Se usó la API de Cloud Translation para traducir esta página.

Usa datos enriquecidos por el contexto en la búsqueda de UDM

Para permitir que los analistas de seguridad durante una investigación, las operaciones de seguridad de Google transfieren datos contextuales de diferentes fuentes, normalizan los datos transferidos y proporcionan contexto adicional sobre los artefactos en el entorno de un cliente. En este documento, se proporcionan ejemplos de cómo los analistas pueden usar datos enriquecidos de forma contextual en la Búsqueda de UDM.

Para obtener más información sobre el enriquecimiento de datos, consulta Cómo las operaciones de seguridad de Google enriquecen los datos de eventos y entidades.

Usar los campos de metadatos enriquecidos de VirusTotal en la búsqueda de UDM

En el siguiente ejemplo, se encuentra un módulo de proceso que carga un archivo kernel32.dll en un proceso en particular.

metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"

Usar campos enriquecidos con ubicación geográfica en la búsqueda de UDM

Las operaciones de seguridad de Google enriquecen los eventos que contienen direcciones IP externas con datos de ubicación geográfica. Esto proporciona contexto adicional durante una investigación. En este documento, se explica cómo puedes usar campos enriquecidos con ubicación geográfica cuando realizas búsquedas de investigación.

Se puede acceder a los campos de UDM enriquecidos con ubicación geográfica a través de la búsqueda de UDM, como se muestra en los siguientes ejemplos.

Buscar por nombre de país (country_o_region)

target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"

Buscar por estado

target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"

Buscar por longitud y latitud

principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474

Buscar por ubicaciones geográficas de segmentación no autorizadas

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.location.country_or_region = "Cuba" OR
    target.ip_geo_artifact.location.country_or_region = "Iran" OR
    target.ip_geo_artifact.location.country_or_region = "North Korea" OR
    target.ip_geo_artifact.location.country_or_region = "Russia" OR
    target.ip_geo_artifact.location.country_or_region = "Syria"
)

Buscar por número de sistema autónomo (ASN)

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.asn = 33915
)

Por nombre de la organización

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.organization_name = "google"
)

Por nombre de la empresa de transporte

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.carrier_name = "google llc"
)

Por dominio DNS

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.dns_domain = "lightower.net"
)

Ver los campos enriquecidos con ubicación geográfica en la cuadrícula de UDM

Los campos enriquecidos con ubicación geográfica se muestran en las vistas de cuadrícula de UDM, incluidas las de Búsqueda de UDM, Vista de detección, Vista de usuario y Visor de eventos.

¿Qué sigue?

Si quieres obtener más información para usar los datos enriquecidos con otras funciones de las operaciones de seguridad de Google, consulta lo siguiente: