使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。

在报告中使用内容充实的数据

为支持安全调查,Chronicle 从不同来源提取上下文数据,对提取的数据执行分析,并提供有关客户环境中工件的其他背景信息。本文档提供了分析师如何使用信息中心的信息中心和 BigQuery 中的 Chronicle 架构的示例。

如需详细了解数据扩充功能,请参阅 Chronicle 如何丰富事件和实体数据

使用地理位置丰富的数据

UDM 事件可能包括地理定位丰富的数据,以便在调查期间提供额外的背景信息。将 UDM 事件导出到 BigQuery 时,这些字段也会一并导出。本部分将介绍如何在创建报告时使用地理位置丰富的字段。

查看信息中心中的数据

可以在地理位置的 Looker 的 Chronicle 信息中心内查看丰富地理位置的 UDM 字段。

包含丰富数据的示例信息中心 扩充项数据示例

查询 events 架构中的数据

可以使用 BigQuery 中的 Chronicle events 架构查询地理定位数据。 以下示例是一个 SQL 查询,它可按国家/地区以及首次和最后一次观察到的时间返回所有 USER_LOGIN 事件的汇总结果。

SELECT
 ip_geo_artifact.location.country_or_region,
 COUNT(ip_geo_artifact.location.country_or_region) AS count_country,
 ip_geo_artifact.location.state,
 COUNT(ip_geo_artifact.location.state) AS count_state,
 target.user.email_addresses[ORDINAL(1)] AS principal_user,
 TIMESTAMP_SECONDS(MIN(metadata.event_timestamp.seconds)) AS first_observed,
 TIMESTAMP_SECONDS(MAX(metadata.event_timestamp.seconds)) AS last_observed,
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
GROUP BY 1,3,5
HAVING count_country > 0
ORDER BY count_country DESC

下表包含可能会返回的结果示例。

country_or_region count_country state count_state principal_user first_observed last_observed
Netherlands 5

 North Holland 5

 admin@acme.com 2023-01-11 14:32:51 UTC 2023-01-11 14:32:51 UTC
Israel 1

 Tel Aviv District

 1

 omri@acme.com 2023-01-11 10:09:32 UTC 2023-01-11 15:26:38 UTC

以下 SQL 查询说明了如何检测两个位置之间的距离。

SELECT
DISTINCT principal_user,
(ST_DISTANCE(north_pole,user_location)/1000) AS distance_to_north_pole_km
FROM (
  SELECT
    ST_GeogPoint(135.00,90.00) AS north_pole,
    ST_GeogPoint(ip_geo_artifact.location.region_coordinates.longitude, ip_geo_artifact.location.region_coordinates.latitude) AS user_location,
    target.user.email_addresses[ORDINAL(1)] AS principal_user
  FROM `datalake.events`,
  UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
  WHERE DATE(hour_time_bucket) = "2023-01-11"
  AND metadata.event_type = 15001
  AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
  AND ip_geo_artifact.location.country_or_region != ""
)
ORDER BY 2 DESC

下表包含可能会返回的结果示例。

principal_user distance_to_north_pole_km
omri@acme.com 6438.98507
admin@acme.com 4167.527018

您可以利用区域多边形实现稍微有用的查询,即计算指定时间间隔内某个位置的行程的合理区域,并检查多个地理位置值是否匹配(即,不可行的旅行检测),但要注意获得准确且一致的地理位置数据源。

后续步骤

如需了解如何将丰富数据与其他 Chronicle 功能结合使用,请参阅以下内容: