在报告中使用经过情境丰富的数据
为了支持安全调查,Google Security Operations 会从不同来源提取情境数据,对提取的数据执行分析,并提供有关客户环境中工件的其他背景信息。本文档举例说明分析师如何在信息中心和 BigQuery 的 Google Security Operations 架构中使用上下文丰富的数据。
如需详细了解数据丰富功能,请参阅 Google Security Operations 如何丰富事件和实体数据。
使用经过地理定位的数据
UDM 事件可能包含丰富地理定位的数据,以便在调查期间提供额外的背景信息。将 UDM 事件导出到 BigQuery 时,这些字段也会一并导出。本部分将介绍在创建报表时如何使用添加了地理位置信息的字段。
查询 events 架构中的数据
您可以使用 BigQuery 中的 Google Security Operations events 架构查询地理定位数据。以下示例是一个 SQL 查询,它按用户、国家/地区以及观察到的首次和最后一次时间返回所有 USER_LOGIN 事件的汇总结果。
SELECT
ip_geo_artifact.location.country_or_region,
COUNT(ip_geo_artifact.location.country_or_region) AS count_country,
ip_geo_artifact.location.state,
COUNT(ip_geo_artifact.location.state) AS count_state,
target.user.email_addresses[ORDINAL(1)] AS principal_user,
TIMESTAMP_SECONDS(MIN(metadata.event_timestamp.seconds)) AS first_observed,
TIMESTAMP_SECONDS(MAX(metadata.event_timestamp.seconds)) AS last_observed,
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
GROUP BY 1,3,5
HAVING count_country > 0
ORDER BY count_country DESC
下表包含可能返回的结果示例。
| country_or_region | count_country | state | count_state | principal_user | first_observed | last_observed |
|---|---|---|---|---|---|---|
Netherlands |
5 | North Holland |
5 | admin@acme.com |
2023-01-11 14:32:51 UTC | 2023-01-11 14:32:51 UTC |
Israel |
1 | Tel Aviv District |
1 | omri@acme.com |
2023-01-11 10:09:32 UTC | 2023-01-11 15:26:38 UTC |
以下 SQL 查询说明了如何检测两个位置之间的距离。
SELECT
DISTINCT principal_user,
(ST_DISTANCE(north_pole,user_location)/1000) AS distance_to_north_pole_km
FROM (
SELECT
ST_GeogPoint(135.00,90.00) AS north_pole,
ST_GeogPoint(ip_geo_artifact.location.region_coordinates.longitude, ip_geo_artifact.location.region_coordinates.latitude) AS user_location,
target.user.email_addresses[ORDINAL(1)] AS principal_user
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
AND ip_geo_artifact.location.country_or_region != ""
)
ORDER BY 2 DESC
下表包含可能返回的结果示例。
principal_user |
distance_to_north_pole_km |
|---|---|
omri@acme.com |
6438.98507 |
admin@acme.com |
4167.527018 |
您可以利用区域多边形计算在给定时间间隔内从某个位置出发的合理行程区域,从而实现稍微有用的查询。您还可以检查多个地理位置值是否匹配,以识别不可能的旅行检测。这些解决方案要求具有准确且一致的地理定位数据源。
查看信息中心内的丰富字段
您还可以使用包含地理定位信息的 UDM 字段构建信息中心。该图表会显示每个 UDM 事件所在的城市。您可以更改图表类型,以不同的格式查看数据。
后续步骤
如需了解如何将丰富数据与其他 Google Security Operations 功能搭配使用,请参阅以下内容: