Use dados enriquecidos com contexto nos relatórios

Para apoiar as investigações de segurança, o Google Security Operations carrega dados contextuais de diferentes origens, realiza análises aos dados carregados e fornece contexto adicional sobre artefactos num ambiente do cliente. Este documento fornece exemplos de como os analistas podem usar dados enriquecidos contextuais em painéis de controlo e em esquemas do Google SecOps no BigQuery.

Para mais informações sobre o enriquecimento de dados, consulte o artigo Como o Google SecOps enriquece os dados de eventos e entidades.

Use dados enriquecidos com geolocalização

Os eventos da UDM podem incluir dados enriquecidos com geolocalização para fornecer contexto adicional durante uma investigação. Quando os eventos da UDM são exportados para o BigQuery, estes campos também são exportados. Esta secção explica como usar campos enriquecidos com geolocalização ao criar relatórios.

Consulte dados no esquema events

É possível consultar os dados de geolocalização através do esquema events do Google SecOps no BigQuery. O exemplo seguinte é uma consulta SQL que devolve resultados agregados para todos os eventos USER_LOGIN por utilizador, país e com as horas observadas pela primeira e última vez.

SELECT
 ip_geo_artifact.location.country_or_region,
 COUNT(ip_geo_artifact.location.country_or_region) AS count_country,
 ip_geo_artifact.location.state,
 COUNT(ip_geo_artifact.location.state) AS count_state,
 target.user.email_addresses[ORDINAL(1)] AS principal_user,
 TIMESTAMP_SECONDS(MIN(metadata.event_timestamp.seconds)) AS first_observed,
 TIMESTAMP_SECONDS(MAX(metadata.event_timestamp.seconds)) AS last_observed,
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
GROUP BY 1,3,5
HAVING count_country > 0
ORDER BY count_country DESC

A tabela seguinte contém um exemplo dos resultados que podem ser devolvidos.

A seguinte consulta SQL ilustra como detetar a distância entre duas localizações.

SELECT
DISTINCT principal_user,
(ST_DISTANCE(north_pole,user_location)/1000) AS distance_to_north_pole_km
FROM (
  SELECT
    ST_GeogPoint(135.00,90.00) AS north_pole,
    ST_GeogPoint(ip_geo_artifact.location.region_coordinates.longitude, ip_geo_artifact.location.region_coordinates.latitude) AS user_location,
    target.user.email_addresses[ORDINAL(1)] AS principal_user
  FROM `datalake.events`,
  UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
  WHERE DATE(hour_time_bucket) = "2023-01-11"
  AND metadata.event_type = 15001
  AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
  AND ip_geo_artifact.location.country_or_region != ""
)
ORDER BY 2 DESC

A tabela seguinte contém um exemplo dos resultados que podem ser devolvidos.

Pode alcançar consultas ligeiramente mais úteis tirando partido dos polígonos de área para calcular uma área razoável para viagens a partir de uma localização num determinado intervalo. Também pode verificar se vários valores geográficos correspondem para identificar deteções de viagens impossíveis. Estas soluções requerem uma origem de dados de geolocalização precisa e consistente.

Veja campos enriquecidos nos painéis de controlo

Também pode criar um painel de controlo com campos de UDM enriquecidos com geolocalização. O gráfico apresenta a cidade de cada evento da UDM. Pode alterar o tipo de gráfico para ver os dados num formato diferente.

O que se segue?

Para obter informações sobre como usar dados enriquecidos com outras funcionalidades do Google SecOps, consulte o seguinte:

• Use dados enriquecidos com contexto nas regras.
• Use dados enriquecidos com contexto na UDM Search.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.