Kontext-angereicherte Daten in UDM-Suche verwenden
Damit Sicherheitsanalysten während einer Untersuchung arbeiten können, nimmt Chronicle kontextbezogene Daten aus verschiedenen Quellen auf, normalisiert die aufgenommenen Daten und stellt zusätzlichen Kontext zu Artefakten in einer Kundenumgebung bereit. Dieses Dokument enthält Beispiele dafür, wie Analysten kontextreiche Daten in der UDM-Suche verwenden können.
Weitere Informationen zur Datenanreicherung finden Sie unter So reichert Chronicle Ereignis- und Entitätsdaten an.
Mit VirusTotal angereicherte Metadatenfelder in der UDM-Suche verwenden
Im folgenden Beispiel wird ein Prozessmodul ermittelt, das eine kernel32.dll
-Datei in einen bestimmten Prozess lädt.
metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"
Felder mit Standortbestimmung in der UDM-Suche verwenden
Chronicle reichert Ereignisse mit externen IP-Adressen mit Daten zur Standortbestimmung an. So erhalten Sie während der Untersuchung zusätzlichen Kontext. In diesem Dokument wird erläutert, wie Sie mit der Standortbestimmung angereicherte Felder bei investigativen Suchvorgängen verwenden können.
Auf UDM-Felder mit Standorterweiterung kann über eine UDM-Suche zugegriffen werden, wie in den folgenden Beispielen gezeigt.
Nach Ländernamen suchen (country_or_region)
target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"
Nach Bundesstaat suchen
target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"
Nach Längen- und Breitengrad suchen
principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474
Nach nicht autorisierten Zielregionen suchen
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.location.country_or_region = "Cuba" OR
target.ip_geo_artifact.location.country_or_region = "Iran" OR
target.ip_geo_artifact.location.country_or_region = "North Korea" OR
target.ip_geo_artifact.location.country_or_region = "Russia" OR
target.ip_geo_artifact.location.country_or_region = "Syria"
)
Nach Autonomous System Number (ASN) suchen
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.asn = 33915
)
Nach Name der Organisation
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.organization_name = "google"
)
Nach Name des Transportunternehmens
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.carrier_name = "google llc"
)
Nach DNS-Domain
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.dns_domain = "lightower.net"
)
Mit Standortbestimmung angereicherte Felder im UDM-Raster ansehen
Mit der Standortbestimmung angereicherte Felder werden in UDM-Rasteransichten angezeigt, einschließlich der UDM-Suche, der Erkennungsansicht, der Nutzeransicht und der Ereignisanzeige.
UDM-Ereignisbetrachter
Nächste Schritte
Informationen zur Verwendung angereicherter Daten mit anderen Chronicle-Features finden Sie hier:
- Mit Kontext angereicherte Daten in Regeln verwenden
- Mit Kontext angereicherte Daten in Berichten verwenden