Utilizzare dati arricchiti dal contesto nella ricerca

Per consentire agli analisti della sicurezza durante un'indagine, Google Security Operations acquisisce dati contestuali da diverse origini, normalizza i dati acquisiti e fornisce un contesto aggiuntivo sugli artefatti in un ambiente cliente. Questo documento fornisce esempi di come gli analisti possono utilizzare i dati arricchiti contestualmente nella ricerca.

Per saperne di più sull'arricchimento dei dati, vedi In che modo Google SecOps arricchisce i dati di eventi ed entità.

Utilizzare i campi dei metadati arricchiti con VirusTotal nella ricerca

L'esempio seguente trova un modulo di processo che carica un file kernel32.dll in un processo specifico.

metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"

Utilizzare i campi arricchiti con la geolocalizzazione nella ricerca

Google SecOps arricchisce gli eventi contenenti indirizzi IP esterni con dati di geolocalizzazione. In questo modo, durante un'indagine vengono fornite informazioni aggiuntive. Questo documento spiega come utilizzare i campi arricchiti con la geolocalizzazione quando esegui ricerche investigative.

È possibile accedere ai campi UDM arricchiti con la geolocalizzazione tramite la ricerca, come mostrato negli esempi seguenti:

Cerca per nome paese (country_or_region)

target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"

Cerca per stato

target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"

Cercare per longitudine e latitudine

principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474

Cerca per aree geografiche di destinazione non autorizzate

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.location.country_or_region = "Cuba" OR
    target.ip_geo_artifact.location.country_or_region = "Iran" OR
    target.ip_geo_artifact.location.country_or_region = "North Korea" OR
    target.ip_geo_artifact.location.country_or_region = "Russia" OR
    target.ip_geo_artifact.location.country_or_region = "Syria"
)

Cerca per numero di sistema autonomo (ASN)

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.asn = 33915
)

Per nome dell'organizzazione

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.organization_name = "google"
)

Per nome operatore

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.carrier_name = "google llc"
)

Per dominio DNS

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.dns_domain = "lightower.net"
)

Visualizzare i campi arricchiti con la geolocalizzazione nella griglia UDM

I campi arricchiti con la geolocalizzazione vengono visualizzati nelle visualizzazioni a griglia di UDM, incluse quelle in Ricerca, Visualizzazione rilevamento, Visualizzazione utente e Visualizzatore eventi.

Passaggi successivi

Per informazioni su come utilizzare i dati arricchiti con altre funzionalità di Google SecOps, consulta quanto segue:

• Utilizzare dati arricchiti dal contesto nelle regole.
• Utilizzare i dati arricchiti dal contesto nei report.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.