Se usó la API de Cloud Translation para traducir esta página.

Usa datos enriquecidos con contexto en la Búsqueda de la AUA

Se admite en los siguientes países:

Google SecOps SIEM

Para ayudar a los analistas de seguridad durante una investigación, Google Security Operations transfiere datos contextuales desde diferentes fuentes, los normaliza y proporciona contexto adicional sobre los artefactos en un entorno del cliente. En este documento, se proporcionan ejemplos de cómo los analistas pueden usar datos enriquecidos de manera contextual en la Búsqueda de UDM.

Para obtener más información sobre el enriquecimiento de datos, consulta Cómo Google Security Operations enriquece los datos de eventos y entidades.

Usa campos de metadatos enriquecidos de VirusTotal en la Búsqueda de UDM

En el siguiente ejemplo, se encuentra un módulo de proceso que carga un archivo kernel32.dll en un proceso en particular.

metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"

Usa campos enriquecidos con geolocalización en la búsqueda de UDM

Google Security Operations enriquece los eventos que contienen direcciones IP externas con datos de geolocalización. Esto proporciona contexto adicional durante una investigación. En este documento, se explica cómo puedes usar campos enriquecidos con geolocalización cuando realizas búsquedas investigativas.

Se puede acceder a los campos de la AUA enriquecidos con geolocalización a través de la búsqueda de la AUA, como se muestra en los siguientes ejemplos.

Buscar por nombre de país (country_or_region)

target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"

Buscar por estado

target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"

Cómo buscar por longitud y latitud

principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474

Búsqueda por ubicaciones geográficas de segmentación no autorizadas

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.location.country_or_region = "Cuba" OR
    target.ip_geo_artifact.location.country_or_region = "Iran" OR
    target.ip_geo_artifact.location.country_or_region = "North Korea" OR
    target.ip_geo_artifact.location.country_or_region = "Russia" OR
    target.ip_geo_artifact.location.country_or_region = "Syria"
)

Buscar por número de sistema autónomo (ASN)

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.asn = 33915
)

Por nombre de la organización

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.organization_name = "google"
)

Por nombre de la empresa de transporte

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.carrier_name = "google llc"
)

Por dominio de DNS

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.dns_domain = "lightower.net"
)

Cómo ver campos enriquecidos con geolocalización en la cuadrícula de la AUA

Los campos enriquecidos con geolocalización se muestran en las vistas de cuadrícula de la AUA, incluidas las de la Búsqueda de la AUA, la Vista de detección, la Vista de usuarios y el Visor de eventos.

¿Qué sigue?

Si quieres obtener información para usar datos enriquecidos con otras funciones de Google Security Operations, consulta lo siguiente: