Questa pagina è stata tradotta dall'API Cloud Translation.

Utilizzare i dati arricchiti dal contesto nella ricerca UDM

Supportato in:

Google SecOps SIEM

Per supportare gli analisti della sicurezza durante un'indagine, Google Security Operations importa i dati contestuali da diverse origini, li normalizza e fornisce un contesto aggiuntivo sugli elementi in un ambiente del cliente. Questo fornisce esempi di come gli analisti possono utilizzare i dati arricchiti in base al contesto nella ricerca UDM.

Per saperne di più sull'arricchimento dei dati, consulta In che modo Google Security Operations arricchisce i dati di eventi ed entità.

Utilizzare i campi di metadati estesi di VirusTotal nella ricerca UDM

L'esempio seguente trova un modulo di processo che carica un kernel32.dll in un determinato processo.

metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"

Utilizzare i campi con dati geografici nella ricerca UDM

Google Security Operations arricchisce gli eventi contenenti indirizzi IP esterni con dati di geolocalizzazione. Ciò fornisce un contesto aggiuntivo durante un'indagine. Questo documento spiega come utilizzare i campi arricchiti di geolocalizzazione quando si eseguono ricerche investigative.

È possibile accedere ai campi UDM arricchiti di geolocalizzazione tramite la ricerca UDM, come mostrato negli esempi seguenti.

Ricerca per nome del paese (country_or_region)

target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"

Cerca per stato

target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"

Cercare per longitudine e latitudine

principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474

Ricerca per aree geografiche di destinazione non autorizzate

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.location.country_or_region = "Cuba" OR
    target.ip_geo_artifact.location.country_or_region = "Iran" OR
    target.ip_geo_artifact.location.country_or_region = "North Korea" OR
    target.ip_geo_artifact.location.country_or_region = "Russia" OR
    target.ip_geo_artifact.location.country_or_region = "Syria"
)

Ricerca per numero di sistema autonomo (ASN)

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.asn = 33915
)

Per nome dell'organizzazione

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.organization_name = "google"
)

In base al nome dell'operatore

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.carrier_name = "google llc"
)

Per dominio DNS

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.dns_domain = "lightower.net"
)

Visualizzare i campi con informazioni aggiuntive sulla geolocalizzazione nella griglia UDM

I campi arricchiti di geolocalizzazione vengono mostrati nelle visualizzazioni griglia UDM, comprese quelle nella ricerca UDM, Vista rilevamento, Vista utente e Visualizzatore eventi.

Passaggi successivi

Per informazioni su come utilizzare i dati arricchiti con altre funzionalità di Google Security Operations, consulta quanto segue: