Menggunakan data yang diperkaya konteks dalam Penelusuran UDM

Untuk memungkinkan analis keamanan selama penyelidikan, Chronicle menyerap data kontekstual dari berbagai sumber, menormalisasi data yang diserap, dan memberikan konteks tambahan tentang artefak di lingkungan pelanggan. Dokumen ini memberikan contoh bagaimana analis dapat menggunakan data yang diperkaya secara kontekstual dalam Penelusuran UDM.

Untuk mengetahui informasi selengkapnya tentang pengayaan data, lihat Cara Chronicle memperkaya data peristiwa dan entitas.

Menggunakan kolom meta data yang diperkaya VirusTotal di Penelusuran UDM

Contoh berikut menemukan modul proses yang memuat file kernel32.dll ke dalam proses tertentu.

metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"

Menggunakan kolom yang diperkaya geolokasi dalam penelusuran UDM

Chronicle memperkaya peristiwa yang berisi alamat IP eksternal dengan data geolokasi. Hal ini memberikan konteks tambahan selama penyelidikan. Dokumen ini menjelaskan cara menggunakan kolom yang diperkaya geolokasi saat melakukan penelusuran investigasi.

Kolom UDM yang diperkaya geolokasi dapat diakses melalui penelusuran UDM seperti yang ditunjukkan dalam contoh berikut.

Telusuri berdasarkan nama negara (country_atau_region)

target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"

Telusuri menurut negara bagian

target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"

Menelusuri berdasarkan bujur dan lintang

principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474

Telusuri berdasarkan wilayah geografis target yang tidak sah

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.location.country_or_region = "Cuba" OR
    target.ip_geo_artifact.location.country_or_region = "Iran" OR
    target.ip_geo_artifact.location.country_or_region = "North Korea" OR
    target.ip_geo_artifact.location.country_or_region = "Russia" OR
    target.ip_geo_artifact.location.country_or_region = "Syria"
)

Menelusuri berdasarkan Autonomous System Number (ASN)

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.asn = 33915
)

Menurut nama organisasi

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.organization_name = "google"
)

Menurut nama ekspedisi

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.carrier_name = "google llc"
)

Dengan domain DNS

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.dns_domain = "lightower.net"
)

Lihat kolom yang diperkaya geolokasi di petak UDM

Kolom yang diperkaya geolokasi ditampilkan dalam tampilan petak UDM, termasuk dalam Penelusuran UDM, Tampilan Deteksi, Tampilan Pengguna, dan Viewer Peristiwa.

Penampil acara UDM

Lihat gambar di jendela baru

Langkah selanjutnya

Untuk mengetahui informasi tentang cara menggunakan data yang diperkaya dengan fitur Chronicle lainnya, lihat artikel berikut:

• Menggunakan data yang diperkaya konteks dalam aturan.
• Menggunakan data yang diperkaya konteks dalam laporan.