Usa datos enriquecidos en contexto en la búsqueda de UDM
Para permitir a los analistas de seguridad durante una investigación, Google Security Operations de fuentes diferentes, normaliza los datos transferidos y proporciona contexto adicional sobre los artefactos en el entorno de un cliente. Esta proporciona ejemplos de cómo los analistas pueden utilizar datos enriquecidos contextualmente en UDM Search.
Para obtener más información sobre el enriquecimiento de datos, consulta Cómo Google Security Operations enriquece los datos de eventos y entidades.
Usa campos de metadatos enriquecidos de VirusTotal en la Búsqueda de UDM
En el siguiente ejemplo, se encuentra un módulo de proceso que carga un kernel32.dll
.
en un proceso en particular.
metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"
Usa campos enriquecidos con ubicación geográfica en la búsqueda de UDM
Google Security Operations enriquece los eventos que contienen direcciones IP externas con datos de ubicación geográfica. Esto proporciona contexto adicional durante una investigación. En este documento, se explica cómo se pueden usar campos enriquecidos con ubicación geográfica cuando se realizan búsquedas de investigación.
Se puede acceder a los campos de UDM enriquecidos por ubicación geográfica a través de la búsqueda de UDM, como se muestra en los siguientes ejemplos.
Buscar por nombre de país (country_or_region)
target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"
Buscar por estado
target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"
Cómo buscar por longitud y latitud
principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474
Realiza búsquedas por zonas geográficas de destino no autorizadas
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.location.country_or_region = "Cuba" OR
target.ip_geo_artifact.location.country_or_region = "Iran" OR
target.ip_geo_artifact.location.country_or_region = "North Korea" OR
target.ip_geo_artifact.location.country_or_region = "Russia" OR
target.ip_geo_artifact.location.country_or_region = "Syria"
)
Buscar por número de sistema autónomo (ASN)
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.asn = 33915
)
Por nombre de la organización
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.organization_name = "google"
)
Por nombre de la empresa de transporte
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.carrier_name = "google llc"
)
Por dominio DNS
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.dns_domain = "lightower.net"
)
Consulta los campos enriquecidos con ubicación geográfica en la cuadrícula de UDM
Los campos enriquecidos para ubicación geográfica se muestran en las vistas de cuadrícula de UDM, incluidas las de la Búsqueda de UDM. Vista de detección, Vista de usuario y Visualizador de eventos.
¿Qué sigue?
Obtén información para usar datos enriquecidos con otras operaciones de seguridad de Google , consulta lo siguiente:
- Usa datos enriquecidos en contexto en las reglas.
- Usa datos enriquecidos en contexto en los informes.