Kontextangereicherte Daten in der UDM-Suche verwenden
Um Sicherheitsanalysten bei einer Prüfung zu unterstützen, nimmt Google Security Operations kontextbezogene Informationen auf Daten aus verschiedenen Quellen, normalisiert die aufgenommenen Daten und bietet zusätzlichen Kontext zu Artefakten in der Kundenumgebung. Dieses Dokument enthält Beispiele dafür, wie Fachkräfte für Datenanalyse kontextbezogene Daten verwenden können in der UDM-Suche.
Weitere Informationen zur Datenanreicherung finden Sie unter Wie Google Security Operations Ereignis- und Entitätsdaten anreichert.
Angereicherte VirusTotal-Metadatenfelder in der UDM-Suche verwenden
Im folgenden Beispiel wird ein Prozessmodul gefunden, das ein kernel32.dll
lädt
in einen bestimmten Prozess verschieben.
metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"
Mit der Standortbestimmung angereicherte Felder in der UDM-Suche verwenden
Ereignisse mit externen IP-Adressen werden von Google Security Operations mit Daten zur Standortbestimmung angereichert. So erhalten Sie während einer Prüfung zusätzlichen Kontext. In diesem Dokument wird erläutert, wie Sie mit der Standortbestimmung angereicherte Felder bei Untersuchungssuchen verwenden können.
Auf mit der Standortbestimmung angereicherte UDM-Felder kann über die UDM-Suche zugegriffen werden, wie in den folgenden Beispielen gezeigt.
Nach Ländername suchen (country_or_region)
target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"
Nach Bundesstaat suchen
target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"
Nach Längen- und Breitengrad suchen
principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474
Nach nicht autorisierten Zielregionen suchen
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.location.country_or_region = "Cuba" OR
target.ip_geo_artifact.location.country_or_region = "Iran" OR
target.ip_geo_artifact.location.country_or_region = "North Korea" OR
target.ip_geo_artifact.location.country_or_region = "Russia" OR
target.ip_geo_artifact.location.country_or_region = "Syria"
)
Nach Nummer des autonomen Systems (ASN) suchen
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.asn = 33915
)
Nach Name der Organisation
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.organization_name = "google"
)
Nach Name des Transportunternehmens
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.carrier_name = "google llc"
)
Nach DNS-Domain
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.dns_domain = "lightower.net"
)
Mit der Standortbestimmung angereicherte Felder im UDM-Raster ansehen
Felder, die mit der Standortbestimmung angereichert sind, werden in UDM-Rasteransichten, einschließlich der UDM-Suche, angezeigt. „Erkennungsansicht“, „Nutzeransicht“ und „Ereignisanzeige“.
Nächste Schritte
Informationen dazu, wie Sie angereicherte Daten mit anderen Google Security Operations verwenden finden Sie hier:
- Mit Kontext angereicherte Daten in Regeln verwenden
- Verwenden Sie in Berichten mit Kontext angereicherte Daten.