Diese Seite wurde von der Cloud Translation API übersetzt.

Kontextangereicherte Daten in der UDM-Suche verwenden

Unterstützt in:

Google SecOps SIEM

Um Sicherheitsanalysten bei einer Prüfung zu unterstützen, nimmt Google Security Operations kontextbezogene Daten auf Daten aus verschiedenen Quellen, normalisiert die aufgenommenen Daten und bietet zusätzlichen Kontext zu Artefakten in der Kundenumgebung. Dieses Dokument enthält Beispiele dafür, wie Fachkräfte für Datenanalyse kontextbezogene Daten verwenden können in der UDM-Suche.

Weitere Informationen zur Datenanreicherung finden Sie unter So werden Ereignis- und Entitätsdaten von Google Security Operations angereichert.

Angereicherte VirusTotal-Metadatenfelder in der UDM-Suche verwenden

Im folgenden Beispiel wird ein Prozessmodul gefunden, das eine kernel32.dll-Datei in einen bestimmten Prozess lädt.

metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"

Mit Geolokalisierung angereicherte Felder in der UDM-Suche verwenden

Google Security Operations ergänzt Ereignisse mit externen IP-Adressen um Standortdaten. Dies bietet bei einer Untersuchung zusätzlichen Kontext. In diesem Dokument wird erläutert, wie Sie mit der Standortbestimmung angereicherte Felder bei Untersuchungssuchen verwenden können.

Auf UDM-Felder mit Geoinformationen kann über die UDM-Suche zugegriffen werden, wie in den folgenden Beispielen gezeigt.

Nach Landesname suchen (country_or_region)

target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"

Nach Bundesstaat suchen

target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"

Nach Längen- und Breitengrad suchen

principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474

Nach nicht autorisierten Zielregionen suchen

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.location.country_or_region = "Cuba" OR
    target.ip_geo_artifact.location.country_or_region = "Iran" OR
    target.ip_geo_artifact.location.country_or_region = "North Korea" OR
    target.ip_geo_artifact.location.country_or_region = "Russia" OR
    target.ip_geo_artifact.location.country_or_region = "Syria"
)

Nach Autonomous System Number (ASN) suchen

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.asn = 33915
)

Nach Name der Organisation

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.organization_name = "google"
)

Nach Name des Transportunternehmens

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.carrier_name = "google llc"
)

Nach DNS-Domain

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.dns_domain = "lightower.net"
)

Mit Geolokalisierung angereicherte Felder im UDM-Raster ansehen

Felder mit Geoinformationen werden in UDM-Rasteransichten angezeigt, einschließlich der in der UDM-Suche, in der Erkennungsansicht, in der Nutzeransicht und in der Ereignisanzeige.

Nächste Schritte

Informationen dazu, wie Sie angereicherte Daten mit anderen Google Security Operations verwenden finden Sie hier: