Diese Seite wurde von der Cloud Translation API übersetzt.

Kontextangereicherte Daten in der Suche verwenden

Unterstützt in:

Google SecOps SIEM

Um Sicherheitsanalysten bei der Untersuchung zu unterstützen, werden in Google Security Operations Kontextdaten aus verschiedenen Quellen aufgenommen, normalisiert und zusätzlicher Kontext zu Artefakten in einer Kundenumgebung bereitgestellt. In diesem Dokument finden Sie Beispiele dafür, wie Analysten kontextbezogen angereicherte Daten in der Suche verwenden können.

Weitere Informationen zur Datenanreicherung finden Sie unter So reichert Google SecOps Ereignis- und Entitätsdaten an.

Mit VirusTotal angereicherte Metadatenfelder in der Suche verwenden

Im folgenden Beispiel wird ein Prozessmodul gesucht, das eine kernel32.dll-Datei in einen bestimmten Prozess lädt.

metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"

Felder mit Geolocation-Daten in der Suche verwenden

Google SecOps reichert Ereignisse mit externen IP-Adressen mit Geolocation-Daten an. Dadurch wird zusätzlicher Kontext für die Untersuchung bereitgestellt. In diesem Dokument wird erläutert, wie Sie Felder mit Geolocation-Informationen bei der Durchführung von Untersuchungsrecherchen verwenden können.

Auf UDM-Felder mit Geolocation-Informationen kann über die Suche zugegriffen werden, wie in den folgenden Beispielen gezeigt:

Nach Ländernamen suchen (country_or_region)

target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"

Nach Status suchen

target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"

Nach Längen- und Breitengrad suchen

principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474

Suche nach nicht autorisierten Zielregionen

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.location.country_or_region = "Cuba" OR
    target.ip_geo_artifact.location.country_or_region = "Iran" OR
    target.ip_geo_artifact.location.country_or_region = "North Korea" OR
    target.ip_geo_artifact.location.country_or_region = "Russia" OR
    target.ip_geo_artifact.location.country_or_region = "Syria"
)

Anhand der autonomen Systemnummer (ASN) suchen

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.asn = 33915
)

Nach Organisationsname

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.organization_name = "google"
)

Nach Name des Mobilfunkanbieters

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.carrier_name = "google llc"
)

Nach DNS-Domain

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.dns_domain = "lightower.net"
)

Felder mit Geolocation-Anreicherung im UDM-Raster ansehen

Mit geografischen Informationen angereicherte Felder werden in UDM-Tabellenansichten angezeigt, einschließlich der Ansichten in Search, Detection View, User View und Event Viewer.

Nächste Schritte

Informationen zur Verwendung angereicherter Daten mit anderen Google SecOps-Funktionen finden Sie unter:

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten