Esta página foi traduzida pela API Cloud Translation.

Usar dados enriquecidos com contexto na pesquisa

Compatível com:

Google SecOps SIEM

Para ajudar os analistas de segurança durante uma investigação, o Google Security Operations captura dados contextuais de diferentes fontes, normaliza os dados coletados e fornece mais contexto sobre artefatos em um ambiente do cliente. Este documento apresenta exemplos de como os analistas podem usar dados enriquecidos contextualmente na pesquisa.

Para mais informações sobre o enriquecimento de dados, consulte Como o Google Security Operations enriquece dados de eventos e entidades.

Usar campos de metadados enriquecidos com o VirusTotal na pesquisa

O exemplo a seguir encontra um módulo de processo que carrega um arquivo kernel32.dll em um processo específico.

metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"

Usar campos enriquecidos com geolocalização na pesquisa

O Google Security Operations enriquece eventos com endereços IP externos com dados de geolocalização. Isso fornece mais contexto durante uma investigação. Este documento explica como usar campos enriquecidos com geolocalização ao realizar pesquisas investigativas.

Os campos do UDM enriquecidos com geolocalização podem ser acessados pela pesquisa, conforme mostrado nos exemplos abaixo:

Pesquisar por nome do país (country_or_region)

target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"

Pesquisar por estado

target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"

Pesquisar por longitude e latitude

principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474

Pesquisar por regiões de destino não autorizadas

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.location.country_or_region = "Cuba" OR
    target.ip_geo_artifact.location.country_or_region = "Iran" OR
    target.ip_geo_artifact.location.country_or_region = "North Korea" OR
    target.ip_geo_artifact.location.country_or_region = "Russia" OR
    target.ip_geo_artifact.location.country_or_region = "Syria"
)

Pesquisar por número de sistema autônomo (ASN)

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.asn = 33915
)

Por nome da organização

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.organization_name = "google"
)

Por nome da operadora

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.carrier_name = "google llc"
)

Por domínio DNS

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.dns_domain = "lightower.net"
)

Acessar campos enriquecidos com geolocalização na grade do UDM

Os campos enriquecidos com geolocalização são exibidos nas visualizações de grade do UDM, incluindo as visualizações de pesquisa, detecção, usuário e visualizador de eventos.

A seguir

Para saber como usar dados enriquecidos com outros recursos do Google Security Operations, consulte:

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.