Utiliser des données contextuelles dans les rapports

Pour faciliter les enquêtes de sécurité, Chronicle ingère des données contextuelles provenant de différentes sources, analyse les données ingérées et fournit plus de contexte sur les artefacts dans l'environnement client. Ce document fournit des exemples illustrant comment les analystes peuvent utiliser des données enrichies contextuelles dans des tableaux de bord et dans des schémas Chronicle dans BigQuery.

Pour en savoir plus sur l'enrichissement des données, consultez Comment Chronicle enrichit les données d'événements et d'entités.

Utiliser des données enrichies par la géolocalisation

Les événements UDM peuvent inclure des données enrichies par la géolocalisation pour fournir plus de contexte lors d'une enquête. Lorsque des événements UDM sont exportés vers BigQuery, ces champs sont également exportés. Cette section explique comment utiliser les champs enrichis de géolocalisation lors de la création de rapports.

Afficher les données dans les tableaux de bord

Les champs UDM enrichis pour la géolocalisation sont visibles dans les tableaux de bord Chronicle sur Looker.

Exemple de données d'enrichissement

Interroger les données dans le schéma events

Les données de géolocalisation peuvent être interrogées à l'aide du schéma Chronicle events dans BigQuery. L'exemple suivant est une requête SQL qui renvoie les résultats agrégés de tous les événements USER_LOGIN par utilisateur et par pays, ainsi que les première et dernière occurrences observées.

SELECT
 ip_geo_artifact.location.country_or_region,
 COUNT(ip_geo_artifact.location.country_or_region) AS count_country,
 ip_geo_artifact.location.state,
 COUNT(ip_geo_artifact.location.state) AS count_state,
 target.user.email_addresses[ORDINAL(1)] AS principal_user,
 TIMESTAMP_SECONDS(MIN(metadata.event_timestamp.seconds)) AS first_observed,
 TIMESTAMP_SECONDS(MAX(metadata.event_timestamp.seconds)) AS last_observed,
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
GROUP BY 1,3,5
HAVING count_country > 0
ORDER BY count_country DESC

Le tableau suivant contient un exemple des résultats pouvant être renvoyés.

La requête SQL suivante montre comment détecter la distance entre deux lieux.

SELECT
DISTINCT principal_user,
(ST_DISTANCE(north_pole,user_location)/1000) AS distance_to_north_pole_km
FROM (
  SELECT
    ST_GeogPoint(135.00,90.00) AS north_pole,
    ST_GeogPoint(ip_geo_artifact.location.region_coordinates.longitude, ip_geo_artifact.location.region_coordinates.latitude) AS user_location,
    target.user.email_addresses[ORDINAL(1)] AS principal_user
  FROM `datalake.events`,
  UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
  WHERE DATE(hour_time_bucket) = "2023-01-11"
  AND metadata.event_type = 15001
  AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
  AND ip_geo_artifact.location.country_or_region != ""
)
ORDER BY 2 DESC

Le tableau suivant contient un exemple des résultats pouvant être renvoyés.

Vous pouvez obtenir des requêtes légèrement plus utiles en exploitant des polygones de zone, c'est-à-dire calculer une zone raisonnable pour un trajet à partir d'un lieu dans un intervalle donné, et vérifier si plusieurs valeurs géographiques correspondent, c'est-à-dire des détections de trajets impossibles, mais avec la mise en garde : disposer d'une source de données de géolocalisation précise et cohérente.

Étapes suivantes

Pour savoir comment utiliser des données enrichies avec d'autres fonctionnalités de Chronicle, consultez les pages suivantes:

• Utiliser des données enrichies en contexte dans les règles
• Utilisez des données enrichies en contexte dans la recherche UDM.