrário, pode ter de criar uma nova regra para estabelecer a relação.
  • Inspeccione os dados de eventos não processados: examine os dados não processados do evento para ver se os campos necessários para o mapeamento (por exemplo, IP de origem, porta de destino, ID do utilizador) estão presentes.
  • Ajuste o mapeamento de campos: se os dados existirem, mas não estiverem a ser mapeados corretamente, ajuste o mapeamento de campos para garantir que os campos de eventos certos estão a preencher as propriedades da entidade.

Saiba como criar entidades (mapeamento e modelagem) e configurar o mapeamento e atribuir famílias visuais.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.