Utilizza dati arricchiti di contesto nei report
Per supportare le indagini sulla sicurezza, Chronicle importa i dati contestuali da origini diverse, esegue l'analisi sui dati importati e fornisce ulteriore contesto sugli artefatti in un ambiente del cliente. Questo documento fornisce esempi di come gli analisti possono utilizzare dati arricchiti contestuali nelle dashboard e negli schemi Chronicle in BigQuery.
Per ulteriori informazioni sull'arricchimento dei dati, vedi Come Chronicle arricchisce i dati di eventi e entità.
Utilizza dati arricchiti di geolocalizzazione
Gli eventi UDM possono includere dati arricchiti di geolocalizzazione per fornire maggiore contesto durante un'indagine. Quando vengono esportati gli eventi UDM in BigQuery, vengono esportati anche questi campi. Questa sezione spiega come utilizzare i campi arricchiti di geolocalizzazione durante la creazione di report.
Visualizzare i dati nelle dashboard
I campi UDM arricchiti con geolocalizzazione possono essere visualizzati nelle dashboard di Chronicle su Looker.
Esempio di dati sull'arricchimento
Esegui query sui dati nello schema events
È possibile eseguire query su dati di geolocalizzazione utilizzando lo schema Chronicle events in BigQuery.
L'esempio seguente è una query SQL che restituisce risultati aggregati per tutti gli eventi USER_LOGIN per utente, paese e per la prima e l'ultima ora osservata.
SELECT
ip_geo_artifact.location.country_or_region,
COUNT(ip_geo_artifact.location.country_or_region) AS count_country,
ip_geo_artifact.location.state,
COUNT(ip_geo_artifact.location.state) AS count_state,
target.user.email_addresses[ORDINAL(1)] AS principal_user,
TIMESTAMP_SECONDS(MIN(metadata.event_timestamp.seconds)) AS first_observed,
TIMESTAMP_SECONDS(MAX(metadata.event_timestamp.seconds)) AS last_observed,
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
GROUP BY 1,3,5
HAVING count_country > 0
ORDER BY count_country DESC
La tabella seguente contiene un esempio dei risultati che potrebbero essere restituiti.
| country_or_region | count_country | state | count_state | principal_user | first_observed | last_observed |
|---|---|---|---|---|---|---|
Netherlands |
5 | North Holland |
5 | admin@acme.com |
2023-01-11 14:32:51 UTC | 2023-01-11 14:32:51 UTC |
Israel |
1 | Tel Aviv District |
1 | omri@acme.com |
2023-01-11 10:09:32 UTC | 2023-01-11 15:26:38 UTC |
La seguente query SQL illustra come rilevare la distanza tra due località.
SELECT
DISTINCT principal_user,
(ST_DISTANCE(north_pole,user_location)/1000) AS distance_to_north_pole_km
FROM (
SELECT
ST_GeogPoint(135.00,90.00) AS north_pole,
ST_GeogPoint(ip_geo_artifact.location.region_coordinates.longitude, ip_geo_artifact.location.region_coordinates.latitude) AS user_location,
target.user.email_addresses[ORDINAL(1)] AS principal_user
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
AND ip_geo_artifact.location.country_or_region != ""
)
ORDER BY 2 DESC
La tabella seguente contiene un esempio dei risultati che potrebbero essere restituiti.
principal_user |
distance_to_north_pole_km |
|---|---|
omri@acme.com |
6438.98507 |
admin@acme.com |
4167.527018 |
Puoi ottenere query leggermente più utili sfruttando i poligoni di area, ad esempio calcolando un'area ragionevole per i viaggi di una determinata località in un determinato intervallo e verifica se corrispondono più valori geografici, ovvero rilevamenti di viaggi impossibili, ma con un'origine dati precisa e coerente.
Passaggi successivi
Per informazioni su come utilizzare i dati estesi con altre funzionalità di Chronicle, consulta quanto segue:
- Utilizza dati arricchiti dal contesto nelle regole.
- Utilizza dati arricchiti dal contesto nella ricerca UDM.