UDM 検索でコンテキストが拡充されたデータを使用する

調査中にセキュリティ アナリストが使用できるようにするため、Chronicle はさまざまなソースからコンテキスト データを取り込み、取り込んだデータを正規化して、お客様の環境内のアーティファクトに関する追加のコンテキストを提供します。このドキュメントでは、アナリストが UDM 検索でコンテキストが強化されたデータを使用する方法について説明します。

データ拡充の詳細については、Chronicle によるイベントデータとエンティティ データの拡充方法をご覧ください。

次の例は、kernel32.dll ファイルを特定のプロセスに読み込むプロセス モジュールを見つける方法を示しています。

metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"

Chronicle は、位置情報を含む外部 IP アドレスを含むイベントを拡充します。これにより、調査中に追加のコンテキストが提供されます。このドキュメントでは、調査を行うために検索を実行するときに位置情報が拡充されたフィールドを使用する方法について説明します。

位置情報が拡充された UDM フィールドには、UDM 検索を使用してアクセスできます。次の例をご覧ください。

国名で検索(country_or_region)

target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"

州で検索

target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"

経度と緯度で検索

principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474

未承認の対象地域で検索

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.location.country_or_region = "Cuba" OR
    target.ip_geo_artifact.location.country_or_region = "Iran" OR
    target.ip_geo_artifact.location.country_or_region = "North Korea" OR
    target.ip_geo_artifact.location.country_or_region = "Russia" OR
    target.ip_geo_artifact.location.country_or_region = "Syria"
)

自律システム番号(ASN)で検索

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.asn = 33915
)

組織名別

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.organization_name = "google"
)

携帯通信会社名別

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.carrier_name = "google llc"
)

DNS ドメイン別

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.dns_domain = "lightower.net"
)

UDM グリッドで位置情報が拡充されたフィールドを表示する

位置情報拡充フィールドは、UDM 検索、検出ビュー、ユーザービュー、イベント ビューアのビューを含む、UDM グリッドビューで表示されます。

次のステップ

他の Chronicle 機能で拡充データを使用する方法については、以下をご覧ください。