在 UDM 搜索中使用增强型数据
支持的平台:
Google SecOps
SIEM
为了帮助安全分析师在调查期间顺利开展工作,Google Security Operations 会提取来自不同来源的上下文数据,对提取的数据进行标准化处理,并提供有关客户环境中工件的实用背景信息。本文档提供了一些示例,说明分析师如何在 UDM Search 中使用经过情境丰富的数据。
如需详细了解数据丰富功能,请参阅 Google Security Operations 如何丰富事件和实体数据。
在 UDM 搜索中使用 VirusTotal 丰富的元数据字段
以下示例会查找将 kernel32.dll
文件加载到特定进程的进程模块。
metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"
在 UDM 搜索中使用包含丰富地理位置信息的字段
Google Security Operations 会通过地理定位数据丰富包含外部 IP 地址的事件。 这在调查过程中提供了额外的背景信息。本文档介绍了 如何在执行调查性搜索时使用包含地理定位信息的字段。
您可以通过 UDM 搜索访问经过地理定位丰富的 UDM 字段,如以下示例所示。
按国家/地区名称 (country_or_region) 搜索
target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"
按州/省/自治区/直辖市搜索
target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"
按经度和纬度搜索
principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474
按未经授权的目标地理位置搜索
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.location.country_or_region = "Cuba" OR
target.ip_geo_artifact.location.country_or_region = "Iran" OR
target.ip_geo_artifact.location.country_or_region = "North Korea" OR
target.ip_geo_artifact.location.country_or_region = "Russia" OR
target.ip_geo_artifact.location.country_or_region = "Syria"
)
按自治系统编号 (ASN) 搜索
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.asn = 33915
)
按组织名称
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.organization_name = "google"
)
按运营商名称
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.carrier_name = "google llc"
)
按 DNS 网域
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.dns_domain = "lightower.net"
)
在 UDM 网格中查看经过地理定位丰富的字段
UDM 网格视图(包括 UDM 搜索中的网格视图)中会显示丰富地理定位的字段。 检测视图、用户视图和事件查看者。
后续步骤
如需了解如何将经过丰富的数据与其他 Google 安全运营功能搭配使用,请参阅以下内容: