Utiliser des données enrichies en contexte dans les rapports
Pour mener à bien les enquêtes de sécurité, Google Security Operations ingère des données contextuelles à partir de différentes sources, analyse les données ingérées et fournit des informations supplémentaires sur les artefacts d'un environnement client. Ce document fournit des exemples montrant comment les analystes peuvent utiliser des données contextuelles enrichies dans des tableaux de bord et dans les schémas Google Security Operations dans BigQuery.
Pour en savoir plus sur l'enrichissement des données, consultez Comment Google Security Operations enrichit les données d'événement et d'entité.
Utiliser des données de géolocalisation enrichies
Les événements UDM peuvent inclure des données de géolocalisation pour fournir plus de contexte lors d'une investigation. Lorsque des événements UDM sont exportés vers BigQuery, ces champs le sont également. Cette section explique comment utiliser des champs enrichis en fonction de la géolocalisation lorsque vous créez des rapports.
Interroger les données dans le schéma events
Les données de géolocalisation peuvent être interrogées à l'aide du schéma events
de Google Security Operations dans BigQuery.
L'exemple suivant est une requête SQL qui renvoie les résultats agrégés pour tous les événements USER_LOGIN
par utilisateur, par pays, et avec les première et dernière heures observées.
SELECT
ip_geo_artifact.location.country_or_region,
COUNT(ip_geo_artifact.location.country_or_region) AS count_country,
ip_geo_artifact.location.state,
COUNT(ip_geo_artifact.location.state) AS count_state,
target.user.email_addresses[ORDINAL(1)] AS principal_user,
TIMESTAMP_SECONDS(MIN(metadata.event_timestamp.seconds)) AS first_observed,
TIMESTAMP_SECONDS(MAX(metadata.event_timestamp.seconds)) AS last_observed,
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
GROUP BY 1,3,5
HAVING count_country > 0
ORDER BY count_country DESC
Le tableau suivant contient un exemple de résultats pouvant être renvoyés.
country_or_region | count_country | state | count_state | principal_user | first_observed | last_observed |
---|---|---|---|---|---|---|
Netherlands |
5 | North Holland |
5 | admin@acme.com |
2023-01-11 14:32:51 UTC | 2023-01-11 14:32:51 UTC |
Israel |
1 | Tel Aviv District |
1 | omri@acme.com |
2023-01-11 10:09:32 UTC | 2023-01-11 15:26:38 UTC |
La requête SQL suivante montre comment détecter la distance entre deux points géographiques.
SELECT
DISTINCT principal_user,
(ST_DISTANCE(north_pole,user_location)/1000) AS distance_to_north_pole_km
FROM (
SELECT
ST_GeogPoint(135.00,90.00) AS north_pole,
ST_GeogPoint(ip_geo_artifact.location.region_coordinates.longitude, ip_geo_artifact.location.region_coordinates.latitude) AS user_location,
target.user.email_addresses[ORDINAL(1)] AS principal_user
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
AND ip_geo_artifact.location.country_or_region != ""
)
ORDER BY 2 DESC
Le tableau suivant contient un exemple de résultats pouvant être renvoyés.
principal_user |
distance_to_north_pole_km |
---|---|
omri@acme.com |
6438.98507 |
admin@acme.com |
4167.527018 |
Vous pouvez obtenir des requêtes légèrement plus utiles en utilisant les polygones de surface pour calculer une zone raisonnable pour le trajet depuis un lieu dans un intervalle donné. Vous pouvez également vérifier si plusieurs valeurs géographiques correspondent pour identifier les détections de déplacement impossibles. Ces solutions nécessitent de disposer d'une source de données de géolocalisation précise et cohérente.
Afficher les champs enrichis dans les tableaux de bord
Vous pouvez également créer un tableau de bord à l'aide de champs UDM enrichis basés sur la géolocalisation. Le graphique affiche la ville de chaque événement UDM. Vous pouvez modifier le type de graphique pour afficher les données sous un autre format.
Étapes suivantes
Pour en savoir plus sur l'utilisation des données enrichies avec d'autres fonctionnalités Google Security Operations, consultez les pages suivantes:
- Utilisez des données enrichies en contexte dans les règles.
- Utilisez des données enrichies en contexte dans la recherche UDM.