Halaman ini diterjemahkan oleh Cloud Translation API.

Menggunakan data yang diperkaya konteks di Penelusuran UDM

Didukung di:

Google SecOps SIEM

Untuk mengaktifkan analis keamanan selama investigasi, Google Security Operations menyerap data kontekstual dari berbagai sumber, menormalisasi data yang diserap, dan memberikan konteks tambahan tentang artefak di lingkungan pelanggan. Dokumen ini memberikan contoh cara analis menggunakan data yang diperkaya secara kontekstual di Penelusuran UDM.

Untuk informasi selengkapnya tentang pengayaan data, lihat Cara Google Security Operations memperkaya data peristiwa dan entitas.

Menggunakan kolom metadata yang diperkaya VirusTotal di Penelusuran UDM

Contoh berikut menemukan modul proses yang memuat file kernel32.dll ke dalam proses tertentu.

metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"

Menggunakan kolom yang diperkaya geolokasi dalam penelusuran UDM

Google Security Operations memperkaya peristiwa yang berisi alamat IP eksternal dengan data geolokasi. Hal ini memberikan konteks tambahan selama investigasi. Dokumen ini menjelaskan cara menggunakan kolom yang diperkaya geolokasi saat melakukan penelusuran investigasi.

Kolom UDM yang diperkaya geolokasi dapat diakses melalui penelusuran UDM seperti yang ditunjukkan dalam contoh berikut.

Telusuri berdasarkan nama negara (country_or_region)

target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"

Menelusuri menurut status

target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"

Menelusuri menurut bujur dan lintang

principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474

Penelusuran menurut geografi target yang tidak sah

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.location.country_or_region = "Cuba" OR
    target.ip_geo_artifact.location.country_or_region = "Iran" OR
    target.ip_geo_artifact.location.country_or_region = "North Korea" OR
    target.ip_geo_artifact.location.country_or_region = "Russia" OR
    target.ip_geo_artifact.location.country_or_region = "Syria"
)

Menelusuri menurut Nomor Sistem Otonom (ASN)

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.asn = 33915
)

Menurut nama organisasi

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.organization_name = "google"
)

Menurut nama operator

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.carrier_name = "google llc"
)

Menurut domain DNS

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.dns_domain = "lightower.net"
)

Melihat kolom yang diperkaya geolokasi di petak UDM

Kolom yang diperkaya geolokasi ditampilkan di tampilan petak UDM, termasuk di Penelusuran UDM, Tampilan Deteksi, Tampilan Pengguna, dan Penampil Peristiwa.

Langkah selanjutnya

Untuk informasi tentang cara menggunakan data yang diperkaya dengan fitur Google Security Operations lainnya, lihat hal berikut: