Utiliser des données enrichies en contexte dans UDM Search

Pour permettre aux analystes de sécurité d'effectuer une investigation, Chronicle ingère des données contextuelles provenant de différentes sources, normalise les données ingérées et fournit du contexte supplémentaire sur les artefacts d'un environnement client. Ce document fournit des exemples d'utilisation de données enrichies en contexte dans UDM Search.

Pour en savoir plus sur l'enrichissement des données, consultez Comment Chronicle enrichit les données d'événements et d'entités.

Utiliser les champs de métadonnées enrichies VirusTotal dans UDM Search

L'exemple suivant trouve un module de processus qui charge un fichier kernel32.dll dans un processus particulier.

metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"

Utiliser des champs enrichis de géolocalisation dans la recherche UDM

Chronicle enrichit les événements contenant des adresses IP externes avec des données de géolocalisation. Ces informations fournissent davantage de contexte au cours d'une enquête. Ce document explique comment utiliser les champs enrichis de géolocalisation lorsque vous effectuez des recherches d'investigation.

Les champs UDM enrichies par la géolocalisation sont accessibles via la recherche UDM, comme illustré dans les exemples suivants.

Rechercher par nom de pays (country_or_region)

target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"

Rechercher par État

target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"

Rechercher par longitude et latitude

principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474

Rechercher par zones géographiques cibles non autorisées

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.location.country_or_region = "Cuba" OR
    target.ip_geo_artifact.location.country_or_region = "Iran" OR
    target.ip_geo_artifact.location.country_or_region = "North Korea" OR
    target.ip_geo_artifact.location.country_or_region = "Russia" OR
    target.ip_geo_artifact.location.country_or_region = "Syria"
)

Rechercher par numéro de système autonome (ASN)

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.asn = 33915
)

Par nom d'organisation

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.organization_name = "google"
)

Par nom d'opérateur

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.carrier_name = "google llc"
)

Par domaine DNS

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.dns_domain = "lightower.net"
)

Afficher les champs enrichis de géolocalisation dans la grille UDM

Les champs enrichies par la géolocalisation sont affichés dans les grilles UDM, y compris dans UDM Search, la vue de détection, la vue utilisateur et l'observateur d'événements.

Observateur d'événements UDM

Afficher l'image dans une nouvelle fenêtre

Étapes suivantes

Pour découvrir comment utiliser des données enrichies avec d'autres fonctionnalités Chronicle, consultez les pages suivantes:

• Utilisez des données enrichies en contexte dans vos règles.
• Utilisez des données enrichies en contexte dans les rapports.