Esta página se ha traducido con Cloud Translation API.

Usar datos enriquecidos con contexto en la búsqueda

Disponible en:

SecOps de Google SIEM

Para ayudar a los analistas de seguridad durante una investigación, Google Security Operations ingiere datos contextuales de diferentes fuentes, normaliza los datos ingeridos y proporciona contexto adicional sobre los artefactos en un entorno de cliente. En este documento se muestran ejemplos de cómo pueden usar los analistas los datos enriquecidos contextuales en la búsqueda.

Para obtener más información sobre el enriquecimiento de datos, consulta el artículo Cómo enriquece Google SecOps los datos de eventos y entidades.

Usar campos de metadatos enriquecidos con VirusTotal en las búsquedas

En el siguiente ejemplo se busca un módulo de proceso que carga un archivo kernel32.dll en un proceso concreto.

metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"

Usar campos enriquecidos con geolocalización en la búsqueda

Google SecOps enriquece los eventos que contienen direcciones IP externas con datos de geolocalización. Esto proporciona contexto adicional durante una investigación. En este documento se explica cómo puede usar los campos enriquecidos con geolocalización al realizar búsquedas de investigación.

Se puede acceder a los campos de UDM enriquecidos con geolocalización mediante la búsqueda, como se muestra en los siguientes ejemplos:

Buscar por nombre de país (country_or_region)

target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"

Buscar por estado

target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"

Buscar por longitud y latitud

principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474

Búsquedas por zonas geográficas de destino no autorizadas

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.location.country_or_region = "Cuba" OR
    target.ip_geo_artifact.location.country_or_region = "Iran" OR
    target.ip_geo_artifact.location.country_or_region = "North Korea" OR
    target.ip_geo_artifact.location.country_or_region = "Russia" OR
    target.ip_geo_artifact.location.country_or_region = "Syria"
)

Buscar por número de sistema autónomo (ASN)

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.asn = 33915
)

Por nombre de la organización

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.organization_name = "google"
)

Por nombre de la empresa de transporte

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.carrier_name = "google llc"
)

Por dominio DNS

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.dns_domain = "lightower.net"
)

Ver campos enriquecidos con geolocalización en la cuadrícula de UDM

Los campos enriquecidos con geolocalización se muestran en las vistas de cuadrícula de UDM, incluidas las de Búsqueda, Vista de detección, Vista de usuario y Visor de eventos.

Siguientes pasos

Para obtener información sobre cómo usar datos enriquecidos con otras funciones de Google SecOps, consulta los siguientes artículos:

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.