Menggunakan data yang diperkaya konteks dalam laporan

Didukung di:

Untuk mendukung investigasi keamanan, Google Security Operations menyerap data kontekstual dari berbagai sumber, melakukan analisis pada data yang diserap, dan memberikan konteks tambahan tentang artefak di lingkungan pelanggan. Dokumen ini memberikan contoh cara analis dapat menggunakan data yang diperkaya secara kontekstual di dasbor dan dalam skema Google Security Operations di BigQuery.

Untuk informasi selengkapnya tentang pengayaan data, lihat Cara Google Security Operations memperkaya data peristiwa dan entitas.

Menggunakan data yang diperkaya geolokasi

Peristiwa UDM dapat menyertakan data yang diperkaya geolokasi untuk memberikan konteks tambahan selama investigasi. Saat peristiwa UDM diekspor ke BigQuery, kolom ini juga diekspor. Bagian ini menjelaskan cara menggunakan kolom yang diperkaya geolokasi saat membuat laporan.

Membuat kueri data dalam skema events

Data geolokasi dapat dikueri menggunakan skema events Google Security Operations di BigQuery. Contoh berikut adalah kueri SQL yang menampilkan hasil gabungan untuk semua peristiwa USER_LOGIN menurut pengguna, negara, dan dengan waktu pengamatan pertama dan terakhir.

SELECT
 ip_geo_artifact.location.country_or_region,
 COUNT(ip_geo_artifact.location.country_or_region) AS count_country,
 ip_geo_artifact.location.state,
 COUNT(ip_geo_artifact.location.state) AS count_state,
 target.user.email_addresses[ORDINAL(1)] AS principal_user,
 TIMESTAMP_SECONDS(MIN(metadata.event_timestamp.seconds)) AS first_observed,
 TIMESTAMP_SECONDS(MAX(metadata.event_timestamp.seconds)) AS last_observed,
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
GROUP BY 1,3,5
HAVING count_country > 0
ORDER BY count_country DESC

Tabel berikut berisi contoh hasil yang mungkin ditampilkan.

country_or_region count_country state count_state principal_user first_observed last_observed
Netherlands 5 North Holland 5 admin@acme.com 2023-01-11 14:32:51 UTC 2023-01-11 14:32:51 UTC
Israel 1 Tel Aviv District 1 omri@acme.com 2023-01-11 10:09:32 UTC 2023-01-11 15:26:38 UTC

Kueri SQL berikut mengilustrasikan cara mendeteksi jarak antara dua lokasi.

SELECT
DISTINCT principal_user,
(ST_DISTANCE(north_pole,user_location)/1000) AS distance_to_north_pole_km
FROM (
  SELECT
    ST_GeogPoint(135.00,90.00) AS north_pole,
    ST_GeogPoint(ip_geo_artifact.location.region_coordinates.longitude, ip_geo_artifact.location.region_coordinates.latitude) AS user_location,
    target.user.email_addresses[ORDINAL(1)] AS principal_user
  FROM `datalake.events`,
  UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
  WHERE DATE(hour_time_bucket) = "2023-01-11"
  AND metadata.event_type = 15001
  AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
  AND ip_geo_artifact.location.country_or_region != ""
)
ORDER BY 2 DESC

Tabel berikut berisi contoh hasil yang mungkin ditampilkan.

principal_user distance_to_north_pole_km
omri@acme.com 6438.98507
admin@acme.com 4167.527018

Anda dapat mencapai kueri yang sedikit lebih berguna dengan memanfaatkan poligon area untuk menghitung area yang wajar untuk perjalanan dari lokasi dalam interval tertentu. Anda juga dapat memeriksa apakah beberapa nilai geografi cocok untuk mengidentifikasi deteksi perjalanan yang tidak mungkin. Solusi ini memerlukan sumber data geolokasi yang akurat dan konsisten.

Melihat kolom yang diperkaya di dasbor

Anda juga dapat membuat dasbor menggunakan kolom UDM yang diperkaya geolokasi. Diagram ini menampilkan kota dari setiap peristiwa UDM. Anda dapat mengubah jenis diagram untuk melihat data dalam format yang berbeda.

Langkah selanjutnya

Untuk informasi tentang cara menggunakan data yang diperkaya dengan fitur Google Security Operations lainnya, lihat hal berikut: