Utilizzare dati arricchiti di contesto nella ricerca UDM

Per consentire agli analisti della sicurezza durante un'indagine, Chronicle importa i dati contestuali da origini diverse, normalizza i dati importati e fornisce un contesto aggiuntivo sugli artefatti nell'ambiente di un cliente. Questo documento fornisce esempi di come gli analisti possono utilizzare dati arricchiti in base al contesto nella Ricerca UDM.

Per saperne di più sull'arricchimento dei dati, consulta In che modo Chronicle arricchisce i dati su eventi ed entità.

Utilizzare i campi dei metadati estesi di VirusTotal nella Ricerca UDM

L'esempio seguente trova un modulo di processo che carica un file kernel32.dll in un determinato processo.

metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"

Utilizzare campi arricchiti con geolocalizzazione nella ricerca UDM

Chronicle arricchisce gli eventi contenenti indirizzi IP esterni con dati di geolocalizzazione. Ciò fornisce ulteriore contesto durante un'indagine. Questo documento spiega come utilizzare i campi arricchiti con la geolocalizzazione durante l'esecuzione di ricerche investigative.

È possibile accedere ai campi UDM ricchi di geolocalizzazione tramite la ricerca UDM, come mostrato nei seguenti esempi.

Cerca per nome del paese (country_or_region)

target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"

Cerca per stato

target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"

Cerca per longitudine e latitudine

principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474

Cerca per aree geografiche di destinazione non autorizzate

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.location.country_or_region = "Cuba" OR
    target.ip_geo_artifact.location.country_or_region = "Iran" OR
    target.ip_geo_artifact.location.country_or_region = "North Korea" OR
    target.ip_geo_artifact.location.country_or_region = "Russia" OR
    target.ip_geo_artifact.location.country_or_region = "Syria"
)

Ricerca per numero di sistema autonomo (ASN)

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.asn = 33915
)

Per nome dell'organizzazione

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.organization_name = "google"
)

In base al nome dell'operatore

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.carrier_name = "google llc"
)

Per dominio DNS

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.dns_domain = "lightower.net"
)

Visualizza i campi arricchiti di geolocalizzazione nella griglia UDM

I campi arricchiti di geolocalizzazione vengono mostrati nelle visualizzazioni griglia UDM, incluse quelle in Ricerca UDM, Visualizzazione rilevamento, Visualizzazione utente e Visualizzatore eventi.

Visualizzatore eventi UDM

Visualizza immagine in una nuova finestra

Passaggi successivi

Per informazioni su come utilizzare i dati estesi con altre funzionalità di Chronicle, vedi quanto segue:

• Utilizza dati arricchiti di contesto nelle regole.
• Utilizza dati arricchiti di contesto nei report.