보고서에서 컨텍스트 보강 데이터 사용

다음에서 지원:

보안 조사를 지원하기 위해 Google Security Operations는 다양한 소스의 문맥 데이터를 수집하고 수집된 데이터를 분석하며 고객 환경의 아티팩트에 대한 추가 컨텍스트를 제공합니다. 이 문서에서는 분석가가 대시보드와 BigQuery의 Google Security Operations 스키마에서 컨텍스트 보강 데이터를 사용하는 방법의 예시를 제공합니다.

데이터 보강에 대한 자세한 내용은 Google Security Operations에서 이벤트 및 항목 데이터를 보강하는 방법을 참조하세요.

위치정보가 보강된 데이터 사용

UDM 이벤트에는 조사 중에 추가 컨텍스트를 제공하기 위해 위치정보가 보강된 데이터가 포함될 수 있습니다. UDM 이벤트를 BigQuery로 내보내면 이러한 필드도 내보냅니다. 이 섹션에서는 보고서를 만들 때 위치정보가 강화된 필드를 사용하는 방법을 설명합니다.

events 스키마에서 데이터 쿼리

BigQuery에서 Google Security Operations events 스키마를 사용하여 위치정보 데이터를 쿼리할 수 있습니다. 다음 예시는 사용자, 국가, 처음 관측된 시간 및 마지막 관측 시간을 기준으로 모든 USER_LOGIN 이벤트에 대한 집계 결과를 반환하는 SQL 쿼리입니다.

SELECT
 ip_geo_artifact.location.country_or_region,
 COUNT(ip_geo_artifact.location.country_or_region) AS count_country,
 ip_geo_artifact.location.state,
 COUNT(ip_geo_artifact.location.state) AS count_state,
 target.user.email_addresses[ORDINAL(1)] AS principal_user,
 TIMESTAMP_SECONDS(MIN(metadata.event_timestamp.seconds)) AS first_observed,
 TIMESTAMP_SECONDS(MAX(metadata.event_timestamp.seconds)) AS last_observed,
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
GROUP BY 1,3,5
HAVING count_country > 0
ORDER BY count_country DESC

다음 표에는 반환될 수 있는 결과 예시가 포함됩니다.

country_or_region count_country state count_state principal_user first_observed last_observed
Netherlands 5 North Holland 5 admin@acme.com 2023-01-11 14:32:51 UTC 2023-01-11 14:32:51 UTC
Israel 1 Tel Aviv District 1 omri@acme.com 2023-01-11 10:09:32 UTC 2023-01-11 15:26:38 UTC

다음 SQL 쿼리에서는 두 위치 사이의 거리를 감지하는 방법을 보여줍니다.

SELECT
DISTINCT principal_user,
(ST_DISTANCE(north_pole,user_location)/1000) AS distance_to_north_pole_km
FROM (
  SELECT
    ST_GeogPoint(135.00,90.00) AS north_pole,
    ST_GeogPoint(ip_geo_artifact.location.region_coordinates.longitude, ip_geo_artifact.location.region_coordinates.latitude) AS user_location,
    target.user.email_addresses[ORDINAL(1)] AS principal_user
  FROM `datalake.events`,
  UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
  WHERE DATE(hour_time_bucket) = "2023-01-11"
  AND metadata.event_type = 15001
  AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
  AND ip_geo_artifact.location.country_or_region != ""
)
ORDER BY 2 DESC

다음 표에는 반환될 수 있는 결과 예시가 포함됩니다.

principal_user distance_to_north_pole_km
omri@acme.com 6438.98507
admin@acme.com 4167.527018

영역 다각형을 활용해서 지정된 간격으로 특정 위치에서 이동할 합리적 영역을 계산하는 방식으로 약간 더 유용한 쿼리를 얻을 수 있습니다. 또한 불가능한 이동 감지를 식별하기 위해 여러 지역 값이 일치하는지 여부를 확인할 수 있습니다. 이러한 솔루션은 정확하고 일관적인 위치정보 데이터 소스가 필요합니다.

대시보드에서 보강된 필드 보기

또한 위치정보가 보강된 UDM 필드를 사용해서 대시보드를 빌드할 수 있습니다. 차트에는 각 UDM 이벤트의 도시가 표시됩니다. 차트 유형을 변경하여 데이터를 다른 형식으로 볼 수 있습니다.

다음 단계

다른 Google Security Operations 기능과 함께 보강된 데이터를 사용하는 방법은 다음을 참조하세요.