UDM 검색에서 컨텍스트 보강 데이터 사용
조사 중 보안 분석가를 사용 설정하기 위해 Chronicle은 다양한 소스의 문맥 데이터를 수집하고 수집된 데이터를 정규화하며 고객 환경의 아티팩트에 대한 추가 컨텍스트를 제공합니다. 이 문서에서는 분석가가 UDM 검색에서 컨텍스트 보강 데이터를 사용하는 방법의 예시를 제공합니다.
데이터 보강에 대한 자세한 내용은 Chronicle이 이벤트 및 항목 데이터를 보강하는 방법을 참조하세요.
UDM 검색에서 위치정보가 보강된 필드 사용
Chronicle은 위치정보 데이터로 외부 IP 주소가 포함된 이벤트를 보강합니다. 이는 조사 중에 추가 컨텍스트를 제공합니다. 이 문서에서는 조사 검색을 수행할 때 위치정보가 보강된 필드를 사용하는 방법을 설명합니다.
위치정보가 보강된 UDM 필드는 다음 예시와 같이 UDM 검색을 통해 액세스할 수 있습니다.
국가 이름으로 검색(country_or_region)
src.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"
주로 검색
src.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"
경도 및 위도로 검색
UDM 검색은 경도 및 위도를 지원하지 않습니다.
승인되지 않은 대상 지역으로 검색
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.location.country_or_region = "Cuba" OR
target.ip_geo_artifact.location.country_or_region = "Iran" OR
target.ip_geo_artifact.location.country_or_region = "North Korea" OR
target.ip_geo_artifact.location.country_or_region = "Russia" OR
target.ip_geo_artifact.location.country_or_region = "Syria"
)
자율 시스템 번호(ASN)로 검색
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.asn = 33915
)
조직 이름 기준
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.organization_name = "google"
)
이동통신사 이름 기준
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.carrier_name = "google llc"
)
DNS 도메인 기준
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.dns_domain = "lightower.net"
)
조사 뷰에서 위치정보가 보강된 필드 보기
위치정보가 보강된 필드는 UDM 검색, 감지 뷰, 사용자 뷰, 이벤트 뷰어를 비롯한 UDM 그리드 뷰에 표시됩니다.
UDM 이벤트 뷰어
다음 단계
보강된 데이터를 다른 Chronicle 기능과 함께 사용하는 방법은 다음 항목을 참조하세요.