在 UDM 搜索中使用增强型数据

支持的平台:

为了帮助安全分析师在调查期间顺利开展工作,Google Security Operations 会提取来自不同来源的上下文数据,对提取的数据进行标准化处理,并提供有关客户环境中工件的实用背景信息。本文档提供了一些示例,说明分析师如何在 UDM Search 中使用经过情境丰富的数据。

如需详细了解数据丰富功能,请参阅 Google Security Operations 如何丰富事件和实体数据

以下示例会查找将 kernel32.dll 文件加载到特定进程的进程模块。

metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"

Google Security Operations 会通过地理定位数据丰富包含外部 IP 地址的事件。 这在调查过程中提供了额外的背景信息。本文档介绍了 如何在执行调查性搜索时使用包含地理定位信息的字段。

您可以通过 UDM 搜索访问经过地理定位丰富的 UDM 字段,如以下示例所示。

按国家/地区名称 (country_or_region) 搜索

target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"

按州/省/自治区/直辖市搜索

target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"

按经度和纬度搜索

principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474

按未经授权的目标地理位置搜索

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.location.country_or_region = "Cuba" OR
    target.ip_geo_artifact.location.country_or_region = "Iran" OR
    target.ip_geo_artifact.location.country_or_region = "North Korea" OR
    target.ip_geo_artifact.location.country_or_region = "Russia" OR
    target.ip_geo_artifact.location.country_or_region = "Syria"
)

按自治系统编号 (ASN) 搜索

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.asn = 33915
)

按组织名称

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.organization_name = "google"
)

按运营商名称

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.carrier_name = "google llc"
)

按 DNS 网域

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.dns_domain = "lightower.net"
)

在 UDM 网格中查看经过地理定位丰富的字段

UDM 网格视图(包括 UDM 搜索中的网格视图)中会显示丰富地理定位的字段。 检测视图、用户视图和事件查看者。

后续步骤

如需了解如何将经过丰富的数据与其他 Google 安全运营功能搭配使用,请参阅以下内容: