Usa datos enriquecidos por el contexto en la búsqueda de UDM
Para permitir que los analistas de seguridad durante una investigación, las operaciones de seguridad de Google transfieren datos contextuales de diferentes fuentes, normalizan los datos transferidos y proporcionan contexto adicional sobre los artefactos en el entorno de un cliente. En este documento, se proporcionan ejemplos de cómo los analistas pueden usar datos enriquecidos de forma contextual en la Búsqueda de UDM.
Para obtener más información sobre el enriquecimiento de datos, consulta Cómo las operaciones de seguridad de Google enriquecen los datos de eventos y entidades.
Usar los campos de metadatos enriquecidos de VirusTotal en la búsqueda de UDM
En el siguiente ejemplo, se encuentra un módulo de proceso que carga un archivo kernel32.dll
en un proceso en particular.
metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"
Usar campos enriquecidos con ubicación geográfica en la búsqueda de UDM
Las operaciones de seguridad de Google enriquecen los eventos que contienen direcciones IP externas con datos de ubicación geográfica. Esto proporciona contexto adicional durante una investigación. En este documento, se explica cómo puedes usar campos enriquecidos con ubicación geográfica cuando realizas búsquedas de investigación.
Se puede acceder a los campos de UDM enriquecidos con ubicación geográfica a través de la búsqueda de UDM, como se muestra en los siguientes ejemplos.
Buscar por nombre de país (country_o_region)
target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"
Buscar por estado
target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"
Buscar por longitud y latitud
principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474
Buscar por ubicaciones geográficas de segmentación no autorizadas
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.location.country_or_region = "Cuba" OR
target.ip_geo_artifact.location.country_or_region = "Iran" OR
target.ip_geo_artifact.location.country_or_region = "North Korea" OR
target.ip_geo_artifact.location.country_or_region = "Russia" OR
target.ip_geo_artifact.location.country_or_region = "Syria"
)
Buscar por número de sistema autónomo (ASN)
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.asn = 33915
)
Por nombre de la organización
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.organization_name = "google"
)
Por nombre de la empresa de transporte
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.carrier_name = "google llc"
)
Por dominio DNS
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.dns_domain = "lightower.net"
)
Ver los campos enriquecidos con ubicación geográfica en la cuadrícula de UDM
Los campos enriquecidos con ubicación geográfica se muestran en las vistas de cuadrícula de UDM, incluidas las de Búsqueda de UDM, Vista de detección, Vista de usuario y Visor de eventos.
¿Qué sigue?
Si quieres obtener más información para usar los datos enriquecidos con otras funciones de las operaciones de seguridad de Google, consulta lo siguiente:
- Usa datos enriquecidos por el contexto en las reglas.
- Usa datos enriquecidos por el contexto en los informes.