Utilizzare dati arricchiti del contesto nei report

Per supportare le indagini sulla sicurezza, Google Security Operations importa dati contestuali provenienti da origini diverse, esegue analisi sui dati importati e fornisce un contesto aggiuntivo sugli artefatti in un ambiente del cliente. Questo documento fornisce esempi di come gli analisti possono utilizzare dati arricchiti contestuali nelle dashboard e negli schemi di Google Security Operations in BigQuery.

Per ulteriori informazioni sull'arricchimento dei dati, consulta l'articolo In che modo Google Security Operations arricchisce i dati su eventi ed entità.

Utilizza dati arricchiti di geolocalizzazione

Gli eventi UDM possono includere dati estesi di geolocalizzazione per fornire ulteriore contesto durante un'indagine. Quando gli eventi UDM vengono esportati in BigQuery, vengono esportati anche questi campi. Questa sezione spiega come utilizzare i campi con dati geografici integrati durante la creazione dei report.

Esegui query sui dati nello schema events

È possibile eseguire query sui dati sulla geolocalizzazione utilizzando lo schema events di Google Security Operations in BigQuery. L'esempio seguente è una query SQL che restituisce risultati aggregati per tutti gli eventi USER_LOGIN per utente e paese, nonché con la prima e l'ultima volta osservata.

SELECT
 ip_geo_artifact.location.country_or_region,
 COUNT(ip_geo_artifact.location.country_or_region) AS count_country,
 ip_geo_artifact.location.state,
 COUNT(ip_geo_artifact.location.state) AS count_state,
 target.user.email_addresses[ORDINAL(1)] AS principal_user,
 TIMESTAMP_SECONDS(MIN(metadata.event_timestamp.seconds)) AS first_observed,
 TIMESTAMP_SECONDS(MAX(metadata.event_timestamp.seconds)) AS last_observed,
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
GROUP BY 1,3,5
HAVING count_country > 0
ORDER BY count_country DESC

La tabella seguente contiene un esempio dei risultati che potrebbero essere restituiti.

La seguente query SQL illustra come rilevare la distanza tra due località.

SELECT
DISTINCT principal_user,
(ST_DISTANCE(north_pole,user_location)/1000) AS distance_to_north_pole_km
FROM (
  SELECT
    ST_GeogPoint(135.00,90.00) AS north_pole,
    ST_GeogPoint(ip_geo_artifact.location.region_coordinates.longitude, ip_geo_artifact.location.region_coordinates.latitude) AS user_location,
    target.user.email_addresses[ORDINAL(1)] AS principal_user
  FROM `datalake.events`,
  UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
  WHERE DATE(hour_time_bucket) = "2023-01-11"
  AND metadata.event_type = 15001
  AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
  AND ip_geo_artifact.location.country_or_region != ""
)
ORDER BY 2 DESC

La tabella seguente contiene un esempio dei risultati che potrebbero essere restituiti.

Puoi ottenere query leggermente più utili sfruttando i poligoni di area per calcolare un'area ragionevole per i viaggi da una posizione in un determinato intervallo. Puoi anche controllare se più valori geografici corrispondono per identificare i rilevamenti di viaggi impossibili. Queste soluzioni richiedono un'origine dati di geolocalizzazione accurata e coerente.

Visualizzare i campi con informazioni aggiuntive nelle dashboard

Puoi anche creare una dashboard utilizzando campi UDM arricchiti di geolocalizzazione. Il grafico mostra la città di ogni evento UDM. Puoi modificare il tipo di grafico per visualizzare i dati in un formato diverso.

Passaggi successivi

Per informazioni su come utilizzare i dati arricchiti con altre funzionalità di Google Security Operations, consulta quanto segue:

• Utilizza i dati arricchiti dal contesto nelle regole.
• Utilizza i dati arricchiti dal contesto nella ricerca UDM.