Utilizzare dati arricchiti di contesto nella ricerca UDM
Per consentire agli analisti della sicurezza durante un'indagine, Chronicle importa i dati contestuali da origini diverse, normalizza i dati importati e fornisce un contesto aggiuntivo sugli artefatti nell'ambiente di un cliente. Questo documento fornisce esempi di come gli analisti possono utilizzare dati arricchiti in base al contesto nella Ricerca UDM.
Per saperne di più sull'arricchimento dei dati, consulta In che modo Chronicle arricchisce i dati su eventi ed entità.
Utilizzare i campi dei metadati estesi di VirusTotal nella Ricerca UDM
L'esempio seguente trova un modulo di processo che carica un file kernel32.dll
in un determinato processo.
metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"
Utilizzare campi arricchiti con geolocalizzazione nella ricerca UDM
Chronicle arricchisce gli eventi contenenti indirizzi IP esterni con dati di geolocalizzazione. Ciò fornisce ulteriore contesto durante un'indagine. Questo documento spiega come utilizzare i campi arricchiti con la geolocalizzazione durante l'esecuzione di ricerche investigative.
È possibile accedere ai campi UDM ricchi di geolocalizzazione tramite la ricerca UDM, come mostrato nei seguenti esempi.
Cerca per nome del paese (country_or_region)
target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"
Cerca per stato
target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"
Cerca per longitudine e latitudine
principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474
Cerca per aree geografiche di destinazione non autorizzate
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.location.country_or_region = "Cuba" OR
target.ip_geo_artifact.location.country_or_region = "Iran" OR
target.ip_geo_artifact.location.country_or_region = "North Korea" OR
target.ip_geo_artifact.location.country_or_region = "Russia" OR
target.ip_geo_artifact.location.country_or_region = "Syria"
)
Ricerca per numero di sistema autonomo (ASN)
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.asn = 33915
)
Per nome dell'organizzazione
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.organization_name = "google"
)
In base al nome dell'operatore
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.carrier_name = "google llc"
)
Per dominio DNS
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.dns_domain = "lightower.net"
)
Visualizza i campi arricchiti di geolocalizzazione nella griglia UDM
I campi arricchiti di geolocalizzazione vengono mostrati nelle visualizzazioni griglia UDM, incluse quelle in Ricerca UDM, Visualizzazione rilevamento, Visualizzazione utente e Visualizzatore eventi.
Visualizzatore eventi UDM
Visualizza immagine in una nuova finestra
Passaggi successivi
Per informazioni su come utilizzare i dati estesi con altre funzionalità di Chronicle, vedi quanto segue: