レポートでコンテキストが拡充されたデータを使用する
セキュリティ調査をサポートするために、Google Security Operations はさまざまなソースからコンテキスト データを取り込み、取り込んだデータを分析して、お客様の環境内のアーティファクトに関する追加のコンテキストを提供します。このドキュメントには、アナリストが BigQuery 内のダッシュボードと Google Security Operations スキーマでコンテキスト拡充データを使用する方法の例を記載しています。
データ拡充の詳細については、Google Security Operations によるイベントデータとエンティティ データの拡充方法をご覧ください。
位置情報が拡充されたデータを使用する
UDM イベントには、調査中に追加のコンテキストを提供するため、位置情報が拡充されたデータが含まれる場合があります。UDM イベントが BigQuery にエクスポートされると、これらのフィールドもエクスポートされます。このセクションでは、レポートを作成する際に位置情報拡充フィールドを使用する方法について説明します。
events スキーマでデータにクエリを実行する
位置情報データは、BigQuery で Google Security Operations の events スキーマを使用してクエリを実行できます。次の例は、ユーザー、国、最初と最後の観測時間で、すべての USER_LOGIN イベントの集計結果を返す SQL クエリになります。
SELECT
ip_geo_artifact.location.country_or_region,
COUNT(ip_geo_artifact.location.country_or_region) AS count_country,
ip_geo_artifact.location.state,
COUNT(ip_geo_artifact.location.state) AS count_state,
target.user.email_addresses[ORDINAL(1)] AS principal_user,
TIMESTAMP_SECONDS(MIN(metadata.event_timestamp.seconds)) AS first_observed,
TIMESTAMP_SECONDS(MAX(metadata.event_timestamp.seconds)) AS last_observed,
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
GROUP BY 1,3,5
HAVING count_country > 0
ORDER BY count_country DESC
次の表に、返される可能性がある結果の例を示します。
| country_or_region | count_country | state | count_state | principal_user | first_observed | last_observed |
|---|---|---|---|---|---|---|
Netherlands |
5 | North Holland |
5 | admin@acme.com |
2023-01-11 14:32:51 UTC | 2023-01-11 14:32:51 UTC |
Israel |
1 | Tel Aviv District |
1 | omri@acme.com |
2023-01-11 10:09:32 UTC | 2023-01-11 15:26:38 UTC |
次の SQL クエリは、2 つの場所間の距離を検出する方法を示しています。
SELECT
DISTINCT principal_user,
(ST_DISTANCE(north_pole,user_location)/1000) AS distance_to_north_pole_km
FROM (
SELECT
ST_GeogPoint(135.00,90.00) AS north_pole,
ST_GeogPoint(ip_geo_artifact.location.region_coordinates.longitude, ip_geo_artifact.location.region_coordinates.latitude) AS user_location,
target.user.email_addresses[ORDINAL(1)] AS principal_user
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
AND ip_geo_artifact.location.country_or_region != ""
)
ORDER BY 2 DESC
次の表に、返される可能性がある結果の例を示します。
principal_user |
distance_to_north_pole_km |
|---|---|
omri@acme.com |
6438.98507 |
admin@acme.com |
4167.527018 |
地域ポリゴンを活用して、特定の間隔で旅行することが考えられる妥当なエリアを計算することで、クエリの有用性を若干改善できます。また、複数の地理値が一致しているかどうかを確認して、不可能な旅行の検出を特定できます。これらのソリューションでは、位置情報の正確で一貫性のあるデータソースを使用する必要があります。
ダッシュボードで拡張フィールドを表示する
位置情報が拡充された UDM フィールドを使用してダッシュボードを構築することもできます。グラフには、各 UDM イベントの都市が表示されます。グラフの種類を変更すると、データを別の形式で表示できます。
次のステップ
他の Google Security Operations 機能で拡充されたデータを使用する方法については、以下をご覧ください。