在 UDM 搜索中使用经过情境丰富的数据
为了让安全分析师在调查期间能够进行检查,Google Security Operations 会注入 对提取的数据进行标准化处理,以及 提供有关客户环境中的制品的其他背景信息。这个 文档提供了有关分析师如何使用经过上下文丰富的数据的示例 。
如需详细了解数据丰富功能,请参阅 Google Security Operations 如何丰富事件和实体数据。
在 UDM 搜索中使用 VirusTotal 丰富元数据字段
以下示例会查找加载 kernel32.dll 的进程模块
文件推进到特定进程中。
metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"
在 UDM 搜索中使用包含丰富地理位置信息的字段
Google Security Operations 会通过地理定位数据丰富包含外部 IP 地址的事件。 从而在调查过程中提供额外的背景信息。本文档介绍了 如何在执行调查性搜索时使用包含地理定位信息的字段。
可以通过 UDM 搜索访问丰富地理定位的 UDM 字段,如以下示例所示。
按国家/地区名称 (country_or_region) 搜索
target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"
按州/省/自治区/直辖市搜索
target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"
按经度和纬度搜索
principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474
按未经授权的目标地理位置搜索
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.location.country_or_region = "Cuba" OR
target.ip_geo_artifact.location.country_or_region = "Iran" OR
target.ip_geo_artifact.location.country_or_region = "North Korea" OR
target.ip_geo_artifact.location.country_or_region = "Russia" OR
target.ip_geo_artifact.location.country_or_region = "Syria"
)
按自治系统编号 (ASN) 搜索
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.asn = 33915
)
按组织名称
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.organization_name = "google"
)
按运营商名称
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.carrier_name = "google llc"
)
按 DNS 网域
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.dns_domain = "lightower.net"
)
在 UDM 网格中查看经过地理定位丰富的字段
UDM 网格视图(包括 UDM 搜索中的网格视图)中会显示丰富地理定位的字段。 检测视图、用户视图和事件查看者。
后续步骤
了解如何将丰富数据与其他 Google Security Operations 结合使用 请参阅以下内容: