Se usó la API de Cloud Translation para traducir esta página.

Usa datos enriquecidos con el contexto en la Búsqueda de UDM

Para habilitar a los analistas de seguridad durante una investigación, Chronicle transfiere datos contextuales de diferentes fuentes, normaliza los datos transferidos y proporciona contexto adicional sobre los artefactos de un entorno de cliente. En este documento, se proporcionan ejemplos de cómo los analistas pueden usar datos enriquecidos de manera contextual en la Búsqueda de UDM.

Para obtener más información sobre el enriquecimiento de datos, consulta Cómo Chronicle enriquece los datos de eventos y entidades.

Usa campos enriquecidos con ubicación geográfica en la Búsqueda de UDM

Chronicle enriquece los eventos que contienen direcciones IP externas con datos de ubicación geográfica. Esto proporciona contexto adicional durante una investigación. En este documento, se explica cómo puedes usar campos enriquecidos con ubicación geográfica cuando realizas búsquedas de investigación.

Se puede acceder a los campos de UDM enriquecidos con ubicación geográfica a través de la Búsqueda de UDM, como se muestra en los siguientes ejemplos.

Buscar por nombre de país (país_o_región)

src.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"

Buscar por estado

src.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"

Buscar por longitud y latitud

La Búsqueda de UDM no es compatible con Longitud ni latitud.

Buscar por ubicaciones geográficas no autorizadas

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.location.country_or_region = "Cuba" OR
    target.ip_geo_artifact.location.country_or_region = "Iran" OR
    target.ip_geo_artifact.location.country_or_region = "North Korea" OR
    target.ip_geo_artifact.location.country_or_region = "Russia" OR
    target.ip_geo_artifact.location.country_or_region = "Syria"
)

Buscar por número de sistema autónomo (ASN)

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.asn = 33915
)

Por nombre de la organización

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.organization_name = "google"
)

Por el nombre del proveedor

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.carrier_name = "google llc"
)

Por dominio DNS

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.dns_domain = "lightower.net"
)

Visualiza campos enriquecidos con ubicación geográfica en vistas de investigación

Los campos enriquecidos con ubicación geográfica se muestran en las vistas de cuadrícula de UDM, incluidos los de Búsqueda de UDM, Vista de detección, Vista de usuario y Visualizador de eventos.

Datos enriquecidos con ubicación geográfica en el visor de eventos Visualizador de eventos de UDM

Ver imagen en una ventana nueva

¿Qué sigue?

Para obtener información sobre cómo usar los datos enriquecidos con otras funciones de Chronicle, consulta los siguientes vínculos: