Se usó la API de Cloud Translation para traducir esta página.

Usa datos enriquecidos con contexto en la búsqueda

Compatible con:

Google SecOps SIEM

Para ayudar a los analistas de seguridad durante una investigación, Google Security Operations transfiere datos contextuales de diferentes fuentes, normaliza los datos transferidos y proporciona contexto adicional sobre los artefactos en el entorno del cliente. En este documento, se proporcionan ejemplos de cómo los analistas pueden usar datos enriquecidos contextualmente en la búsqueda.

Para obtener más información sobre el enriquecimiento de datos, consulta Cómo Google SecOps enriquece los datos de eventos y entidades.

Usa campos de metadatos enriquecidos con VirusTotal en la búsqueda

En el siguiente ejemplo, se busca un módulo de proceso que carga un archivo kernel32.dll en un proceso en particular.

metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"

Usa campos enriquecidos con la ubicación geográfica en la búsqueda

Google SecOps enriquece los eventos que contienen direcciones IP externas con datos de ubicación geográfica. Esto proporciona contexto adicional durante una investigación. En este documento, se explica cómo puedes usar los campos enriquecidos con datos de ubicación geográfica cuando realices búsquedas de investigación.

Se puede acceder a los campos de UDM enriquecidos con la ubicación geográfica a través de la búsqueda, como se muestra en los siguientes ejemplos:

Buscar por nombre del país (country_or_region)

target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"

Buscar por estado

target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"

Cómo buscar por longitud y latitud

principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474

Búsqueda por ubicaciones geográficas objetivo no autorizadas

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.location.country_or_region = "Cuba" OR
    target.ip_geo_artifact.location.country_or_region = "Iran" OR
    target.ip_geo_artifact.location.country_or_region = "North Korea" OR
    target.ip_geo_artifact.location.country_or_region = "Russia" OR
    target.ip_geo_artifact.location.country_or_region = "Syria"
)

Buscar por número de sistema autónomo (ASN)

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.asn = 33915
)

Por nombre de la organización

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.organization_name = "google"
)

Por nombre de la empresa de transporte

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.carrier_name = "google llc"
)

Por dominio de DNS

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.dns_domain = "lightower.net"
)

Cómo ver los campos enriquecidos con datos de ubicación geográfica en la cuadrícula de UDM

Los campos enriquecidos con la ubicación geográfica se muestran en las vistas de cuadrícula del UDM, incluidas las de Search, Detection View, User View y Event Viewer.

¿Qué sigue?

Si deseas obtener información para usar datos enriquecidos con otras funciones de Google SecOps, consulta lo siguiente:

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.