Utilizzare dati arricchiti di contesto nella ricerca UDM
Per consentire agli analisti della sicurezza durante un'indagine, Google Security Operations importa dati contestuali da origini diverse, normalizza i dati importati e fornisce un contesto aggiuntivo sugli artefatti in un ambiente del cliente. Questo documento fornisce esempi di come gli analisti possono utilizzare i dati arricchiti con contesto nella ricerca UDM.
Per saperne di più sull'arricchimento dei dati, vedi In che modo Google Security Operations arricchisce i dati di eventi ed entità.
Utilizzare i campi di metadati estesi di VirusTotal nella ricerca UDM
L'esempio seguente trova un modulo di processo che carica un file kernel32.dll
in un determinato processo.
metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"
Utilizza i campi estesi di geolocalizzazione nella ricerca UDM
Google Security Operations arricchisce gli eventi contenenti indirizzi IP esterni con dati di geolocalizzazione. Ciò fornisce un contesto aggiuntivo durante un'indagine. Questo documento spiega come utilizzare i campi arricchiti di geolocalizzazione quando si eseguono ricerche investigative.
È possibile accedere ai campi UDM arricchiti di geolocalizzazione tramite la ricerca UDM, come mostrato negli esempi seguenti.
Cerca per nome del paese (country_o_region)
target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"
Cerca per stato
target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"
Cerca per longitudine e latitudine
principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474
Cerca per aree geografiche target non autorizzate
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.location.country_or_region = "Cuba" OR
target.ip_geo_artifact.location.country_or_region = "Iran" OR
target.ip_geo_artifact.location.country_or_region = "North Korea" OR
target.ip_geo_artifact.location.country_or_region = "Russia" OR
target.ip_geo_artifact.location.country_or_region = "Syria"
)
Ricerca per numero di sistema autonomo (ASN)
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.asn = 33915
)
Per nome dell'organizzazione
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.organization_name = "google"
)
In base al nome dell'operatore
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.carrier_name = "google llc"
)
Per dominio DNS
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.dns_domain = "lightower.net"
)
Visualizza i campi arricchiti di geolocalizzazione nella griglia UDM
I campi arricchiti di geolocalizzazione vengono visualizzati nelle visualizzazioni griglia UDM, comprese quelle nella Ricerca UDM, Visualizzazione rilevamento, Vista utente e Visualizzatore eventi.
Passaggi successivi
Per informazioni su come utilizzare i dati estesi con altre funzionalità di Google Security Operations, consulta quanto segue:
- Utilizzare dati arricchiti di contesto nelle regole.
- Utilizzare dati arricchiti di contesto nei report.