Utilizzare dati arricchiti di contesto nella ricerca UDM
Per abilitare gli analisti della sicurezza durante un'indagine, Google Security Operations importa dati contestuali provenienti da origini diverse, normalizza i dati importati e fornisce un contesto aggiuntivo sugli artefatti in un ambiente del cliente. Questo fornisce esempi di come gli analisti possono utilizzare i dati arricchiti in base al contesto nella ricerca UDM.
Per saperne di più sull'arricchimento dei dati, vedi In che modo Google Security Operations arricchisce i dati di eventi ed entità.
Utilizzare i campi di metadati estesi di VirusTotal nella ricerca UDM
L'esempio seguente trova un modulo di processo che carica un kernel32.dll
in un determinato processo.
metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"
Utilizza i campi estesi di geolocalizzazione nella ricerca UDM
Google Security Operations arricchisce gli eventi contenenti indirizzi IP esterni con dati di geolocalizzazione. Ciò fornisce un contesto aggiuntivo durante un'indagine. Questo documento spiega come utilizzare i campi arricchiti di geolocalizzazione quando si eseguono ricerche investigative.
È possibile accedere ai campi UDM arricchiti di geolocalizzazione tramite la ricerca UDM, come mostrato negli esempi seguenti.
Cerca per nome del paese (country_o_region)
target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"
Cerca per stato
target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"
Cerca per longitudine e latitudine
principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474
Cerca per aree geografiche target non autorizzate
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.location.country_or_region = "Cuba" OR
target.ip_geo_artifact.location.country_or_region = "Iran" OR
target.ip_geo_artifact.location.country_or_region = "North Korea" OR
target.ip_geo_artifact.location.country_or_region = "Russia" OR
target.ip_geo_artifact.location.country_or_region = "Syria"
)
Ricerca per numero di sistema autonomo (ASN)
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.asn = 33915
)
Per nome dell'organizzazione
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.organization_name = "google"
)
In base al nome dell'operatore
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.carrier_name = "google llc"
)
Per dominio DNS
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.dns_domain = "lightower.net"
)
Visualizza i campi arricchiti di geolocalizzazione nella griglia UDM
I campi arricchiti di geolocalizzazione vengono mostrati nelle visualizzazioni griglia UDM, comprese quelle nella ricerca UDM, Vista rilevamento, Vista utente e Visualizzatore eventi.
Passaggi successivi
Per informazioni su come utilizzare i dati estesi con altre operazioni di sicurezza di Google vedi le funzioni seguenti:
- Utilizzare dati arricchiti di contesto nelle regole.
- Utilizzare dati arricchiti di contesto nei report.