Esta página foi traduzida pela API Cloud Translation.

Use dados enriquecidos com contexto na pesquisa

Compatível com:

Google secops SIEM

Para permitir que os analistas de segurança durante uma investigação, o Google Security Operations carrega dados contextuais de diferentes origens, normaliza os dados carregados e fornece contexto adicional sobre artefactos num ambiente do cliente. Este documento fornece exemplos de como os analistas podem usar dados enriquecidos contextualmente na pesquisa.

Para mais informações sobre o enriquecimento de dados, consulte o artigo Como o Google SecOps enriquece os dados de eventos e entidades.

Use campos de metadados enriquecidos com o VirusTotal na pesquisa

O exemplo seguinte encontra um módulo de processo que carrega um kernel32.dll ficheiro num processo específico.

metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"

Use campos enriquecidos com geolocalização na pesquisa

O Google SecOps enriquece os eventos que contêm endereços IP externos com dados de geolocalização. Isto fornece contexto adicional durante uma investigação. Este documento explica como pode usar campos enriquecidos com geolocalização quando faz pesquisas de investigação.

Pode aceder aos campos UDM enriquecidos com geolocalização através da pesquisa, conforme mostrado nos exemplos seguintes:

Pesquise por nome do país (country_or_region)

target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"

Pesquise por estado

target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"

Pesquise por longitude e latitude

principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474

Pesquisa por geografias de destino não autorizadas

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.location.country_or_region = "Cuba" OR
    target.ip_geo_artifact.location.country_or_region = "Iran" OR
    target.ip_geo_artifact.location.country_or_region = "North Korea" OR
    target.ip_geo_artifact.location.country_or_region = "Russia" OR
    target.ip_geo_artifact.location.country_or_region = "Syria"
)

Pesquise pelo número do sistema autónomo (ASN)

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.asn = 33915
)

Por nome da organização

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.organization_name = "google"
)

Por nome da operadora

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.carrier_name = "google llc"
)

Por domínio DNS

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.dns_domain = "lightower.net"
)

Veja campos enriquecidos com geolocalização na grelha de UDM

Os campos enriquecidos com geolocalização são apresentados nas vistas de grelha de UDM, incluindo as vistas de pesquisa, de deteção, de utilizador e o visualizador de eventos.

O que se segue?

Para obter informações sobre como usar dados enriquecidos com outras funcionalidades do Google SecOps, consulte o seguinte:

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.