UDM 검색에서 컨텍스트 보강 데이터 사용

조사 중 보안 분석가를 사용 설정하기 위해 Chronicle은 다양한 소스의 문맥 데이터를 수집하고 수집된 데이터를 정규화하며 고객 환경의 아티팩트에 대한 추가 컨텍스트를 제공합니다. 이 문서에서는 분석가가 UDM 검색에서 컨텍스트 보강 데이터를 사용하는 방법의 예시를 제공합니다.

데이터 보강에 대한 자세한 내용은 Chronicle이 이벤트 및 항목 데이터를 보강하는 방법을 참조하세요.

다음 예시에서는 kernel32.dll 파일을 특정 프로세스에 로드하는 프로세스 모듈을 찾습니다.

metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"

Chronicle은 위치정보 데이터로 외부 IP 주소가 포함된 이벤트를 보강합니다. 이는 조사 중에 추가 컨텍스트를 제공합니다. 이 문서에서는 조사 검색을 수행할 때 위치정보가 보강된 필드를 사용하는 방법을 설명합니다.

위치정보가 보강된 UDM 필드는 다음 예시와 같이 UDM 검색을 통해 액세스할 수 있습니다.

국가 이름으로 검색(country_or_region)

target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"

주로 검색

target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"

경도 및 위도로 검색

principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474

승인되지 않은 대상 지역으로 검색

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.location.country_or_region = "Cuba" OR
    target.ip_geo_artifact.location.country_or_region = "Iran" OR
    target.ip_geo_artifact.location.country_or_region = "North Korea" OR
    target.ip_geo_artifact.location.country_or_region = "Russia" OR
    target.ip_geo_artifact.location.country_or_region = "Syria"
)

자율 시스템 번호(ASN)로 검색

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.asn = 33915
)

조직 이름 기준

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.organization_name = "google"
)

이동통신사 이름 기준

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.carrier_name = "google llc"
)

DNS 도메인 기준

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.dns_domain = "lightower.net"
)

UDM 그리드에서 위치정보가 보강된 필드 보기

위치정보가 보강된 필드는 UDM 검색, 감지 뷰, 사용자 뷰, 이벤트 뷰어를 비롯한 UDM 그리드 뷰에 표시됩니다.

이벤트 뷰어의 위치정보가 보강된 데이터 UDM 이벤트 뷰어

새 창에서 이미지 보기

다음 단계

보강된 데이터를 다른 Chronicle 기능과 함께 사용하는 방법은 다음 항목을 참조하세요.