Diese Seite wurde von der Cloud Translation API übersetzt.

Kontextangereicherte Daten in der UDM-Suche verwenden

Unterstützt in:

Google SecOps SIEM

Damit Sicherheitsanalysten bei einer Untersuchung möglichst effektiv arbeiten können, werden von Google Security Operations Kontextdaten aus verschiedenen Quellen aufgenommen, normalisiert und zusätzlicher Kontext zu Artefakten in einer Kundenumgebung bereitgestellt. In diesem Dokument finden Sie Beispiele dafür, wie Analysten kontextuell angereicherte Daten in der UDM-Suche verwenden können.

Weitere Informationen zur Datenanreicherung finden Sie unter So werden Ereignis- und Entitätsdaten von Google Security Operations angereichert.

Mit VirusTotal angereicherte Metadatenfelder in der UDM-Suche verwenden

Im folgenden Beispiel wird ein Prozessmodul gefunden, das eine kernel32.dll-Datei in einen bestimmten Prozess lädt.

metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"

Mit Geolokalisierung angereicherte Felder in der UDM-Suche verwenden

Google Security Operations ergänzt Ereignisse mit externen IP-Adressen um Standortdaten. Dies bietet bei einer Untersuchung zusätzlichen Kontext. In diesem Dokument wird erläutert, wie Sie bei explorativen Suchanfragen Felder mit Geoinformationen verwenden können.

Auf UDM-Felder mit Geoinformationen kann über die UDM-Suche zugegriffen werden, wie in den folgenden Beispielen gezeigt.

Nach Landesname (country_or_region) suchen

target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"

Nach Status suchen

target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"

Nach Längen- und Breitengrad suchen

principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474

Nach nicht autorisierten Zielregionen suchen

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.location.country_or_region = "Cuba" OR
    target.ip_geo_artifact.location.country_or_region = "Iran" OR
    target.ip_geo_artifact.location.country_or_region = "North Korea" OR
    target.ip_geo_artifact.location.country_or_region = "Russia" OR
    target.ip_geo_artifact.location.country_or_region = "Syria"
)

Nach Autonomous System Number (ASN) suchen

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.asn = 33915
)

Nach Name der Organisation

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.organization_name = "google"
)

Nach Name des Mobilfunkanbieters

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.carrier_name = "google llc"
)

Nach DNS-Domain

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.dns_domain = "lightower.net"
)

Mit Geolokalisierung angereicherte Felder im UDM-Raster ansehen

Felder mit Geoinformationen werden in UDM-Rasteransichten angezeigt, einschließlich der in der UDM-Suche, in der Erkennungsansicht, in der Nutzeransicht und in der Ereignisanzeige.

Nächste Schritte

Informationen zur Verwendung angereicherter Daten mit anderen Funktionen von Google Security Operations finden Sie hier: