Selezione delle entità

Supportato in:

Questo documento spiega come Google Security Operations estrae e utilizza le entità dagli avvisi inseriti. Quando Google SecOps acquisisce un avviso, include anche gli eventi di sicurezza sottostanti. Questi eventi vengono analizzati per estrarre indicatori chiave, come indirizzi IP, nomi utente e domini, che vengono poi modellati come oggetti chiamati entità. Ogni entità include il proprio insieme di proprietà.

Visualizzare le proprietà di un'entità

  1. Nella pagina Richieste, seleziona una richiesta. Nella visualizzazione predefinita dei casi, le entità vengono visualizzate nella sezione In evidenza entità delle schede Panoramica caso e Avvisi.
  2. Fai clic su Visualizza dettagli per aprire un riquadro laterale che mostra tutte le proprietà dell'entità selezionata.
  3. Fai clic sul nome di un'entità per aprire Esplora entità in una nuova scheda. L'Esplora entità mostra tutte le richieste associate all'entità selezionata.

Azione di selezione delle entità

Quando viene inserito un avviso, viene attivato automaticamente o semiautomaticamente un playbook, a seconda delle condizioni configurate. Google SecOps utilizza questi playbook per determinare come gestire l'avviso.

Ogni azione all'interno di un playbook opera su un gruppo specifico di entità. L'azione Selezione entità ti consente di definire questi gruppi in base alle proprietà dell'entità. Ad esempio, puoi creare un gruppo contenente solo entità interne da utilizzare con azioni personalizzate per gli asset interni.

Utilizza l'azione Selezione entità per creare gruppi diversi a seconda della logica che vuoi applicare. Quando utilizzi questo metodo, ogni azione opera solo sulle entità pertinenti.

Crea un nuovo gruppo di entità

Per creare un gruppo di entità utilizzando l'azione Selezione entità:

  1. Vai alla pagina Playbook e fai clic su Apri selezione passaggi.
  2. Nella scheda Selezione passaggio, seleziona Azioni > Flusso.
  3. Trascina Selezione entità nella seconda casella denominata Trascina un passaggio qui.
  4. Fai doppio clic sulla casella Selezione entità per configurare il nuovo gruppo di entità.
  5. Aggiungi le condizioni necessarie per selezionare il nuovo gruppo di entità. Ad esempio, seleziona tutte le entità indirizzo IP arricchite da VirusTotal v3 e contrassegnate come dannose da più di 10 motori.
  6. Una volta definito, il nuovo gruppo di entità diventa disponibile per tutte le azioni successive nel playbook.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.