Diese Seite wurde von der Cloud Translation API übersetzt.

Kontextangereicherte Daten in der UDM-Suche verwenden

Um Sicherheitsanalysten während einer Prüfung zu ermöglichen, nimmt Google Security Operations kontextbezogene Daten aus verschiedenen Quellen auf, normalisiert die aufgenommenen Daten und stellt zusätzlichen Kontext zu Artefakten in einer Kundenumgebung zur Verfügung. Dieses Dokument enthält Beispiele dafür, wie Analysten kontextbezogene Daten in der UDM-Suche verwenden können.

Weitere Informationen zur Datenanreicherung finden Sie unter Wie Google Security Operations Ereignis- und Entitätsdaten anreichert.

Angereicherte VirusTotal-Metadatenfelder in der UDM-Suche verwenden

Im folgenden Beispiel wird ein Prozessmodul ermittelt, mit dem eine kernel32.dll-Datei in einen bestimmten Prozess geladen wird.

metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"

Mit der Standortbestimmung angereicherte Felder in der UDM-Suche verwenden

Ereignisse mit externen IP-Adressen werden von Google Security Operations mit Daten zur Standortbestimmung angereichert. So erhalten Sie während einer Prüfung zusätzlichen Kontext. In diesem Dokument wird erläutert, wie Sie bei Untersuchungssuchen die mit der Standortbestimmung angereicherten Felder verwenden können.

Auf mit der Standortbestimmung angereicherte UDM-Felder kann über die UDM-Suche zugegriffen werden, wie in den folgenden Beispielen gezeigt.

Nach Ländername suchen (country_or_region)

target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"

Nach Bundesstaat suchen

target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"

Nach Längen- und Breitengrad suchen

principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474

Nach nicht autorisierten Zielregionen suchen

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.location.country_or_region = "Cuba" OR
    target.ip_geo_artifact.location.country_or_region = "Iran" OR
    target.ip_geo_artifact.location.country_or_region = "North Korea" OR
    target.ip_geo_artifact.location.country_or_region = "Russia" OR
    target.ip_geo_artifact.location.country_or_region = "Syria"
)

Nach Nummer des autonomen Systems (ASN) suchen

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.asn = 33915
)

Nach Name der Organisation

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.organization_name = "google"
)

Nach Name des Transportunternehmens

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.carrier_name = "google llc"
)

Nach DNS-Domain

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.dns_domain = "lightower.net"
)

Mit der Standortbestimmung angereicherte Felder im UDM-Raster ansehen

Mit der Standortbestimmung angereicherte Felder werden in UDM-Rasteransichten angezeigt, einschließlich der UDM-Suche, der Erkennungsansicht, der Nutzeransicht und der Ereignisanzeige.

Nächste Schritte

Informationen zur Verwendung von angereicherten Daten mit anderen Google Security Operations-Features finden Sie hier: