在搜索中使用丰富了背景信息的数据

支持的语言:

为了在调查期间为安全分析师提供支持,Google Security Operations 会从不同来源提取情境数据,对提取的数据进行标准化处理,并提供客户环境中有关制品的其他情境信息。本文档提供了一些示例,说明了分析师如何在搜索中使用情境丰富的数据。

如需详细了解数据扩充,请参阅 Google SecOps 如何扩充事件和实体数据

以下示例用于查找将 kernel32.dll 文件加载到特定进程中的进程模块。

metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"

Google SecOps 会使用地理定位数据来扩充包含外部 IP 地址的事件。这可在调查期间提供额外的背景信息。本文档介绍了如何在执行调查搜索时使用地理定位丰富字段。

可以通过搜索访问地理定位丰富型 UDM 字段,如以下示例所示:

按国家名称 (country_or_region) 搜索

target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"

按状态搜索

target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"

按经度和纬度搜索

principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474

按未经授权的目标地理位置搜索

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.location.country_or_region = "Cuba" OR
    target.ip_geo_artifact.location.country_or_region = "Iran" OR
    target.ip_geo_artifact.location.country_or_region = "North Korea" OR
    target.ip_geo_artifact.location.country_or_region = "Russia" OR
    target.ip_geo_artifact.location.country_or_region = "Syria"
)

按自治系统编号 (ASN) 搜索

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.asn = 33915
)

按组织名称

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.organization_name = "google"
)

按运输公司名称

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.carrier_name = "google llc"
)

按 DNS 网域

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.dns_domain = "lightower.net"
)

在 UDM 网格中查看地理位置扩展字段

地理位置丰富字段会显示在 UDM 网格视图中,包括搜索视图、检测视图、用户视图和事件查看器中的视图。

后续步骤

如需了解如何将丰富的数据与其他 Google SecOps 功能搭配使用,请参阅以下内容:

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。