Questa pagina è stata tradotta dall'API Cloud Translation.

Utilizzare i dati arricchiti dal contesto nella ricerca UDM

Supportato in:

Google SecOps SIEM

Per supportare gli analisti della sicurezza durante un'indagine, Google Security Operations importa i dati contestuali da diverse origini, li normalizza e fornisce un contesto aggiuntivo sugli elementi in un ambiente del cliente. Questo documento fornisce esempi di come gli analisti possono utilizzare i dati arricchiti dal contesto nella ricerca UDM.

Per ulteriori informazioni sull'arricchimento dei dati, consulta l'articolo In che modo Google Security Operations arricchisce i dati su eventi ed entità.

Utilizzare i campi dei metadati arricchiti di VirusTotal nella ricerca UDM

L'esempio seguente trova un modulo di processo che carica un file kernel32.dll in un determinato processo.

metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"

Utilizzare i campi con dati geografici nella ricerca UDM

Google Security Operations arricchisce gli eventi contenenti indirizzi IP esterni con dati sulla geolocalizzazione. Ciò fornisce un contesto aggiuntivo durante un'indagine. Questo documento spiega come utilizzare i campi con dati sulla geolocalizzazione quando esegui ricerche investigative.

È possibile accedere ai campi UDM con dati sulla geolocalizzazione tramite la ricerca UDM, come mostrato negli esempi seguenti.

Ricerca per nome del paese (country_or_region)

target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"

Cerca per stato

target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"

Cercare per longitudine e latitudine

principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474

Ricerca per aree geografiche di destinazione non autorizzate

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.location.country_or_region = "Cuba" OR
    target.ip_geo_artifact.location.country_or_region = "Iran" OR
    target.ip_geo_artifact.location.country_or_region = "North Korea" OR
    target.ip_geo_artifact.location.country_or_region = "Russia" OR
    target.ip_geo_artifact.location.country_or_region = "Syria"
)

Cercare per numero di sistema autonomo (ASN)

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.asn = 33915
)

Per nome dell'organizzazione

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.organization_name = "google"
)

Per nome dell'operatore

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.carrier_name = "google llc"
)

Per dominio DNS

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.dns_domain = "lightower.net"
)

Visualizzare i campi con informazioni aggiuntive sulla geolocalizzazione nella griglia UDM

I campi con dati sulla geolocalizzazione vengono visualizzati nelle visualizzazioni della griglia di UDM, tra cui quelle in Ricerca UDM, Visualizzazione rilevamento, Visualizzazione utente e Visualizzatore eventi.

Passaggi successivi

Per informazioni su come utilizzare i dati arricchiti con altre funzionalità di Google Security Operations, consulta quanto segue: