Esta página foi traduzida pela API Cloud Translation.

Use dados enriquecidos com contexto na pesquisa do UDM

Para permitir que os analistas de segurança durante uma investigação, o Google Security Operations processa dados contextuais dados de diferentes fontes, normaliza os dados ingeridos e fornece mais contexto sobre artefatos em um ambiente de cliente. Isso documento fornece exemplos de como os analistas podem usar dados enriquecidos de acordo com o contexto na Pesquisa UDM.

Para mais informações sobre o aprimoramento de dados, consulte Como o Google Security Operations enriquece os dados de eventos e entidades.

Usar campos de metadados enriquecidos com o VirusTotal na pesquisa do UDM

O exemplo a seguir encontra um módulo de processo que carrega uma kernel32.dll em um processo específico.

metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"

Usar campos enriquecidos com geolocalização na pesquisa do UDM

O Google Security Operations enriquece os eventos que contêm endereços IP externo com dados de geolocalização. Isso fornece mais contexto durante uma investigação. Este documento explica como você pode usar campos enriquecidos com geolocalização ao realizar pesquisas investigativas.

Os campos de UDM enriquecidos com geolocalização podem ser acessados usando a pesquisa de UDM, como mostrado nos exemplos a seguir.

Pesquisar por nome do país (country_or_region)

target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"

Pesquisar por estado

target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"

Pesquisar por longitude e latitude

principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474

Pesquisar por regiões geográficas segmentadas não autorizadas

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.location.country_or_region = "Cuba" OR
    target.ip_geo_artifact.location.country_or_region = "Iran" OR
    target.ip_geo_artifact.location.country_or_region = "North Korea" OR
    target.ip_geo_artifact.location.country_or_region = "Russia" OR
    target.ip_geo_artifact.location.country_or_region = "Syria"
)

Pesquisar por número de sistema autônomo (ASN)

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.asn = 33915
)

Por nome da organização

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.organization_name = "google"
)

Por nome da transportadora

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.carrier_name = "google llc"
)

Por domínio DNS

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.dns_domain = "lightower.net"
)

Conferir campos enriquecidos com geolocalização na grade do UDM

Os campos enriquecidos com geolocalização aparecem nas visualizações em grade do UDM, incluindo os da pesquisa do UDM. Visualização de detecção, Visualização de usuário e Visualizador de eventos.

A seguir

Para informações sobre como usar dados enriquecidos com outras Operações de segurança do Google , consulte os seguintes artigos: