Kontextangereicherte Daten in Berichten verwenden
Chronicle nimmt kontextbezogene Daten aus verschiedenen Quellen auf, um die aufgenommenen Daten zu analysieren und zusätzlichen Kontext zu Artefakten in einer Kundenumgebung bereitzustellen. Dieses Dokument enthält Beispiele dafür, wie Analysten kontextbezogene angereicherte Daten in Dashboards und in Chronicle-Schemas in BigQuery verwenden können.
Weitere Informationen zur Anreicherung von Ereignis- und Entitätsdaten mit Chronicle
Mit Standortbestimmung angereicherte Daten verwenden
UDM-Ereignisse können mit Daten angereicherte Daten während einer Prüfung enthalten. Wenn Sie UDM-Ereignisse nach BigQuery exportieren, werden auch diese Felder exportiert. In diesem Abschnitt wird erläutert, wie Sie beim Erstellen von Berichten Felder mit Standortbestimmung verwenden.
Daten in Dashboards ansehen
UDM-Felder mit Geolocation-Anreicherung können in Looker in Chronicle-Dashboards angesehen werden.
Beispiel für Daten zur Anreicherung
Daten im Schema events abfragen
Geolocation-Daten können mit dem Chronicle-Schema events in BigQuery abgefragt werden.
Das folgende Beispiel zeigt eine SQL-Abfrage, die aggregierte Ergebnisse für alle USER_LOGIN-Ereignisse nach Nutzer, Land und mit der ersten und letzten beobachteten Zeit zurückgibt.
SELECT
ip_geo_artifact.location.country_or_region,
COUNT(ip_geo_artifact.location.country_or_region) AS count_country,
ip_geo_artifact.location.state,
COUNT(ip_geo_artifact.location.state) AS count_state,
target.user.email_addresses[ORDINAL(1)] AS principal_user,
TIMESTAMP_SECONDS(MIN(metadata.event_timestamp.seconds)) AS first_observed,
TIMESTAMP_SECONDS(MAX(metadata.event_timestamp.seconds)) AS last_observed,
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
GROUP BY 1,3,5
HAVING count_country > 0
ORDER BY count_country DESC
Die folgende Tabelle enthält ein Beispiel für die Ergebnisse, die zurückgegeben werden können.
| country_or_region | count_country | state | count_state | principal_user | first_observed | last_observed |
|---|---|---|---|---|---|---|
Netherlands |
5 | North Holland |
5 | admin@acme.com |
2023-01-11 14:32:51 UTC | 2023-01-11 14:32:51 UTC |
Israel |
1 | Tel Aviv District |
1 | omri@acme.com |
2023-01-11 10:09:32 UTC | 2023-01-11 15:26:38 UTC |
Die folgende SQL-Abfrage zeigt, wie die Entfernung zwischen zwei Standorten erkannt wird.
SELECT
DISTINCT principal_user,
(ST_DISTANCE(north_pole,user_location)/1000) AS distance_to_north_pole_km
FROM (
SELECT
ST_GeogPoint(135.00,90.00) AS north_pole,
ST_GeogPoint(ip_geo_artifact.location.region_coordinates.longitude, ip_geo_artifact.location.region_coordinates.latitude) AS user_location,
target.user.email_addresses[ORDINAL(1)] AS principal_user
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
AND ip_geo_artifact.location.country_or_region != ""
)
ORDER BY 2 DESC
Die folgende Tabelle enthält ein Beispiel für die Ergebnisse, die zurückgegeben werden können.
principal_user |
distance_to_north_pole_km |
|---|---|
omri@acme.com |
6438.98507 |
admin@acme.com |
4167.527018 |
Sie können etwas nützlichere Abfragen erzielen, wenn Sie Flächenpolygone nutzen, d.h. eine angemessene Fläche für die Fahrt von einem Standort in einem bestimmten Intervall berechnen und prüfen, ob mehrere geografische Werte übereinstimmen, d.h. eine unmögliche Reiseerkennung, aber unter der Voraussetzung, dass eine genaue und konsistente Datenquelle für die Standortbestimmung vorhanden ist.
Nächste Schritte
Informationen zur Verwendung von angereicherten Daten mit anderen Chronicle-Features finden Sie hier:
- Verwende kontextangereicherte Daten in Regeln.
- Kontextangereicherte Daten in der UDM-Suche verwenden