Usar datos enriquecidos con contexto en los informes

Para ayudar en las investigaciones de seguridad, Google Security Operations ingiere datos contextuales de diferentes fuentes, analiza los datos ingeridos y proporciona contexto adicional sobre los artefactos en un entorno de cliente. En este documento se ofrecen ejemplos de cómo pueden usar los analistas los datos enriquecidos contextuales en los paneles de control y en los esquemas de Google SecOps en BigQuery.

Para obtener más información sobre el enriquecimiento de datos, consulta el artículo Cómo enriquece Google SecOps los datos de eventos y entidades.

Usar datos enriquecidos con geolocalización

Los eventos de UDM pueden incluir datos enriquecidos con geolocalización para proporcionar contexto adicional durante una investigación. Cuando los eventos de UDM se exportan a BigQuery, estos campos también se exportan. En esta sección se explica cómo usar los campos enriquecidos con geolocalización al crear informes.

Consultar datos en el esquema events

Los datos de geolocalización se pueden consultar mediante el esquema events de Google SecOps en BigQuery. El siguiente ejemplo es una consulta SQL que devuelve resultados agregados de todos los eventos de USER_LOGIN por usuario y país, así como las horas de la primera y la última observación.

SELECT
 ip_geo_artifact.location.country_or_region,
 COUNT(ip_geo_artifact.location.country_or_region) AS count_country,
 ip_geo_artifact.location.state,
 COUNT(ip_geo_artifact.location.state) AS count_state,
 target.user.email_addresses[ORDINAL(1)] AS principal_user,
 TIMESTAMP_SECONDS(MIN(metadata.event_timestamp.seconds)) AS first_observed,
 TIMESTAMP_SECONDS(MAX(metadata.event_timestamp.seconds)) AS last_observed,
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
GROUP BY 1,3,5
HAVING count_country > 0
ORDER BY count_country DESC

En la siguiente tabla se muestra un ejemplo de los resultados que se pueden devolver.

La siguiente consulta SQL muestra cómo detectar la distancia entre dos ubicaciones.

SELECT
DISTINCT principal_user,
(ST_DISTANCE(north_pole,user_location)/1000) AS distance_to_north_pole_km
FROM (
  SELECT
    ST_GeogPoint(135.00,90.00) AS north_pole,
    ST_GeogPoint(ip_geo_artifact.location.region_coordinates.longitude, ip_geo_artifact.location.region_coordinates.latitude) AS user_location,
    target.user.email_addresses[ORDINAL(1)] AS principal_user
  FROM `datalake.events`,
  UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
  WHERE DATE(hour_time_bucket) = "2023-01-11"
  AND metadata.event_type = 15001
  AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
  AND ip_geo_artifact.location.country_or_region != ""
)
ORDER BY 2 DESC

En la siguiente tabla se muestra un ejemplo de los resultados que se pueden devolver.

Puedes conseguir consultas ligeramente más útiles aprovechando los polígonos de área para calcular un área razonable de desplazamiento desde una ubicación en un intervalo determinado. También puede comprobar si coinciden varios valores geográficos para identificar detecciones de viajes imposibles. Para usar estas soluciones, es necesario tener una fuente de datos de geolocalización precisa y coherente.

Ver campos enriquecidos en los paneles de control

También puede crear un panel de control con campos de UDM enriquecidos con geolocalización. En el gráfico se muestra la ciudad de cada evento de UDM. Puede cambiar el tipo de gráfico para ver los datos en otro formato.

Siguientes pasos

Para obtener información sobre cómo usar datos enriquecidos con otras funciones de Google SecOps, consulta los siguientes artículos:

• Usar datos enriquecidos con contexto en reglas
• Usar datos enriquecidos con contexto en la búsqueda de UDM.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.