Utiliser des données enrichies au contexte dans la recherche UDM

Pour permettre aux analystes de sécurité lors d'une enquête, Chronicle ingère des données contextuelles provenant de différentes sources, normalise les données ingérées et fournit du contexte supplémentaire sur les artefacts d'un environnement client. Ce document fournit des exemples montrant comment les analystes peuvent utiliser des données enrichies en contexte dans la recherche UDM.

Pour savoir comment enrichir les données, consultez Comment Chronicle enrichit les données d'événements et d'entités.

L'exemple suivant trouve un module de processus qui charge un fichier kernel32.dll dans un processus particulier.

metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"

Chronicle enrichit les événements contenant des adresses IP externes à l'aide de données de géolocalisation. Cela fournit du contexte supplémentaire lors d'une enquête. Ce document explique comment utiliser des champs enrichis pour la géolocalisation lorsque vous effectuez des recherches.

Les champs UDM enrichis pour la géolocalisation sont accessibles via la recherche UDM, comme illustré dans les exemples suivants.

Rechercher par nom de pays (country_or_region)

target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"

Rechercher par État

target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"

Rechercher par longitude et latitude

principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474

Rechercher par zone géographique ciblée non autorisée

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.location.country_or_region = "Cuba" OR
    target.ip_geo_artifact.location.country_or_region = "Iran" OR
    target.ip_geo_artifact.location.country_or_region = "North Korea" OR
    target.ip_geo_artifact.location.country_or_region = "Russia" OR
    target.ip_geo_artifact.location.country_or_region = "Syria"
)

Rechercher par numéro de système autonome (ASN)

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.asn = 33915
)

Par nom d'organisation

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.organization_name = "google"
)

Par nom de transporteur

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.carrier_name = "google llc"
)

Par domaine DNS

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.dns_domain = "lightower.net"
)

Afficher les champs enrichis par géolocalisation dans la grille UDM

Les champs enrichis pour la géolocalisation sont affichés dans les grilles UDM, y compris dans la recherche UDM, la vue Détection, l'affichage utilisateur et l'observateur d'événements.

Données enrichies pour la géolocalisation dans l'observateur d'événements Lecteur d'événements UDM

Afficher l'image dans une nouvelle fenêtre

Étapes suivantes

Pour savoir comment utiliser des données enrichies avec d'autres fonctionnalités Chronicle, consultez les pages suivantes: