Utiliser des données enrichies de contexte dans la recherche UDM

Compatible avec:

Pour aider les analystes de sécurité lors d'une enquête, Google Security Operations ingère des données contextuelles provenant de différentes sources, les normalise et fournit un contexte supplémentaire sur les artefacts dans un environnement client. Ce document fournit des exemples d'utilisation des données enrichies de contexte dans la recherche UDM.

Pour en savoir plus sur l'enrichissement des données, consultez Comment Google Security Operations enrichit les données sur les événements et les entités.

L'exemple suivant recherche un module de processus qui charge un fichier kernel32.dll dans un processus particulier.

metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"

Google Security Operations enrichit les événements contenant des adresses IP externes avec des données de géolocalisation. Cela fournit un contexte supplémentaire lors d'une enquête. Ce document explique comment utiliser des champs enrichis de géolocalisation lorsque vous effectuez des recherches d'investigation.

Les champs UDM enrichis de géolocalisation sont accessibles via la recherche UDM, comme illustré dans les exemples suivants.

Rechercher par nom de pays (country_or_region)

target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"

Rechercher par État

target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"

Rechercher par longitude et latitude

principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474

Rechercher par zones géographiques cibles non autorisées

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.location.country_or_region = "Cuba" OR
    target.ip_geo_artifact.location.country_or_region = "Iran" OR
    target.ip_geo_artifact.location.country_or_region = "North Korea" OR
    target.ip_geo_artifact.location.country_or_region = "Russia" OR
    target.ip_geo_artifact.location.country_or_region = "Syria"
)

Rechercher par numéro de système autonome (ASN)

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.asn = 33915
)

Par nom de l'organisation

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.organization_name = "google"
)

Par nom de l'opérateur

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.carrier_name = "google llc"
)

Par domaine DNS

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.dns_domain = "lightower.net"
)

Afficher les champs enrichis de géolocalisation dans la grille UDM

Les champs enrichis de géolocalisation s'affichent dans les vues de grille UDM, y compris celles de la recherche UDM, de la vue de détection, de la vue utilisateur et de l'aperçu des événements.

Étape suivante

Pour savoir comment utiliser les données enrichies avec d'autres fonctionnalités Google Security Operations, consultez les ressources suivantes: