Usa datos enriquecidos con contexto en la búsqueda de UDM

Para habilitar a los analistas de seguridad durante una investigación, Chronicle transfiere datos contextuales de diferentes fuentes, normaliza los datos transferidos y proporciona contexto adicional sobre los artefactos en el entorno de un cliente. En este documento, se proporcionan ejemplos de cómo los analistas pueden usar datos enriquecidos contextualmente en la Búsqueda de UDM.

Para obtener más información sobre el enriquecimiento de datos, consulta Cómo Chronicle enriquece los datos de eventos y entidades.

En el siguiente ejemplo, se encuentra un módulo de proceso que carga un archivo kernel32.dll en un proceso en particular.

metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"

Chronicle enriquece los eventos que contienen direcciones IP externas con datos de ubicación geográfica. Esto proporciona contexto adicional durante una investigación. En este documento, se explica cómo puedes usar campos enriquecidos con ubicación geográfica cuando realizas búsquedas de investigación.

Como se muestra en los siguientes ejemplos, se puede acceder a los campos de UDM enriquecidos con ubicación geográfica a través de la búsqueda de UDM.

Buscar por nombre de país (country_o_region)

target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"

Buscar por estado

target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"

Buscar por longitud y latitud

principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474

Realiza búsquedas por geografías de segmentación no autorizadas

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.location.country_or_region = "Cuba" OR
    target.ip_geo_artifact.location.country_or_region = "Iran" OR
    target.ip_geo_artifact.location.country_or_region = "North Korea" OR
    target.ip_geo_artifact.location.country_or_region = "Russia" OR
    target.ip_geo_artifact.location.country_or_region = "Syria"
)

Buscar por número de sistema autónomo (ASN)

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.asn = 33915
)

Por nombre de la organización

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.organization_name = "google"
)

Por nombre de la empresa de transporte

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.carrier_name = "google llc"
)

Por dominio DNS

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.dns_domain = "lightower.net"
)

Observa los campos enriquecidos con ubicación geográfica en la cuadrícula de UDM

Los campos enriquecidos con ubicación geográfica se muestran en las vistas de cuadrícula de UDM, incluidos los que se encuentran en la búsqueda de UDM, la vista de detección, la vista de usuario y el visualizador de eventos.

Datos enriquecidos con ubicación geográfica en un visualizador de eventos Visualizador de eventos de UM

Ver imagen en una ventana nueva

¿Qué sigue?

Si deseas obtener información para usar datos enriquecidos con otras funciones de Chronicle, consulta los siguientes vínculos: