Mit Kontext angereicherte Daten in Berichten verwenden

Zur Unterstützung von Sicherheitsprüfungen nimmt Chronicle kontextbezogene Daten aus verschiedenen Quellen auf, analysiert die aufgenommenen Daten und bietet zusätzlichen Kontext zu Artefakten in einer Kundenumgebung. Dieses Dokument enthält Beispiele dafür, wie Analysten kontextabhängige angereicherte Daten in Dashboards und in Chronicle-Schemas in BigQuery verwenden können.

Weitere Informationen zur Datenanreicherung finden Sie unter So reichert Chronicle Ereignis- und Entitätsdaten an.

Mit Standortdaten angereicherte Daten verwenden

UDM-Ereignisse können an die Standortbestimmung angereicherte Daten enthalten, um während einer Untersuchung zusätzlichen Kontext zu liefern. Beim Export von UDM-Ereignissen in BigQuery werden auch diese Felder exportiert. In diesem Abschnitt wird erläutert, wie Sie mit der Standortbestimmung angereicherte Felder beim Erstellen von Berichten verwenden.

Daten im events-Schema abfragen

Daten zur Standortbestimmung können mit dem Chronicle-Schema events in BigQuery abgefragt werden. Das folgende Beispiel zeigt eine SQL-Abfrage, die aggregierte Ergebnisse für alle USER_LOGIN-Ereignisse nach Nutzer, Land sowie den ersten und letzten beobachteten Zeitpunkten zurückgibt.

SELECT
 ip_geo_artifact.location.country_or_region,
 COUNT(ip_geo_artifact.location.country_or_region) AS count_country,
 ip_geo_artifact.location.state,
 COUNT(ip_geo_artifact.location.state) AS count_state,
 target.user.email_addresses[ORDINAL(1)] AS principal_user,
 TIMESTAMP_SECONDS(MIN(metadata.event_timestamp.seconds)) AS first_observed,
 TIMESTAMP_SECONDS(MAX(metadata.event_timestamp.seconds)) AS last_observed,
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
GROUP BY 1,3,5
HAVING count_country > 0
ORDER BY count_country DESC

Die folgende Tabelle enthält ein Beispiel für die Ergebnisse, die zurückgegeben werden können.

Die folgende SQL-Abfrage zeigt, wie die Entfernung zwischen zwei Orten ermittelt wird.

SELECT
DISTINCT principal_user,
(ST_DISTANCE(north_pole,user_location)/1000) AS distance_to_north_pole_km
FROM (
  SELECT
    ST_GeogPoint(135.00,90.00) AS north_pole,
    ST_GeogPoint(ip_geo_artifact.location.region_coordinates.longitude, ip_geo_artifact.location.region_coordinates.latitude) AS user_location,
    target.user.email_addresses[ORDINAL(1)] AS principal_user
  FROM `datalake.events`,
  UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
  WHERE DATE(hour_time_bucket) = "2023-01-11"
  AND metadata.event_type = 15001
  AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
  AND ip_geo_artifact.location.country_or_region != ""
)
ORDER BY 2 DESC

Die folgende Tabelle enthält ein Beispiel für die Ergebnisse, die zurückgegeben werden können.

Etwas nützlichere Abfragen können Sie erzielen, wenn Sie Flächenpolygone verwenden, um eine angemessene Fläche für die Fahrt von einem Ort in einem bestimmten Intervall zu berechnen. Sie können auch prüfen, ob mehrere geografische Werte übereinstimmen, um unmögliche Reiseerkennungen zu identifizieren. Diese Lösungen erfordern eine genaue und konsistente Datenquelle für die Standortbestimmung.

Angereicherte Felder in Dashboards ansehen

Sie können auch ein Dashboard mit UDM-Feldern erstellen, die mit der Standortbestimmung angereichert sind. Die folgende Abbildung zeigt ein Beispiel.

Beispiel-Dashboard mit angereicherten Daten

Nächste Schritte

Informationen zur Verwendung angereicherter Daten mit anderen Chronicle-Features finden Sie hier:

• Mit Kontext angereicherte Daten in Regeln verwenden
• Verwenden Sie kontextbezogene Daten in der UDM-Suche.