Kontext-angereicherte Daten in UDM-Suche verwenden

Damit Sicherheitsanalysten während einer Untersuchung arbeiten können, nimmt Chronicle kontextbezogene Daten aus verschiedenen Quellen auf, normalisiert die aufgenommenen Daten und stellt zusätzlichen Kontext zu Artefakten in einer Kundenumgebung bereit. Dieses Dokument enthält Beispiele dafür, wie Analysten kontextreiche Daten in der UDM-Suche verwenden können.

Weitere Informationen zur Datenanreicherung finden Sie unter So reichert Chronicle Ereignis- und Entitätsdaten an.

Mit VirusTotal angereicherte Metadatenfelder in der UDM-Suche verwenden

Im folgenden Beispiel wird ein Prozessmodul ermittelt, das eine kernel32.dll-Datei in einen bestimmten Prozess lädt.

metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"

Felder mit Standortbestimmung in der UDM-Suche verwenden

Chronicle reichert Ereignisse mit externen IP-Adressen mit Daten zur Standortbestimmung an. So erhalten Sie während der Untersuchung zusätzlichen Kontext. In diesem Dokument wird erläutert, wie Sie mit der Standortbestimmung angereicherte Felder bei investigativen Suchvorgängen verwenden können.

Auf UDM-Felder mit Standorterweiterung kann über eine UDM-Suche zugegriffen werden, wie in den folgenden Beispielen gezeigt.

Nach Ländernamen suchen (country_or_region)

target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"

Nach Bundesstaat suchen

target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"

Nach Längen- und Breitengrad suchen

principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474

Nach nicht autorisierten Zielregionen suchen

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.location.country_or_region = "Cuba" OR
    target.ip_geo_artifact.location.country_or_region = "Iran" OR
    target.ip_geo_artifact.location.country_or_region = "North Korea" OR
    target.ip_geo_artifact.location.country_or_region = "Russia" OR
    target.ip_geo_artifact.location.country_or_region = "Syria"
)

Nach Autonomous System Number (ASN) suchen

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.asn = 33915
)

Nach Name der Organisation

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.organization_name = "google"
)

Nach Name des Transportunternehmens

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.carrier_name = "google llc"
)

Nach DNS-Domain

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.dns_domain = "lightower.net"
)

Mit Standortbestimmung angereicherte Felder im UDM-Raster ansehen

Mit der Standortbestimmung angereicherte Felder werden in UDM-Rasteransichten angezeigt, einschließlich der UDM-Suche, der Erkennungsansicht, der Nutzeransicht und der Ereignisanzeige.

UDM-Ereignisbetrachter

Bild in neuem Fenster ansehen

Nächste Schritte

Informationen zur Verwendung angereicherter Daten mit anderen Chronicle-Features finden Sie hier:

• Mit Kontext angereicherte Daten in Regeln verwenden
• Mit Kontext angereicherte Daten in Berichten verwenden