Usa datos enriquecidos por el contexto en los informes

Para respaldar las investigaciones de seguridad, las operaciones de seguridad de Google transfieren datos contextuales de diferentes fuentes, realizan análisis de los datos transferidos y proporcionan contexto adicional sobre los artefactos en el entorno de un cliente. En este documento, se proporcionan ejemplos de cómo los analistas pueden usar datos contextuales enriquecidos en paneles y en esquemas de operaciones de seguridad de Google en BigQuery.

Para obtener más información sobre el enriquecimiento de datos, consulta Cómo las operaciones de seguridad de Google enriquecen los datos de eventos y entidades.

Usa datos enriquecidos con ubicación geográfica

Los eventos de UDM pueden incluir datos enriquecidos por la ubicación geográfica para proporcionar contexto adicional durante una investigación. Cuando los eventos de UDM se exportan a BigQuery, estos campos también se exportan. En esta sección, se explica cómo utilizar campos enriquecidos de ubicación geográfica cuando se crean informes.

Consulta datos en el esquema events

Los datos de ubicación geográfica se pueden consultar mediante el esquema events de las operaciones de seguridad de Google en BigQuery. El siguiente ejemplo es una consulta en SQL que muestra resultados agregados para todos los eventos USER_LOGIN por usuario, país y con la primera y la última hora observadas.

SELECT
 ip_geo_artifact.location.country_or_region,
 COUNT(ip_geo_artifact.location.country_or_region) AS count_country,
 ip_geo_artifact.location.state,
 COUNT(ip_geo_artifact.location.state) AS count_state,
 target.user.email_addresses[ORDINAL(1)] AS principal_user,
 TIMESTAMP_SECONDS(MIN(metadata.event_timestamp.seconds)) AS first_observed,
 TIMESTAMP_SECONDS(MAX(metadata.event_timestamp.seconds)) AS last_observed,
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
GROUP BY 1,3,5
HAVING count_country > 0
ORDER BY count_country DESC

La siguiente tabla contiene un ejemplo de los resultados que se pueden mostrar.

La siguiente consulta en SQL ilustra cómo detectar la distancia entre dos ubicaciones.

SELECT
DISTINCT principal_user,
(ST_DISTANCE(north_pole,user_location)/1000) AS distance_to_north_pole_km
FROM (
  SELECT
    ST_GeogPoint(135.00,90.00) AS north_pole,
    ST_GeogPoint(ip_geo_artifact.location.region_coordinates.longitude, ip_geo_artifact.location.region_coordinates.latitude) AS user_location,
    target.user.email_addresses[ORDINAL(1)] AS principal_user
  FROM `datalake.events`,
  UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
  WHERE DATE(hour_time_bucket) = "2023-01-11"
  AND metadata.event_type = 15001
  AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
  AND ip_geo_artifact.location.country_or_region != ""
)
ORDER BY 2 DESC

La siguiente tabla contiene un ejemplo de los resultados que se pueden mostrar.

Puedes realizar consultas ligeramente más útiles si usas los polígonos del área para calcular un área razonable para viajar desde una ubicación en un intervalo determinado. También puedes verificar si varios valores de geografía coinciden para identificar detecciones de viajes imposibles. Estas soluciones requieren una fuente de datos de ubicación geográfica precisa y coherente.

Ver campos enriquecidos en paneles

También puedes compilar un panel usando campos de UDM enriquecidos con ubicación geográfica. El gráfico muestra la ciudad de cada evento de UDM. Puedes cambiar el tipo de gráfico para ver los datos en un formato diferente.

¿Qué sigue?

Si quieres obtener más información para usar los datos enriquecidos con otras funciones de las operaciones de seguridad de Google, consulta lo siguiente:

• Usa datos enriquecidos por el contexto en las reglas.
• Usa datos enriquecidos con contexto en la búsqueda de UDM.