Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Utiliser des données enrichies en contexte dans la recherche UDM

Pour permettre aux analystes de sécurité lors d'une enquête, Chronicle ingère des données contextuelles provenant de différentes sources, normalise les données ingérées et fournit davantage de contexte sur les artefacts dans l'environnement client. Ce document fournit des exemples illustrant comment les analystes peuvent utiliser des données enrichies en contexte dans la recherche UDM.

Pour en savoir plus sur l'enrichissement des données, consultez Comment Chronicle enrichit les données d'événements et d'entités.

Chronicle enrichit les événements contenant des adresses IP externes avec des données de géolocalisation. Cela fournit plus de contexte au cours de l'enquête. Ce document explique comment utiliser des champs enrichis de géolocalisation lorsque vous effectuez des recherches.

Les champs UDM enrichis pour la géolocalisation sont accessibles via la recherche UDM, comme illustré dans les exemples suivants.

Rechercher par nom de pays (country_or_region)

src.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"

Rechercher par État

src.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"

Rechercher par longitude et latitude

UDM Search ne prend pas en charge la longitude et la latitude.

Rechercher par zones géographiques cibles non autorisées

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.location.country_or_region = "Cuba" OR
    target.ip_geo_artifact.location.country_or_region = "Iran" OR
    target.ip_geo_artifact.location.country_or_region = "North Korea" OR
    target.ip_geo_artifact.location.country_or_region = "Russia" OR
    target.ip_geo_artifact.location.country_or_region = "Syria"
)

Rechercher par numéro de système autonome (ASN)

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.asn = 33915
)

Par nom d'organisation

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.organization_name = "google"
)

Par nom d'opérateur

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.carrier_name = "google llc"
)

Par domaine DNS

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.dns_domain = "lightower.net"
)

Afficher les champs enrichis en géolocalisation à des fins d'investigation

Les champs enrichis de géolocalisation sont affichés dans les vues sous forme de grille UDM, y compris celles des modes de recherche UDM, Détection, Vue Utilisateur et Observateur d'événements.

Données enrichies par la géolocalisation dans l'observateur d'événements Lecteur d'événements UDM

Afficher l'image dans une nouvelle fenêtre

Étapes suivantes

Pour savoir comment utiliser des données enrichies avec d'autres fonctionnalités de Chronicle, consultez les pages suivantes: