Esta página foi traduzida pela API Cloud Translation.

Usar dados enriquecidos com contexto na pesquisa

Compatível com:

Google SecOps SIEM

Para ajudar os analistas de segurança durante uma investigação, o Google Security Operations ingere dados contextuais de diferentes fontes, normaliza os dados ingeridos e fornece mais contexto sobre artefatos em um ambiente do cliente. Este documento mostra exemplos de como os analistas podem usar dados contextualmente enriquecidos na pesquisa.

Para mais informações sobre o enriquecimento de dados, consulte Como o Google SecOps enriquece dados de eventos e entidades.

Usar campos de metadados enriquecidos pelo VirusTotal na pesquisa

O exemplo a seguir encontra um módulo de processo que carrega um arquivo kernel32.dll em um processo específico.

metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"

Usar campos enriquecidos com geolocalização na pesquisa

O Google SecOps enriquece eventos que contêm endereços IP externo com dados de geolocalização. Isso fornece mais contexto durante uma investigação. Este documento explica como usar campos enriquecidos com geolocalização ao fazer pesquisas investigativas.

Os campos de UDM enriquecidos com geolocalização podem ser acessados por meio da pesquisa, conforme mostrado nos exemplos a seguir:

Pesquisar pelo nome do país (country_or_region)

target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"

Pesquisar por estado

target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"

Pesquisar por longitude e latitude

principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474

Pesquisar por regiões geográficas de destino não autorizadas

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.location.country_or_region = "Cuba" OR
    target.ip_geo_artifact.location.country_or_region = "Iran" OR
    target.ip_geo_artifact.location.country_or_region = "North Korea" OR
    target.ip_geo_artifact.location.country_or_region = "Russia" OR
    target.ip_geo_artifact.location.country_or_region = "Syria"
)

Pesquisar pelo número de sistema autônomo (ASN)

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.asn = 33915
)

Por nome da organização

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.organization_name = "google"
)

Por nome da transportadora

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.carrier_name = "google llc"
)

Por domínio DNS

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.dns_domain = "lightower.net"
)

Ver campos enriquecidos com geolocalização na grade da UDM

Os campos enriquecidos com geolocalização são mostrados nas visualizações em grade da UDM, incluindo as da pesquisa, da visualização de detecção, da visualização do usuário e do visualizador de eventos.

A seguir

Para informações sobre como usar dados enriquecidos com outros recursos do Google SecOps, consulte o seguinte:

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.