Diese Seite wurde von der Cloud Translation API übersetzt.

Kontextangereicherte Daten in der UDM-Suche verwenden

Um Sicherheitsanalysten bei einer Prüfung zu unterstützen, nimmt Google Security Operations kontextbezogene Informationen auf Daten aus verschiedenen Quellen, normalisiert die aufgenommenen Daten und bietet zusätzlichen Kontext zu Artefakten in der Kundenumgebung. Dieses Dokument enthält Beispiele dafür, wie Fachkräfte für Datenanalyse kontextbezogene Daten verwenden können in der UDM-Suche.

Weitere Informationen zur Datenanreicherung finden Sie unter Wie Google Security Operations Ereignis- und Entitätsdaten anreichert.

Angereicherte VirusTotal-Metadatenfelder in der UDM-Suche verwenden

Im folgenden Beispiel wird ein Prozessmodul gefunden, das ein kernel32.dll lädt in einen bestimmten Prozess verschieben.

metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"

Mit der Standortbestimmung angereicherte Felder in der UDM-Suche verwenden

Ereignisse mit externen IP-Adressen werden von Google Security Operations mit Daten zur Standortbestimmung angereichert. So erhalten Sie während einer Prüfung zusätzlichen Kontext. In diesem Dokument wird erläutert, wie Sie mit der Standortbestimmung angereicherte Felder bei Untersuchungssuchen verwenden können.

Auf mit der Standortbestimmung angereicherte UDM-Felder kann über die UDM-Suche zugegriffen werden, wie in den folgenden Beispielen gezeigt.

Nach Ländername suchen (country_or_region)

target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"

Nach Bundesstaat suchen

target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"

Nach Längen- und Breitengrad suchen

principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474

Nach nicht autorisierten Zielregionen suchen

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.location.country_or_region = "Cuba" OR
    target.ip_geo_artifact.location.country_or_region = "Iran" OR
    target.ip_geo_artifact.location.country_or_region = "North Korea" OR
    target.ip_geo_artifact.location.country_or_region = "Russia" OR
    target.ip_geo_artifact.location.country_or_region = "Syria"
)

Nach Nummer des autonomen Systems (ASN) suchen

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.asn = 33915
)

Nach Name der Organisation

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.organization_name = "google"
)

Nach Name des Transportunternehmens

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.carrier_name = "google llc"
)

Nach DNS-Domain

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.dns_domain = "lightower.net"
)

Mit der Standortbestimmung angereicherte Felder im UDM-Raster ansehen

Felder, die mit der Standortbestimmung angereichert sind, werden in UDM-Rasteransichten, einschließlich der UDM-Suche, angezeigt. „Erkennungsansicht“, „Nutzeransicht“ und „Ereignisanzeige“.

Nächste Schritte

Informationen dazu, wie Sie angereicherte Daten mit anderen Google Security Operations verwenden finden Sie hier: