Usar dados aprimorados no contexto no UDM Search

Para permitir os analistas de segurança durante uma investigação, o Chronicle ingere dados contextuais de diferentes fontes, normaliza os dados ingeridos e fornece mais contexto sobre os artefatos em um ambiente de cliente. Este documento fornece exemplos de como os analistas podem usar dados enriquecidos por contexto na Pesquisa do UDM.

Para saber mais sobre o aprimoramento de dados, consulte Como o Chronicle aprimora os dados de eventos e entidades.

Usar campos de metadados aprimorados do VirusTotal na pesquisa do UDM

O exemplo a seguir encontra um módulo de processo que carrega um arquivo kernel32.dll em um processo específico.

metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"

Usar campos aprimorados por geolocalização na pesquisa do UDM

O Chronicle aprimora eventos que contêm endereços IP externo com dados de geolocalização. Isso oferece mais contexto durante uma investigação. Este documento explica como você pode usar campos aprimorados de geolocalização ao realizar pesquisas investigativas.

Os campos do UDM aprimorados por geolocalização podem ser acessados pela pesquisa do UDM, conforme mostrado nos exemplos a seguir.

Pesquisar por nome de país (country_or_region)

target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"

Pesquisar por estado

target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"

Pesquisar por longitude e latitude

principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474

Pesquisar por regiões geográficas de destino não autorizadas

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.location.country_or_region = "Cuba" OR
    target.ip_geo_artifact.location.country_or_region = "Iran" OR
    target.ip_geo_artifact.location.country_or_region = "North Korea" OR
    target.ip_geo_artifact.location.country_or_region = "Russia" OR
    target.ip_geo_artifact.location.country_or_region = "Syria"
)

Pesquisar por número de sistema autônomo (ASN)

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.asn = 33915
)

Por nome da organização

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.organization_name = "google"
)

Por nome da transportadora

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.carrier_name = "google llc"
)

Por domínio DNS

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.dns_domain = "lightower.net"
)

Ver campos aprimorados por geolocalização na grade do UDM

Os campos aprimorados por geolocalização são exibidos em visualizações de grade do UDM, incluindo os do UDM Search, Detection View, User View e Event Viewer.

Visualizador de eventos do UDM

Conferir imagem em uma nova janela

A seguir

Para saber mais sobre como usar dados enriquecidos com outros recursos do Chronicle, consulte:

• Usar dados enriquecidos de contexto em regras.
• Usar dados enriquecidos de contexto em relatórios.