Kontextbezogene Daten in Berichten verwenden

Zur Unterstützung von Sicherheitsuntersuchungen nimmt das Google Security Operations-Team Kontextdaten aus verschiedenen Quellen auf, analysiert die aufgenommenen Daten und liefert zusätzlichen Kontext zu Artefakten in einer Kundenumgebung. In diesem Dokument finden Sie Beispiele dafür, wie Analysten kontextbezogene Daten in Dashboards und in Google Security Operations-Schemas in BigQuery verwenden können.

Weitere Informationen zur Datenanreicherung finden Sie unter So werden Ereignis- und Entitätsdaten von Google Security Operations angereichert.

Mit Daten zur Standortbestimmung angereicherte Daten verwenden

UDM-Ereignisse können mit Daten angereichert werden, die Informationen zur geografischen Standortermittlung enthalten, um bei der Untersuchung zusätzlichen Kontext zu bieten. Wenn UDM-Ereignisse nach BigQuery exportiert werden, werden auch diese Felder exportiert. In diesem Abschnitt wird erläutert, wie Sie beim Erstellen von Berichten Felder verwenden, die um Informationen zum Standort ergänzt wurden.

Daten im events-Schema abfragen

Geolokalisierungsdaten können mit dem events-Schema von Google Security Operations in BigQuery abgefragt werden. Das folgende Beispiel ist eine SQL-Abfrage, die zusammengefasste Ergebnisse für alle USER_LOGIN-Ereignisse nach Nutzer, Land und mit dem ersten und letzten erfassten Zeitpunkt zurückgibt.

SELECT
 ip_geo_artifact.location.country_or_region,
 COUNT(ip_geo_artifact.location.country_or_region) AS count_country,
 ip_geo_artifact.location.state,
 COUNT(ip_geo_artifact.location.state) AS count_state,
 target.user.email_addresses[ORDINAL(1)] AS principal_user,
 TIMESTAMP_SECONDS(MIN(metadata.event_timestamp.seconds)) AS first_observed,
 TIMESTAMP_SECONDS(MAX(metadata.event_timestamp.seconds)) AS last_observed,
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
GROUP BY 1,3,5
HAVING count_country > 0
ORDER BY count_country DESC

Die folgende Tabelle enthält ein Beispiel für die Ergebnisse, die zurückgegeben werden können.

In der folgenden SQL-Abfrage wird veranschaulicht, wie die Entfernung zwischen zwei Orten ermittelt wird.

SELECT
DISTINCT principal_user,
(ST_DISTANCE(north_pole,user_location)/1000) AS distance_to_north_pole_km
FROM (
  SELECT
    ST_GeogPoint(135.00,90.00) AS north_pole,
    ST_GeogPoint(ip_geo_artifact.location.region_coordinates.longitude, ip_geo_artifact.location.region_coordinates.latitude) AS user_location,
    target.user.email_addresses[ORDINAL(1)] AS principal_user
  FROM `datalake.events`,
  UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
  WHERE DATE(hour_time_bucket) = "2023-01-11"
  AND metadata.event_type = 15001
  AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
  AND ip_geo_artifact.location.country_or_region != ""
)
ORDER BY 2 DESC

Die folgende Tabelle enthält ein Beispiel für die Ergebnisse, die zurückgegeben werden können.

Mithilfe von Gebietspolygonen können Sie ein angemessenes Gebiet für Fahrten von einem Standort in einem bestimmten Intervall berechnen. Sie können auch prüfen, ob mehrere geografische Werte übereinstimmen, um unmögliche Reiseerkennungen zu identifizieren. Für diese Lösungen ist eine genaue und konsistente Datenquelle für die Standortermittlung erforderlich.

Angereicherte Felder in Dashboards ansehen

Sie können auch ein Dashboard mit UDM-Feldern erstellen, die um Standortinformationen ergänzt wurden. Im Diagramm sehen Sie die Stadt jedes UDM-Ereignisses. Sie können den Diagrammtyp ändern, um die Daten in einem anderen Format zu sehen.

Nächste Schritte

Informationen zur Verwendung angereicherter Daten mit anderen Funktionen von Google Security Operations finden Sie hier:

• Verwenden Sie kontextbezogene Daten in Regeln.
• Kontextbezogene Daten in der UDM-Suche verwenden