Se usó la API de Cloud Translation para traducir esta página.

Usa datos enriquecidos en contexto en la búsqueda de UDM

Para permitir a los analistas de seguridad durante una investigación, Google Security Operations transfiere datos contextuales de diferentes fuentes, normaliza los datos transferidos y proporciona contexto adicional sobre los artefactos en el entorno de un cliente. En este documento, se proporcionan ejemplos de cómo los analistas pueden usar datos enriquecidos contextualmente en UDM Search.

Para obtener más información sobre el enriquecimiento de datos, consulta Cómo Google Security Operations enriquece los datos de eventos y entidades.

Usa los campos de metadatos enriquecidos de VirusTotal en UDM Search

En el siguiente ejemplo, se encuentra un módulo de proceso que carga un archivo kernel32.dll en un proceso específico.

metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"

Usa campos enriquecidos con ubicación geográfica en la búsqueda de UDM

Google Security Operations enriquece los eventos que contienen direcciones IP externas con datos de ubicación geográfica. Esto proporciona contexto adicional durante una investigación. En este documento, se explica cómo puedes usar campos enriquecidos con ubicación geográfica cuando realizas búsquedas de investigación.

Se puede acceder a los campos de UDM enriquecidos por ubicación geográfica a través de la búsqueda de UDM, como se muestra en los siguientes ejemplos.

Buscar por nombre de país (country_or_region)

target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"

Buscar por estado

target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"

Buscar por longitud y latitud

principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474

Realiza búsquedas por zonas geográficas de destino no autorizadas

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.location.country_or_region = "Cuba" OR
    target.ip_geo_artifact.location.country_or_region = "Iran" OR
    target.ip_geo_artifact.location.country_or_region = "North Korea" OR
    target.ip_geo_artifact.location.country_or_region = "Russia" OR
    target.ip_geo_artifact.location.country_or_region = "Syria"
)

Buscar por número de sistema autónomo (ASN)

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.asn = 33915
)

Por nombre de la organización

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.organization_name = "google"
)

Por nombre de la empresa de transporte

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.carrier_name = "google llc"
)

Por dominio DNS

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.dns_domain = "lightower.net"
)

Consulta los campos enriquecidos con ubicación geográfica en la cuadrícula de UDM

Los campos enriquecidos para la ubicación geográfica se muestran en las vistas de cuadrícula de UDM, incluidos los que se encuentran en la búsqueda de UDM, la vista de detección, la vista del usuario y el visor de eventos.

¿Qué sigue?

Si deseas obtener información para usar datos enriquecidos con otras funciones de Google Security Operations, consulta lo siguiente: