Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Usar dados enriquecidos por contexto na pesquisa do UDM

Para permitir a análise de segurança durante uma investigação, o Chronicle ingere dados contextuais de diferentes fontes, normaliza os dados ingeridos e fornece mais contexto sobre artefatos em um ambiente do cliente. Este documento fornece exemplos de como os analistas podem usar dados enriquecidos contextualmente na Pesquisa UDM.

Para mais informações sobre o enriquecimento de dados, consulte Como o Chronicle enriquece os dados de eventos e entidades.

O Chronicle enriquece eventos que contêm endereços IP externos com dados de geolocalização. Isso fornece mais contexto durante uma investigação. Neste documento, explicamos como usar campos enriquecidos por geolocalização ao fazer pesquisas investigativas.

Os campos de UDM enriquecidos com geolocalização podem ser acessados pela pesquisa de UDM, conforme mostrado nos exemplos a seguir.

Pesquisar por nome de país (country_or_region)

src.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"

Pesquisar por estado

src.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"

Pesquisar por longitude e latitude

A pesquisa de UDM não é compatível com longitude e latitude.

Pesquisar por regiões de segmentação não autorizadas

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.location.country_or_region = "Cuba" OR
    target.ip_geo_artifact.location.country_or_region = "Iran" OR
    target.ip_geo_artifact.location.country_or_region = "North Korea" OR
    target.ip_geo_artifact.location.country_or_region = "Russia" OR
    target.ip_geo_artifact.location.country_or_region = "Syria"
)

Pesquisar por número do sistema autônomo (ASN)

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.asn = 33915
)

Por nome da organização

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.organization_name = "google"
)

Por nome da operadora

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.carrier_name = "google llc"
)

Por domínio DNS

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.dns_domain = "lightower.net"
)

Ver campos aprimorados por geolocalização em visualizações investigativas

Os campos enriquecidos com geolocalização são exibidos nas visualizações em grade do UDM, incluindo aquelas na pesquisa do UDM, na visualização de detecção, na visualização do usuário e no visualizador de eventos.

Dados aprimorados pela geolocalização no visualizador de eventos Visualizador de eventos do UDF

Ver imagem em uma nova janela

A seguir

Para ver informações sobre como usar dados enriquecidos com outros recursos do Chronicle, consulte: