Questa pagina è stata tradotta dall'API Cloud Translation.

Utilizzare dati arricchiti di contesto nella ricerca UDM

Per consentire agli analisti della sicurezza durante un'indagine, Google Security Operations importa dati contestuali da origini diverse, normalizza i dati importati e fornisce un contesto aggiuntivo sugli artefatti in un ambiente del cliente. Questo documento fornisce esempi di come gli analisti possono utilizzare i dati arricchiti con contesto nella ricerca UDM.

Per saperne di più sull'arricchimento dei dati, vedi In che modo Google Security Operations arricchisce i dati di eventi ed entità.

Utilizzare i campi di metadati estesi di VirusTotal nella ricerca UDM

L'esempio seguente trova un modulo di processo che carica un file kernel32.dll in un determinato processo.

metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"

Utilizza i campi estesi di geolocalizzazione nella ricerca UDM

Google Security Operations arricchisce gli eventi contenenti indirizzi IP esterni con dati di geolocalizzazione. Ciò fornisce un contesto aggiuntivo durante un'indagine. Questo documento spiega come utilizzare i campi arricchiti di geolocalizzazione quando si eseguono ricerche investigative.

È possibile accedere ai campi UDM arricchiti di geolocalizzazione tramite la ricerca UDM, come mostrato negli esempi seguenti.

Cerca per nome del paese (country_o_region)

target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"

Cerca per stato

target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"

Cerca per longitudine e latitudine

principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474

Cerca per aree geografiche target non autorizzate

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.location.country_or_region = "Cuba" OR
    target.ip_geo_artifact.location.country_or_region = "Iran" OR
    target.ip_geo_artifact.location.country_or_region = "North Korea" OR
    target.ip_geo_artifact.location.country_or_region = "Russia" OR
    target.ip_geo_artifact.location.country_or_region = "Syria"
)

Ricerca per numero di sistema autonomo (ASN)

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.asn = 33915
)

Per nome dell'organizzazione

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.organization_name = "google"
)

In base al nome dell'operatore

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.carrier_name = "google llc"
)

Per dominio DNS

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.dns_domain = "lightower.net"
)

Visualizza i campi arricchiti di geolocalizzazione nella griglia UDM

I campi arricchiti di geolocalizzazione vengono visualizzati nelle visualizzazioni griglia UDM, comprese quelle nella Ricerca UDM, Visualizzazione rilevamento, Vista utente e Visualizzatore eventi.

Passaggi successivi

Per informazioni su come utilizzare i dati estesi con altre funzionalità di Google Security Operations, consulta quanto segue: