UDM 검색에서 컨텍스트 보강 데이터 사용

조사 중에 보안 분석가를 사용 설정할 수 있도록 Google Security Operations는 다양한 소스의 문맥 데이터를 수집하고 수집한 데이터를 정규화하며 고객 환경의 아티팩트에 대한 추가 컨텍스트를 제공합니다. 이 문서에서는 분석가가 UDM 검색에서 컨텍스트 보강 데이터를 사용하는 방법의 예시를 제공합니다.

데이터 보강에 대한 자세한 내용은 Google Security Operations에서 이벤트 및 항목 데이터를 보강하는 방법을 참조하세요.

다음 예시에서는 kernel32.dll 파일을 특정 프로세스에 로드하는 프로세스 모듈을 찾습니다.

metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"

Google Security Operations는 외부 IP 주소가 포함된 이벤트를 위치정보 데이터로 보강합니다. 이는 조사 중에 추가 컨텍스트를 제공합니다. 이 문서에서는 조사 검색을 수행할 때 위치정보가 보강된 필드를 사용하는 방법을 설명합니다.

다음 예시와 같이 UDM 검색을 통해 위치정보가 보강된 UDM 필드에 액세스할 수 있습니다.

국가 이름으로 검색(country_or_region)

target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"

주로 검색

target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"

경도 및 위도로 검색

principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474

승인되지 않은 대상 지역으로 검색

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.location.country_or_region = "Cuba" OR
    target.ip_geo_artifact.location.country_or_region = "Iran" OR
    target.ip_geo_artifact.location.country_or_region = "North Korea" OR
    target.ip_geo_artifact.location.country_or_region = "Russia" OR
    target.ip_geo_artifact.location.country_or_region = "Syria"
)

자율 시스템 번호(ASN)로 검색

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.asn = 33915
)

조직 이름 기준

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.organization_name = "google"
)

이동통신사 이름 기준

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.carrier_name = "google llc"
)

DNS 도메인 기준

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.dns_domain = "lightower.net"
)

UDM 그리드에서 위치정보 보강 필드 보기

위치정보가 보강된 필드는 UDM 검색, 감지 뷰, 사용자 뷰, 이벤트 뷰어를 포함한 UDM 그리드 뷰에 표시됩니다.

다음 단계

다른 Google Security Operations 기능과 함께 보강된 데이터를 사용하는 방법은 다음을 참조하세요.