Utilizzare dati arricchiti del contesto nei report
Per supportare le indagini sulla sicurezza, Google Security Operations importa dati contestuali provenienti da origini diverse, esegue analisi sui dati importati e fornisce un contesto aggiuntivo sugli artefatti in un ambiente del cliente. Questo documento fornisce esempi di come gli analisti possono utilizzare dati arricchiti contestuali nelle dashboard e negli schemi di Google Security Operations in BigQuery.
Per saperne di più sull'arricchimento dei dati, consulta In che modo Google Security Operations arricchisce i dati di eventi ed entità.
Utilizza dati arricchiti di geolocalizzazione
Gli eventi UDM possono includere dati estesi di geolocalizzazione per fornire ulteriore contesto durante un'indagine. Quando gli eventi UDM vengono esportati in BigQuery, vengono esportati anche questi campi. Questa sezione spiega come utilizzare i campi estesi di geolocalizzazione durante la creazione di report.
Esegui query sui dati nello schema events
È possibile eseguire query sui dati di geolocalizzazione utilizzando lo schema events
di Google Security Operations in BigQuery.
L'esempio seguente è una query SQL che restituisce risultati aggregati per tutti
USER_LOGIN
eventi per utente, paese e con il primo e l'ultimo orario osservati.
SELECT
ip_geo_artifact.location.country_or_region,
COUNT(ip_geo_artifact.location.country_or_region) AS count_country,
ip_geo_artifact.location.state,
COUNT(ip_geo_artifact.location.state) AS count_state,
target.user.email_addresses[ORDINAL(1)] AS principal_user,
TIMESTAMP_SECONDS(MIN(metadata.event_timestamp.seconds)) AS first_observed,
TIMESTAMP_SECONDS(MAX(metadata.event_timestamp.seconds)) AS last_observed,
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
GROUP BY 1,3,5
HAVING count_country > 0
ORDER BY count_country DESC
La tabella seguente contiene un esempio dei risultati che potrebbero essere restituiti.
country_or_region | count_country | state | count_state | principal_user | first_observed | last_observed |
---|---|---|---|---|---|---|
Netherlands |
5 | North Holland |
5 | admin@acme.com |
2023-01-11 14:32:51 UTC | 2023-01-11 14:32:51 UTC |
Israel |
1 | Tel Aviv District |
1 | omri@acme.com |
2023-01-11 10:09:32 UTC | 2023-01-11 15:26:38 UTC |
La seguente query SQL illustra come rilevare la distanza tra due località.
SELECT
DISTINCT principal_user,
(ST_DISTANCE(north_pole,user_location)/1000) AS distance_to_north_pole_km
FROM (
SELECT
ST_GeogPoint(135.00,90.00) AS north_pole,
ST_GeogPoint(ip_geo_artifact.location.region_coordinates.longitude, ip_geo_artifact.location.region_coordinates.latitude) AS user_location,
target.user.email_addresses[ORDINAL(1)] AS principal_user
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
AND ip_geo_artifact.location.country_or_region != ""
)
ORDER BY 2 DESC
La tabella seguente contiene un esempio dei risultati che potrebbero essere restituiti.
principal_user |
distance_to_north_pole_km |
---|---|
omri@acme.com |
6438.98507 |
admin@acme.com |
4167.527018 |
Puoi ottenere query leggermente più utili sfruttando i poligoni dell'area calcolare un'area ragionevole per viaggiare da una località in un determinato intervallo. Puoi anche verificare se più valori geografici corrispondono per identificare impossibili rilevamenti dei viaggi. Queste soluzioni richiedono un'origine dati di geolocalizzazione accurata e coerente.
Visualizza i campi estesi nelle dashboard
Puoi anche creare una dashboard utilizzando campi UDM arricchiti di geolocalizzazione. Il grafico mostra la città di ogni evento UDM. Puoi modificare il tipo di grafico per visualizzare in un formato diverso.
Passaggi successivi
Per informazioni su come utilizzare i dati estesi con altre operazioni di sicurezza di Google vedi le funzioni seguenti:
- Utilizzare dati arricchiti di contesto nelle regole.
- Utilizzare dati arricchiti di contesto nella ricerca UDM.