在搜索中使用丰富了背景信息的数据
支持的语言:
Google SecOps
SIEM
为了在调查期间为安全分析师提供支持,Google Security Operations 会从不同来源提取情境数据,对提取的数据进行标准化处理,并提供客户环境中有关制品的其他情境信息。本文档提供了一些示例,说明了分析师如何在搜索中使用情境丰富的数据。
如需详细了解数据扩充,请参阅 Google SecOps 如何扩充事件和实体数据。
在搜索中使用 VirusTotal 扩充的元数据字段
以下示例用于查找将 kernel32.dll
文件加载到特定进程中的进程模块。
metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"
在搜索中使用地理位置丰富字段
Google SecOps 会使用地理定位数据来扩充包含外部 IP 地址的事件。这可在调查期间提供额外的背景信息。本文档介绍了如何在执行调查搜索时使用地理定位丰富字段。
可以通过搜索访问地理定位丰富型 UDM 字段,如以下示例所示:
按国家名称 (country_or_region) 搜索
target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"
按状态搜索
target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"
按经度和纬度搜索
principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474
按未经授权的目标地理位置搜索
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.location.country_or_region = "Cuba" OR
target.ip_geo_artifact.location.country_or_region = "Iran" OR
target.ip_geo_artifact.location.country_or_region = "North Korea" OR
target.ip_geo_artifact.location.country_or_region = "Russia" OR
target.ip_geo_artifact.location.country_or_region = "Syria"
)
按自治系统编号 (ASN) 搜索
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.asn = 33915
)
按组织名称
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.organization_name = "google"
)
按运输公司名称
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.carrier_name = "google llc"
)
按 DNS 网域
metadata.event_type = "NETWORK_CONNECTION" AND
(
target.ip_geo_artifact.network.dns_domain = "lightower.net"
)
在 UDM 网格中查看地理位置扩展字段
地理位置丰富字段会显示在 UDM 网格视图中,包括搜索视图、检测视图、用户视图和事件查看器中的视图。
后续步骤
如需了解如何将丰富的数据与其他 Google SecOps 功能搭配使用,请参阅以下内容:
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。