Use dados enriquecidos com contexto na pesquisa do UDM
Para permitir os analistas de segurança durante uma investigação, as Operações de segurança do Google ingerem dados contextuais de diferentes fontes, normalizam os dados ingeridos e fornecem mais contexto sobre artefatos em um ambiente do cliente. Este documento fornece exemplos de como os analistas podem usar dados enriquecidos contextualmente na Pesquisa UDM.
Para mais informações sobre o aprimoramento de dados, consulte Como o Google Security Operations enriquece os dados de eventos e entidades.
Usar campos de metadados enriquecidos com o VirusTotal na pesquisa do UDM
O exemplo a seguir encontra um módulo de processo que carrega um arquivo kernel32.dll
em um processo específico.
metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"
Usar campos enriquecidos com geolocalização na pesquisa do UDM
O Google Security Operations enriquece os eventos que contêm endereços IP externo com dados de geolocalização. Isso fornece mais contexto durante uma investigação. Este documento explica como usar campos enriquecidos com geolocalização ao realizar pesquisas investigativas.
Os campos de UDM enriquecidos com geolocalização podem ser acessados usando a pesquisa de UDM, como mostrado nos exemplos a seguir.
Pesquisar por nome do país (country_or_region)
target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"
Pesquisar por estado
target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"
Pesquisar por longitude e latitude
principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474
Pesquisar por regiões geográficas segmentadas não autorizadas
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.location.country_or_region = "Cuba" OR
target.ip_geo_artifact.location.country_or_region = "Iran" OR
target.ip_geo_artifact.location.country_or_region = "North Korea" OR
target.ip_geo_artifact.location.country_or_region = "Russia" OR
target.ip_geo_artifact.location.country_or_region = "Syria"
)
Pesquisar por número de sistema autônomo (ASN)
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.asn = 33915
)
Por nome da organização
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.organization_name = "google"
)
Por nome da transportadora
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.carrier_name = "google llc"
)
Por domínio DNS
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.dns_domain = "lightower.net"
)
Conferir campos enriquecidos com geolocalização na grade do UDM
Os campos enriquecidos com geolocalização aparecem em visualizações em grade do UDM, incluindo os de UDM Search, Detection View, User View e Event Viewer.
A seguir
Para informações sobre como usar dados enriquecidos com outros recursos do Google Security Operations, consulte: