Kontextangereicherte Daten in Berichten verwenden
Zur Unterstützung von Sicherheitsprüfungen nimmt Google Security Operations kontextbezogene Daten aus verschiedenen Quellen auf, analysiert die aufgenommenen Daten und bietet zusätzlichen Kontext zu Artefakten in einer Kundenumgebung. Dieses Dokument enthält Beispiele dafür, wie Analysten kontextbezogene angereicherte Daten in Dashboards und in Google Security Operations-Schemas in BigQuery verwenden können.
Weitere Informationen zur Datenanreicherung finden Sie unter Wie Google Security Operations Ereignis- und Entitätsdaten anreichert.
Mit der Standortbestimmung angereicherte Daten verwenden
UDM-Ereignisse können mit der Standortbestimmung angereicherte Daten enthalten, um während einer Prüfung zusätzlichen Kontext zu liefern. Beim Exportieren von UDM-Ereignissen nach BigQuery werden diese Felder ebenfalls exportiert. In diesem Abschnitt wird erläutert, wie Sie beim Erstellen von Berichten Felder verwenden, die mit der Standortbestimmung angereichert sind.
Daten im Schema events abfragen
Daten zur Standortbestimmung können mit dem events-Schema von Google Security Operations in BigQuery abgefragt werden.
Das folgende Beispiel ist eine SQL-Abfrage, die aggregierte Ergebnisse für alle USER_LOGIN-Ereignisse nach Nutzer, Land und dem ersten und letzten erfassten Zeitpunkt zurückgibt.
SELECT
ip_geo_artifact.location.country_or_region,
COUNT(ip_geo_artifact.location.country_or_region) AS count_country,
ip_geo_artifact.location.state,
COUNT(ip_geo_artifact.location.state) AS count_state,
target.user.email_addresses[ORDINAL(1)] AS principal_user,
TIMESTAMP_SECONDS(MIN(metadata.event_timestamp.seconds)) AS first_observed,
TIMESTAMP_SECONDS(MAX(metadata.event_timestamp.seconds)) AS last_observed,
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
GROUP BY 1,3,5
HAVING count_country > 0
ORDER BY count_country DESC
Die folgende Tabelle enthält ein Beispiel für die Ergebnisse, die zurückgegeben werden könnten.
| country_or_region | count_country | state | count_state | principal_user | first_observed | last_observed |
|---|---|---|---|---|---|---|
Netherlands |
5 | North Holland |
5 | admin@acme.com |
2023-01-11 14:32:51 UTC | 2023-01-11 14:32:51 UTC |
Israel |
1 | Tel Aviv District |
1 | omri@acme.com |
2023-01-11 10:09:32 UTC | 2023-01-11 15:26:38 UTC |
Die folgende SQL-Abfrage veranschaulicht, wie die Entfernung zwischen zwei Standorten ermittelt wird.
SELECT
DISTINCT principal_user,
(ST_DISTANCE(north_pole,user_location)/1000) AS distance_to_north_pole_km
FROM (
SELECT
ST_GeogPoint(135.00,90.00) AS north_pole,
ST_GeogPoint(ip_geo_artifact.location.region_coordinates.longitude, ip_geo_artifact.location.region_coordinates.latitude) AS user_location,
target.user.email_addresses[ORDINAL(1)] AS principal_user
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
AND ip_geo_artifact.location.country_or_region != ""
)
ORDER BY 2 DESC
Die folgende Tabelle enthält ein Beispiel für die Ergebnisse, die zurückgegeben werden könnten.
principal_user |
distance_to_north_pole_km |
|---|---|
omri@acme.com |
6438.98507 |
admin@acme.com |
4167.527018 |
Etwas aussagekräftigere Abfragen sind möglich, wenn Sie mithilfe von Flächenpolygonen eine geeignete Fläche für die Fahrt von einem Standort in einem bestimmten Intervall berechnen. Sie können auch prüfen, ob mehrere geografische Werte übereinstimmen, um mögliche Reisen zu erkennen. Für diese Lösungen ist eine genaue und konsistente Datenquelle für die Standortbestimmung erforderlich.
Angereicherte Felder in Dashboards ansehen
Sie können auch ein Dashboard mit mit der Standortbestimmung angereicherten UDM-Feldern erstellen. Im Diagramm wird die Stadt jedes UDM-Ereignisses angezeigt. Sie können den Diagrammtyp ändern, um die Daten in einem anderen Format anzuzeigen.
Nächste Schritte
Informationen zur Verwendung von angereicherten Daten mit anderen Google Security Operations-Features finden Sie hier:
- Mit Kontext angereicherte Daten in Regeln verwenden
- Kontextangereicherte Daten in der UDM-Suche verwenden