Usa datos enriquecidos en contexto en la búsqueda de UDM

Se admite en los siguientes países:

Para permitir a los analistas de seguridad durante una investigación, Google Security Operations de fuentes diferentes, normaliza los datos transferidos y proporciona contexto adicional sobre los artefactos en el entorno de un cliente. Esta proporciona ejemplos de cómo los analistas pueden utilizar datos enriquecidos contextualmente en UDM Search.

Para obtener más información sobre el enriquecimiento de datos, consulta Cómo Google Security Operations enriquece los datos de eventos y entidades.

En el siguiente ejemplo, se encuentra un módulo de proceso que carga un kernel32.dll. en un proceso en particular.

metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"

Google Security Operations enriquece los eventos que contienen direcciones IP externas con datos de ubicación geográfica. Esto proporciona contexto adicional durante una investigación. En este documento, se explica cómo se pueden usar campos enriquecidos con ubicación geográfica cuando se realizan búsquedas de investigación.

Se puede acceder a los campos de UDM enriquecidos por ubicación geográfica a través de la búsqueda de UDM, como se muestra en los siguientes ejemplos.

Buscar por nombre de país (country_or_region)

target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"

Buscar por estado

target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"

Cómo buscar por longitud y latitud

principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474

Realiza búsquedas por zonas geográficas de destino no autorizadas

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.location.country_or_region = "Cuba" OR
    target.ip_geo_artifact.location.country_or_region = "Iran" OR
    target.ip_geo_artifact.location.country_or_region = "North Korea" OR
    target.ip_geo_artifact.location.country_or_region = "Russia" OR
    target.ip_geo_artifact.location.country_or_region = "Syria"
)

Buscar por número de sistema autónomo (ASN)

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.asn = 33915
)

Por nombre de la organización

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.organization_name = "google"
)

Por nombre de la empresa de transporte

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.carrier_name = "google llc"
)

Por dominio DNS

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.dns_domain = "lightower.net"
)

Consulta los campos enriquecidos con ubicación geográfica en la cuadrícula de UDM

Los campos enriquecidos para ubicación geográfica se muestran en las vistas de cuadrícula de UDM, incluidas las de la Búsqueda de UDM. Vista de detección, Vista de usuario y Visualizador de eventos.

¿Qué sigue?

Obtén información para usar datos enriquecidos con otras operaciones de seguridad de Google , consulta lo siguiente: