Utilizzare i dati arricchiti dal contesto nei report

Supportato in:

Per supportare le indagini sulla sicurezza, Google Security Operations importa i dati contestuali da diverse origini, esegue analisi sui dati importati e fornisce un contesto aggiuntivo sugli elementi in un ambiente del cliente. Questo documento fornisce esempi di come gli analisti possono utilizzare i dati arricchiti contestuali nelle dashboard e negli schemi di Google Security Operations in BigQuery.

Per ulteriori informazioni sull'arricchimento dei dati, consulta l'articolo In che modo Google Security Operations arricchisce i dati su eventi ed entità.

Utilizzare dati arricchiti con la geolocalizzazione

Gli eventi UDM possono includere dati arricchiti con geolocalizzazione per fornire contesto aggiuntivo durante un'indagine. Quando gli eventi UDM vengono esportati in BigQuery, vengono esportati anche questi campi. Questa sezione spiega come utilizzare i campi con dati geografici integrati durante la creazione dei report.

Esegui query sui dati nello schema events

È possibile eseguire query sui dati sulla geolocalizzazione utilizzando lo schema events di Google Security Operations in BigQuery. L'esempio seguente è una query SQL che restituisce risultati aggregati per tutti gli eventi USER_LOGIN per utente e paese, nonché con la prima e l'ultima volta osservata.

SELECT
 ip_geo_artifact.location.country_or_region,
 COUNT(ip_geo_artifact.location.country_or_region) AS count_country,
 ip_geo_artifact.location.state,
 COUNT(ip_geo_artifact.location.state) AS count_state,
 target.user.email_addresses[ORDINAL(1)] AS principal_user,
 TIMESTAMP_SECONDS(MIN(metadata.event_timestamp.seconds)) AS first_observed,
 TIMESTAMP_SECONDS(MAX(metadata.event_timestamp.seconds)) AS last_observed,
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
GROUP BY 1,3,5
HAVING count_country > 0
ORDER BY count_country DESC

La tabella seguente contiene un esempio dei risultati che potrebbero essere restituiti.

country_or_region count_country state count_state principal_user first_observed last_observed
Netherlands 5 North Holland 5 admin@acme.com 2023-01-11 14:32:51 UTC 2023-01-11 14:32:51 UTC
Israel 1 Tel Aviv District 1 omri@acme.com 2023-01-11 10:09:32 UTC 2023-01-11 15:26:38 UTC

La seguente query SQL illustra come rilevare la distanza tra due località.

SELECT
DISTINCT principal_user,
(ST_DISTANCE(north_pole,user_location)/1000) AS distance_to_north_pole_km
FROM (
  SELECT
    ST_GeogPoint(135.00,90.00) AS north_pole,
    ST_GeogPoint(ip_geo_artifact.location.region_coordinates.longitude, ip_geo_artifact.location.region_coordinates.latitude) AS user_location,
    target.user.email_addresses[ORDINAL(1)] AS principal_user
  FROM `datalake.events`,
  UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
  WHERE DATE(hour_time_bucket) = "2023-01-11"
  AND metadata.event_type = 15001
  AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
  AND ip_geo_artifact.location.country_or_region != ""
)
ORDER BY 2 DESC

La tabella seguente contiene un esempio dei risultati che potrebbero essere restituiti.

principal_user distance_to_north_pole_km
omri@acme.com 6438.98507
admin@acme.com 4167.527018

Puoi ottenere query leggermente più utili sfruttando i poligoni di area per calcolare un'area ragionevole per i viaggi da una posizione in un determinato intervallo. Puoi anche controllare se più valori geografici corrispondono per identificare i rilevamenti di viaggi impossibili. Queste soluzioni richiedono un'origine dati di geolocalizzazione accurata e coerente.

Visualizzare i campi con informazioni aggiuntive nelle dashboard

Puoi anche creare una dashboard utilizzando i campi UDM arricchiti con la geolocalizzazione. Il grafico mostra la città di ogni evento UDM. Puoi modificare il tipo di grafico per visualizzare i dati in un formato diverso.

Passaggi successivi

Per informazioni su come utilizzare i dati arricchiti con altre funzionalità di Google Security Operations, consulta quanto segue: