Cette page a été traduite par l'API Cloud Translation.

Utiliser des données enrichies par le contexte dans la recherche

Compatible avec :

Google SecOps SIEM

Pour aider les analystes en sécurité lors d'une investigation, Google Security Operations ingère des données contextuelles provenant de différentes sources, les normalise et fournit un contexte supplémentaire sur les artefacts dans un environnement client. Ce document fournit des exemples de la façon dont les analystes peuvent utiliser les données enrichies contextuellement dans la recherche.

Pour en savoir plus sur l'enrichissement des données, consultez Comment Google SecOps enrichit les données d'événements et d'entités.

Utiliser les champs de métadonnées enrichis par VirusTotal dans la recherche

L'exemple suivant recherche un module de processus qui charge un fichier kernel32.dll dans un processus particulier.

metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"

Utiliser des champs enrichis par la géolocalisation dans la recherche

Google SecOps enrichit les événements contenant des adresses IP externes avec des données de géolocalisation. Cela fournit un contexte supplémentaire lors d'une enquête. Ce document explique comment utiliser les champs enrichis par la géolocalisation lorsque vous effectuez des recherches d'investigation.

Vous pouvez accéder aux champs UDM enrichis par géolocalisation via la recherche, comme illustré dans les exemples suivants :

Rechercher par nom de pays (country_or_region)

target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"

Rechercher par État

target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"

Rechercher par longitude et latitude

principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474

Rechercher par zones géographiques cibles non autorisées

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.location.country_or_region = "Cuba" OR
    target.ip_geo_artifact.location.country_or_region = "Iran" OR
    target.ip_geo_artifact.location.country_or_region = "North Korea" OR
    target.ip_geo_artifact.location.country_or_region = "Russia" OR
    target.ip_geo_artifact.location.country_or_region = "Syria"
)

Rechercher par numéro de système autonome (ASN)

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.asn = 33915
)

Par nom d'organisation

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.organization_name = "google"
)

Par nom de transporteur

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.carrier_name = "google llc"
)

Par domaine DNS

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.dns_domain = "lightower.net"
)

Afficher les champs enrichis par géolocalisation dans la grille UDM

Les champs enrichis par la géolocalisation s'affichent dans les grilles de vue UDM, y compris dans les vues Recherche, Détection, Utilisateur et Observateur d'événements.

Étapes suivantes

Pour savoir comment utiliser les données enrichies avec d'autres fonctionnalités Google SecOps, consultez les pages suivantes :

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.