Utilizzare i dati arricchiti dal contesto nella ricerca UDM

Supportato in:

Per supportare gli analisti della sicurezza durante un'indagine, Google Security Operations importa i dati contestuali da diverse origini, li normalizza e fornisce un contesto aggiuntivo sugli elementi in un ambiente del cliente. Questo documento fornisce esempi di come gli analisti possono utilizzare i dati arricchiti dal contesto nella ricerca UDM.

Per ulteriori informazioni sull'arricchimento dei dati, consulta In che modo Google Security Operations arricchisce i dati di eventi ed entità.

L'esempio seguente trova un modulo di processo che carica un kernel32.dll in un determinato processo.

metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"

Google Security Operations arricchisce gli eventi contenenti indirizzi IP esterni con dati di geolocalizzazione. Ciò fornisce un contesto aggiuntivo durante un'indagine. Questo documento spiega come utilizzare i campi con dati sulla geolocalizzazione quando esegui ricerche investigative.

È possibile accedere ai campi UDM con dati sulla geolocalizzazione tramite la ricerca UDM, come mostrato negli esempi seguenti.

Ricerca per nome del paese (country_or_region)

target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"

Cerca per stato

target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"

Cercare per longitudine e latitudine

principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474

Cerca per aree geografiche target non autorizzate

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.location.country_or_region = "Cuba" OR
    target.ip_geo_artifact.location.country_or_region = "Iran" OR
    target.ip_geo_artifact.location.country_or_region = "North Korea" OR
    target.ip_geo_artifact.location.country_or_region = "Russia" OR
    target.ip_geo_artifact.location.country_or_region = "Syria"
)

Ricerca per numero di sistema autonomo (ASN)

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.asn = 33915
)

Per nome dell'organizzazione

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.organization_name = "google"
)

In base al nome dell'operatore

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.carrier_name = "google llc"
)

Per dominio DNS

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.dns_domain = "lightower.net"
)

Visualizza i campi arricchiti di geolocalizzazione nella griglia UDM

I campi con dati sulla geolocalizzazione vengono visualizzati nelle visualizzazioni della griglia di UDM, tra cui quelle in Ricerca UDM, Visualizzazione rilevamento, Visualizzazione utente e Visualizzatore eventi.

Passaggi successivi

Per informazioni su come utilizzare i dati arricchiti con altre funzionalità di Google Security Operations, consulta quanto segue: