Esta página foi traduzida pela API Cloud Translation.

Usar dados enriquecidos com contexto na pesquisa da UDM

Compatível com:

Google SecOps SIEM

Para ajudar os analistas de segurança durante uma investigação, o Google Security Operations captura dados contextuais de diferentes fontes, normaliza os dados coletados e fornece mais contexto sobre artefatos em um ambiente do cliente. Este document mostra exemplos de como os analistas podem usar dados enriquecidos contextualmente na Pesquisa de UDM.

Para mais informações sobre o enriquecimento de dados, consulte Como o Google Security Operations enriquece dados de eventos e entidades.

Usar campos de metadados enriquecidos do VirusTotal na pesquisa do UDM

O exemplo a seguir encontra um módulo de processo que carrega um arquivo kernel32.dll em um processo específico.

metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"

Usar campos enriquecidos com geolocalização na pesquisa do UDM

O Google Security Operations enriquece eventos com endereços IP externo com dados de geolocalização. Isso fornece mais contexto durante uma investigação. Este documento explica como usar campos enriquecidos com geolocalização ao realizar pesquisas investigativas.

Os campos do UDM enriquecidos com geolocalização podem ser acessados pela pesquisa do UDM, conforme mostrado nos exemplos a seguir.

Pesquisar por nome do país (country_or_region)

target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"

Pesquisar por estado

target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"

Pesquisar por longitude e latitude

principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474

Pesquisar por regiões de destino não autorizadas

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.location.country_or_region = "Cuba" OR
    target.ip_geo_artifact.location.country_or_region = "Iran" OR
    target.ip_geo_artifact.location.country_or_region = "North Korea" OR
    target.ip_geo_artifact.location.country_or_region = "Russia" OR
    target.ip_geo_artifact.location.country_or_region = "Syria"
)

Pesquisar por número de sistema autônomo (ASN)

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.asn = 33915
)

Por nome da organização

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.organization_name = "google"
)

Por nome da operadora

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.carrier_name = "google llc"
)

Por domínio DNS

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.dns_domain = "lightower.net"
)

Acessar campos enriquecidos com geolocalização na grade do UDM

Os campos enriquecidos com geolocalização são mostrados nas visualizações de grade do UDM, incluindo as da pesquisa, da visualização de detecção, da visualização de usuário e do visualizador de eventos.

A seguir

Para saber como usar dados enriquecidos com outros recursos do Google Security Operations, consulte: