Utiliser des données enrichies en contexte dans les rapports

Pour faciliter les investigations de sécurité, Chronicle ingère des données contextuelles provenant de différentes sources, effectue une analyse sur les données ingérées et fournit du contexte supplémentaire sur les artefacts d'un environnement client. Ce document fournit des exemples d'utilisation des données enrichies contextuelles dans les tableaux de bord et les schémas Chronicle dans BigQuery.

Pour en savoir plus sur l'enrichissement des données, consultez Comment Chronicle enrichit les données d'événements et d'entités.

Utiliser des données enrichies de géolocalisation

Les événements UDM peuvent inclure des données enrichies de géolocalisation pour fournir plus de contexte lors d'une enquête. Lorsque des événements UDM sont exportés vers BigQuery, ces champs sont également exportés. Cette section explique comment utiliser les champs enrichis de géolocalisation lorsque vous créez des rapports.

Interroger les données dans le schéma events

Vous pouvez interroger les données de géolocalisation à l'aide du schéma events Chronicle dans BigQuery. L'exemple suivant est une requête SQL qui renvoie les résultats agrégés de tous les événements USER_LOGIN par utilisateur et par pays, avec les première et dernière heures observées.

SELECT
 ip_geo_artifact.location.country_or_region,
 COUNT(ip_geo_artifact.location.country_or_region) AS count_country,
 ip_geo_artifact.location.state,
 COUNT(ip_geo_artifact.location.state) AS count_state,
 target.user.email_addresses[ORDINAL(1)] AS principal_user,
 TIMESTAMP_SECONDS(MIN(metadata.event_timestamp.seconds)) AS first_observed,
 TIMESTAMP_SECONDS(MAX(metadata.event_timestamp.seconds)) AS last_observed,
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
GROUP BY 1,3,5
HAVING count_country > 0
ORDER BY count_country DESC

Le tableau suivant contient un exemple de résultats pouvant être renvoyés.

La requête SQL suivante montre comment détecter la distance entre deux lieux.

SELECT
DISTINCT principal_user,
(ST_DISTANCE(north_pole,user_location)/1000) AS distance_to_north_pole_km
FROM (
  SELECT
    ST_GeogPoint(135.00,90.00) AS north_pole,
    ST_GeogPoint(ip_geo_artifact.location.region_coordinates.longitude, ip_geo_artifact.location.region_coordinates.latitude) AS user_location,
    target.user.email_addresses[ORDINAL(1)] AS principal_user
  FROM `datalake.events`,
  UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
  WHERE DATE(hour_time_bucket) = "2023-01-11"
  AND metadata.event_type = 15001
  AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
  AND ip_geo_artifact.location.country_or_region != ""
)
ORDER BY 2 DESC

Le tableau suivant contient un exemple de résultats pouvant être renvoyés.

Vous pouvez obtenir des requêtes légèrement plus utiles en exploitant les polygones de zone afin de calculer une surface raisonnable pour les trajets à partir d'un lieu dans un intervalle donné. Vous pouvez également vérifier si plusieurs valeurs géographiques correspondent pour identifier les détections de trajets impossibles. Ces solutions nécessitent une source de données de géolocalisation précise et cohérente.

Afficher les champs enrichis dans les tableaux de bord

Vous pouvez également créer un tableau de bord à l'aide de champs UDM enrichis avec la géolocalisation. L'image suivante en est un exemple.

Exemple de tableau de bord avec des données enrichies

Étapes suivantes

Pour découvrir comment utiliser des données enrichies avec d'autres fonctionnalités Chronicle, consultez les pages suivantes:

• Utilisez des données enrichies en contexte dans vos règles.
• Utilisez des données enrichies en contexte dans la recherche UDM.