在报告中使用经过情境丰富的数据
支持以下语言:
Google SecOps
SIEM
为了支持安全调查,Google 安全运营团队会提取来自不同来源的上下文数据,对提取的数据进行分析,并提供有关客户环境中工件的实用上下文信息。这个 文档提供了有关分析师如何使用经过上下文丰富数据的示例 在信息中心以及 BigQuery 的 Google Security Operations 架构中。
如需详细了解数据丰富功能,请参阅 Google 安全运营团队如何丰富事件和实体数据。
使用经过地理定位的数据
UDM 事件可能包含丰富地理定位的数据,以提供额外的背景信息 调查过程中会发生的情况。将 UDM 事件导出到 BigQuery 后 这些字段也会一并导出本部分将介绍在创建报表时如何使用添加了地理位置信息的字段。
查询 events 架构中的数据
您可以在 BigQuery 中使用 Google Security Operations events 架构查询地理定位数据。
以下示例是一个 SQL 查询,用于按用户、国家/地区以及首次和最后观察时间返回所有 USER_LOGIN 事件的汇总结果。
SELECT
ip_geo_artifact.location.country_or_region,
COUNT(ip_geo_artifact.location.country_or_region) AS count_country,
ip_geo_artifact.location.state,
COUNT(ip_geo_artifact.location.state) AS count_state,
target.user.email_addresses[ORDINAL(1)] AS principal_user,
TIMESTAMP_SECONDS(MIN(metadata.event_timestamp.seconds)) AS first_observed,
TIMESTAMP_SECONDS(MAX(metadata.event_timestamp.seconds)) AS last_observed,
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
GROUP BY 1,3,5
HAVING count_country > 0
ORDER BY count_country DESC
下表包含可能返回的结果示例。
| country_or_region | count_country | state | count_state | principal_user | first_observed | last_observed |
|---|---|---|---|---|---|---|
Netherlands |
5 | North Holland |
5 | admin@acme.com |
2023-01-11 14:32:51 UTC | 2023-01-11 14:32:51 UTC |
Israel |
1 | Tel Aviv District |
1 | omri@acme.com |
2023-01-11 10:09:32 UTC | 2023-01-11 15:26:38 UTC |
以下 SQL 查询说明了如何检测两个位置之间的距离。
SELECT
DISTINCT principal_user,
(ST_DISTANCE(north_pole,user_location)/1000) AS distance_to_north_pole_km
FROM (
SELECT
ST_GeogPoint(135.00,90.00) AS north_pole,
ST_GeogPoint(ip_geo_artifact.location.region_coordinates.longitude, ip_geo_artifact.location.region_coordinates.latitude) AS user_location,
target.user.email_addresses[ORDINAL(1)] AS principal_user
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
AND ip_geo_artifact.location.country_or_region != ""
)
ORDER BY 2 DESC
下表包含可能返回的结果示例。
principal_user |
distance_to_north_pole_km |
|---|---|
omri@acme.com |
6438.98507 |
admin@acme.com |
4167.527018 |
您可以利用面积多边形实现更实用的查询, 计算在给定时间间隔内从某个位置出发的合理行程区域。 您还可以检查多个地理位置值是否匹配,以识别不可能的旅行检测。这些解决方案需要有准确且一致的地理位置数据源。
查看信息中心内的丰富字段
您还可以使用包含地理定位信息的 UDM 字段构建信息中心。该图表会显示每个 UDM 事件所在的城市。您可以更改图表类型,以便以其他格式查看数据。
后续步骤
如需了解如何将经过丰富的数据与其他 Google 安全运营功能搭配使用,请参阅以下内容: