Esta página foi traduzida pela API Cloud Translation.

Use dados enriquecidos com contexto na pesquisa do UDM

Para permitir os analistas de segurança durante uma investigação, as Operações de segurança do Google ingerem dados contextuais de diferentes fontes, normalizam os dados ingeridos e fornecem mais contexto sobre artefatos em um ambiente do cliente. Este documento fornece exemplos de como os analistas podem usar dados enriquecidos contextualmente na Pesquisa UDM.

Para mais informações sobre o aprimoramento de dados, consulte Como o Google Security Operations enriquece os dados de eventos e entidades.

Usar campos de metadados enriquecidos com o VirusTotal na pesquisa do UDM

O exemplo a seguir encontra um módulo de processo que carrega um arquivo kernel32.dll em um processo específico.

metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"

Usar campos enriquecidos com geolocalização na pesquisa do UDM

O Google Security Operations enriquece os eventos que contêm endereços IP externo com dados de geolocalização. Isso fornece mais contexto durante uma investigação. Este documento explica como usar campos enriquecidos com geolocalização ao realizar pesquisas investigativas.

Os campos de UDM enriquecidos com geolocalização podem ser acessados usando a pesquisa de UDM, como mostrado nos exemplos a seguir.

Pesquisar por nome do país (country_or_region)

target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"

Pesquisar por estado

target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"

Pesquisar por longitude e latitude

principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474

Pesquisar por regiões geográficas segmentadas não autorizadas

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.location.country_or_region = "Cuba" OR
    target.ip_geo_artifact.location.country_or_region = "Iran" OR
    target.ip_geo_artifact.location.country_or_region = "North Korea" OR
    target.ip_geo_artifact.location.country_or_region = "Russia" OR
    target.ip_geo_artifact.location.country_or_region = "Syria"
)

Pesquisar por número de sistema autônomo (ASN)

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.asn = 33915
)

Por nome da organização

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.organization_name = "google"
)

Por nome da transportadora

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.carrier_name = "google llc"
)

Por domínio DNS

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.dns_domain = "lightower.net"
)

Conferir campos enriquecidos com geolocalização na grade do UDM

Os campos enriquecidos com geolocalização aparecem em visualizações em grade do UDM, incluindo os de UDM Search, Detection View, User View e Event Viewer.

A seguir

Para informações sobre como usar dados enriquecidos com outros recursos do Google Security Operations, consulte: