Utiliser des données enrichies en contexte dans la recherche UDM
Pour permettre aux analystes de sécurité lors d'une investigation, Google Security Operations d'ingérer des données contextuelles provenant de différentes sources, normalise les données ingérées fournit un contexte supplémentaire sur les artefacts dans un environnement client. Ce document fournit des exemples de la façon dont les analystes peuvent utiliser des données enrichies en contexte dans la recherche UDM.
Pour en savoir plus sur l'enrichissement des données, consultez Comment Google Security Operations enrichit les données d'événement et d'entité.
Utiliser les champs de métadonnées enrichies VirusTotal dans la recherche UDM
L'exemple suivant trouve un module de processus qui charge un kernel32.dll
dans un processus particulier.
metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"
Utiliser des champs enrichis de géolocalisation dans la recherche UDM
Google Security Operations enrichit les événements contenant des adresses IP externes à l'aide de données de géolocalisation. Cela fournit plus de contexte lors d'une enquête. Ce document explique comment utiliser les champs de géolocalisation lorsque vous effectuez des recherches d'investigation.
Vous pouvez accéder aux champs UDM optimisés par la géolocalisation via la recherche UDM, comme illustré dans les exemples suivants.
Rechercher par nom de pays (country_or_region)
target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"
Rechercher par État
target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"
Rechercher par longitude et latitude
principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474
Rechercher par zones géographiques cibles non autorisées
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.location.country_or_region = "Cuba" OR
target.ip_geo_artifact.location.country_or_region = "Iran" OR
target.ip_geo_artifact.location.country_or_region = "North Korea" OR
target.ip_geo_artifact.location.country_or_region = "Russia" OR
target.ip_geo_artifact.location.country_or_region = "Syria"
)
Rechercher par numéro de système autonome (ASN)
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.asn = 33915
)
Par nom d'organisation
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.organization_name = "google"
)
Par nom de transporteur
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.carrier_name = "google llc"
)
Par domaine DNS
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.dns_domain = "lightower.net"
)
Afficher les champs enrichis de géolocalisation dans la grille UDM
Les champs optimisés par la géolocalisation sont affichés dans les vues de grille UDM, y compris celles de la recherche UDM. Vue Détection, Vue utilisateur et Observateur d'événements.
Étape suivante
Pour en savoir plus sur l'utilisation des données enrichies avec d'autres opérations de sécurité Google , consultez les ressources suivantes:
- Utilisez des données enrichies en contexte dans les règles.
- Utilisez des données enrichies en contexte dans vos rapports.