Selección de entidad

Compatible con:

En este documento, se explica cómo Google Security Operations extrae y usa entidades de las alertas que se incorporan. Cuando Google SecOps incorpora una alerta, también incluye los eventos de seguridad subyacentes. Estos eventos se analizan para extraer indicadores clave, como direcciones IP, nombres de usuario y dominios, que luego se modelan como objetos llamados entidades. Cada entidad incluye su propio conjunto de propiedades.

Cómo ver las propiedades de una entidad

  1. En la página Casos, selecciona un caso. En la vista predeterminada del caso, las entidades aparecen en la sección Aspectos destacados de la entidad en las pestañas Descripción general del caso y Alertas.
  2. Haz clic en Ver detalles para abrir un panel lateral que muestre todas las propiedades de la entidad seleccionada.
  3. Haz clic en el nombre de una entidad para abrir el Explorador de entidades en una pestaña nueva. El Explorador de entidades muestra todos los casos asociados con la entidad seleccionada.

Acción de selección de entidad

Cuando se procesa una alerta, se activa una guía de forma automática o semiautomática, según las condiciones configuradas. Google SecOps usa estos manuales para determinar cómo controlar la alerta.

Cada acción dentro de una guía opera en un grupo específico de entidades. La acción Selección de entidades te permite definir estos grupos en función de las propiedades de las entidades. Por ejemplo, puedes crear un grupo que contenga solo entidades internas para usar con acciones diseñadas para recursos internos.

Usa la acción Selección de entidades para crear diferentes grupos según la lógica que desees aplicar. Cuando usas este método, cada acción opera solo en las entidades pertinentes.

Crea un grupo de entidades nuevo

Para crear un grupo de entidades con la acción Selección de entidades, sigue estos pasos:

  1. Ve a la página Playbooks y haz clic en Open Step Selection.
  2. En la pestaña Step Selection, selecciona Actions > Flow.
  3. Arrastra Entity Selection al segundo cuadro etiquetado como Arrastra un paso aquí.
  4. Haz doble clic en el cuadro Selección de entidades para configurar el nuevo grupo de entidades.
  5. Agrega las condiciones necesarias para seleccionar el nuevo grupo de entidades. Por ejemplo, selecciona todas las entidades de direcciones IP que se enriquecieron con VirusTotal v3 y que se marcaron como maliciosas en más de 10 motores.
  6. Una vez definido, el nuevo grupo de entidades estará disponible para todas las acciones posteriores del manual.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.