Cómo usar datos enriquecidos con el contexto en los informes
Para admitir investigaciones de seguridad, Chronicle transfiere datos contextuales de diferentes fuentes, realiza análisis de los datos transferidos y proporciona contexto adicional sobre los artefactos del entorno del cliente. En este documento, se proporcionan ejemplos de cómo los analistas pueden usar datos enriquecidos mejorados en paneles y en esquemas de Chronicle en BigQuery.
Para obtener más información sobre el enriquecimiento de datos, consulta Cómo Chronicle enriquece los datos de eventos y entidades.
Cómo usar datos enriquecidos con ubicación geográfica
Los eventos de UDM pueden incluir datos enriquecidos mediante ubicación geográfica para proporcionar contexto adicional durante una investigación. Cuando los eventos de UDM se exportan a BigQuery, estos campos también se exportan. En esta sección, se explica cómo usar los campos enriquecidos con ubicación geográfica al crear informes.
Ver datos en paneles
Los campos de UDM enriquecidos con ubicación geográfica se pueden ver en los paneles de Chronicle en Looker.
Ejemplo de datos de enriquecimiento
Consulta datos en el esquema events
Los datos de ubicación geográfica se pueden consultar mediante el esquema events de Chronicle en BigQuery.
El siguiente ejemplo es una consulta de SQL que muestra resultados agregados para todos los eventos USER_LOGIN por usuario, país y con la primera y la última hora observada.
SELECT
ip_geo_artifact.location.country_or_region,
COUNT(ip_geo_artifact.location.country_or_region) AS count_country,
ip_geo_artifact.location.state,
COUNT(ip_geo_artifact.location.state) AS count_state,
target.user.email_addresses[ORDINAL(1)] AS principal_user,
TIMESTAMP_SECONDS(MIN(metadata.event_timestamp.seconds)) AS first_observed,
TIMESTAMP_SECONDS(MAX(metadata.event_timestamp.seconds)) AS last_observed,
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
GROUP BY 1,3,5
HAVING count_country > 0
ORDER BY count_country DESC
La siguiente tabla contiene un ejemplo de los resultados que se podrían mostrar.
| country_or_region | count_country | state | count_state | principal_user | first_observed | last_observed |
|---|---|---|---|---|---|---|
Netherlands |
5 | North Holland |
5 | admin@acme.com |
2023-01-11 14:32:51 UTC | 2023-01-11 14:32:51 UTC |
Israel |
1 | Tel Aviv District |
1 | omri@acme.com |
2023-01-11 10:09:32 UTC | 2023-01-11 15:26:38 UTC |
En la siguiente consulta de SQL, se ilustra cómo detectar la distancia entre dos ubicaciones.
SELECT
DISTINCT principal_user,
(ST_DISTANCE(north_pole,user_location)/1000) AS distance_to_north_pole_km
FROM (
SELECT
ST_GeogPoint(135.00,90.00) AS north_pole,
ST_GeogPoint(ip_geo_artifact.location.region_coordinates.longitude, ip_geo_artifact.location.region_coordinates.latitude) AS user_location,
target.user.email_addresses[ORDINAL(1)] AS principal_user
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
AND ip_geo_artifact.location.country_or_region != ""
)
ORDER BY 2 DESC
La siguiente tabla contiene un ejemplo de los resultados que se podrían mostrar.
principal_user |
distance_to_north_pole_km |
|---|---|
omri@acme.com |
6438.98507 |
admin@acme.com |
4167.527018 |
Puedes lograr consultas un poco más útiles si usas polígonos de área, es decir, calcula un área razonable para viajar desde una ubicación en un intervalo determinado y comprueba si coinciden varios valores de geografía, es decir, detecciones de viaje imposibles, pero con la advertencia de tener una fuente de datos de ubicación geográfica precisa y coherente.
¿Qué sigue?
Para obtener información sobre cómo usar los datos enriquecidos con otras funciones de Chronicle, consulta los siguientes vínculos:
- Usa datos enriquecidos con contexto en las reglas.
- Usa datos enriquecidos con contexto en la Búsqueda de UDM.