在搜尋中使用脈絡豐富的資料

支援的國家/地區:

為協助安全分析師進行調查,Google Security Operations 會從不同來源擷取情境資料、將擷取的資料正規化,並提供客戶環境中構件的其他情境資訊。本文提供範例,說明分析師如何在搜尋中運用內容豐富的資料。

如要進一步瞭解資料擴充功能,請參閱「Google SecOps 如何擴充事件和實體資料」。

以下範例會找出將 kernel32.dll 檔案載入特定程序的程序模組。

metadata.event_type = "PROCESS_MODULE_LOAD" AND
target.file.file_type = "FILE_TYPE_PE_EXE" AND
target.file.pe_file.imports.library = "kernel32.dll"

Google SecOps 會使用地理位置資料,擴充含有外部 IP 位址的事件。 這有助於在調查期間提供額外背景資訊。本文說明如何使用地理位置資訊豐富的欄位執行調查搜尋。

您可以透過搜尋存取地理位置資訊豐富的 UDM 欄位,如下列範例所示:

依國家/地區名稱 (country_or_region) 搜尋

target.ip_geo_artifact.location.country_or_region = "Netherlands" OR
principal.ip_geo_artifact.location.country_or_region = "Netherlands"

依狀態搜尋

target.ip_geo_artifact.location.state = "North Holland" OR
principal.ip_geo_artifact.location.state = "North Holland"

依經緯度搜尋

principal.location.region_latitude = 52.520588 AND principal.location.region_longitude = 4.788474

依未經授權的目標地理區域搜尋

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.location.country_or_region = "Cuba" OR
    target.ip_geo_artifact.location.country_or_region = "Iran" OR
    target.ip_geo_artifact.location.country_or_region = "North Korea" OR
    target.ip_geo_artifact.location.country_or_region = "Russia" OR
    target.ip_geo_artifact.location.country_or_region = "Syria"
)

依自治系統編號 (ASN) 搜尋

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.asn = 33915
)

依機構名稱

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.organization_name = "google"
)

依貨運公司名稱

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.carrier_name = "google llc"
)

依 DNS 網域

metadata.event_type = "NETWORK_CONNECTION" AND
(
    target.ip_geo_artifact.network.dns_domain = "lightower.net"
)

在 UDM 格線中查看經過地理位置資訊補充的欄位

在 UDM 格狀檢視畫面中,會顯示經過地理位置資訊擴充的欄位,包括搜尋、偵測檢視畫面、使用者檢視畫面和事件檢視畫面。

後續步驟

如要瞭解如何將強化資料與其他 Google SecOps 功能搭配使用,請參閱下列文章:

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。