Kontextangereicherte Daten in der UDM-Suche verwenden
Um Sicherheitsanalysten während einer Prüfung zu ermöglichen, nimmt Google Security Operations kontextbezogene Daten aus verschiedenen Quellen auf, normalisiert die aufgenommenen Daten und stellt zusätzlichen Kontext zu Artefakten in einer Kundenumgebung zur Verfügung. Dieses Dokument enthält Beispiele dafür, wie Analysten kontextbezogene Daten in der UDM-Suche verwenden können.
Weitere Informationen zur Datenanreicherung finden Sie unter Wie Google Security Operations Ereignis- und Entitätsdaten anreichert.
Angereicherte VirusTotal-Metadatenfelder in der UDM-Suche verwenden
Im folgenden Beispiel wird ein Prozessmodul ermittelt, mit dem eine kernel32.dll
-Datei in einen bestimmten Prozess geladen wird.
metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"
Mit der Standortbestimmung angereicherte Felder in der UDM-Suche verwenden
Ereignisse mit externen IP-Adressen werden von Google Security Operations mit Daten zur Standortbestimmung angereichert. So erhalten Sie während einer Prüfung zusätzlichen Kontext. In diesem Dokument wird erläutert, wie Sie bei Untersuchungssuchen die mit der Standortbestimmung angereicherten Felder verwenden können.
Auf mit der Standortbestimmung angereicherte UDM-Felder kann über die UDM-Suche zugegriffen werden, wie in den folgenden Beispielen gezeigt.
Nach Ländername suchen (country_or_region)
target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"
Nach Bundesstaat suchen
target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"
Nach Längen- und Breitengrad suchen
principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474
Nach nicht autorisierten Zielregionen suchen
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.location.country_or_region = "Cuba" OR
target.ip_geo_artifact.location.country_or_region = "Iran" OR
target.ip_geo_artifact.location.country_or_region = "North Korea" OR
target.ip_geo_artifact.location.country_or_region = "Russia" OR
target.ip_geo_artifact.location.country_or_region = "Syria"
)
Nach Nummer des autonomen Systems (ASN) suchen
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.asn = 33915
)
Nach Name der Organisation
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.organization_name = "google"
)
Nach Name des Transportunternehmens
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.carrier_name = "google llc"
)
Nach DNS-Domain
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.dns_domain = "lightower.net"
)
Mit der Standortbestimmung angereicherte Felder im UDM-Raster ansehen
Mit der Standortbestimmung angereicherte Felder werden in UDM-Rasteransichten angezeigt, einschließlich der UDM-Suche, der Erkennungsansicht, der Nutzeransicht und der Ereignisanzeige.
Nächste Schritte
Informationen zur Verwendung von angereicherten Daten mit anderen Google Security Operations-Features finden Sie hier:
- Mit Kontext angereicherte Daten in Regeln verwenden
- Verwenden Sie in Berichten mit Kontext angereicherte Daten.