Cómo usar datos enriquecidos con contexto en los informes
Para respaldar las investigaciones de seguridad, Google Security Operations transfiere de diferentes fuentes, realiza análisis de los datos transferidos y proporciona contexto adicional sobre los artefactos en el entorno de un cliente. Esta proporciona ejemplos de cómo los analistas pueden usar los datos enriquecidos contextualizados en paneles y en esquemas de Google Security Operations en BigQuery.
Para obtener más información sobre el enriquecimiento de datos, consulta Cómo Google Security Operations enriquece los datos de eventos y entidades.
Usa datos enriquecidos con ubicación geográfica
Los eventos de UDM pueden incluir datos enriquecidos con ubicación geográfica para proporcionar contexto adicional. durante una investigación. Cuando se exportan eventos de la AUA a BigQuery, también se exportan estos campos. En esta sección, se explica cómo usar los campos enriquecidos con ubicación geográfica cuando se crean informes.
Consultar datos en el esquema events
Los datos de ubicación geográfica se pueden consultar con el esquema events
de Google Security Operations en BigQuery.
El siguiente ejemplo es una consulta de SQL que muestra resultados agregados de todos los eventos USER_LOGIN
por usuario, país y con las primeras y últimas veces observadas.
SELECT
ip_geo_artifact.location.country_or_region,
COUNT(ip_geo_artifact.location.country_or_region) AS count_country,
ip_geo_artifact.location.state,
COUNT(ip_geo_artifact.location.state) AS count_state,
target.user.email_addresses[ORDINAL(1)] AS principal_user,
TIMESTAMP_SECONDS(MIN(metadata.event_timestamp.seconds)) AS first_observed,
TIMESTAMP_SECONDS(MAX(metadata.event_timestamp.seconds)) AS last_observed,
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
GROUP BY 1,3,5
HAVING count_country > 0
ORDER BY count_country DESC
La siguiente tabla contiene un ejemplo de los resultados que se podrían mostrar.
country_or_region | count_country | state | count_state | principal_user | first_observed | last_observed |
---|---|---|---|---|---|---|
Netherlands |
5 | North Holland |
5 | admin@acme.com |
2023-01-11 14:32:51 UTC | 2023-01-11 14:32:51 UTC |
Israel |
1 | Tel Aviv District |
1 | omri@acme.com |
2023-01-11 10:09:32 UTC | 2023-01-11 15:26:38 UTC |
En la siguiente consulta de SQL, se muestra cómo detectar la distancia entre dos ubicaciones.
SELECT
DISTINCT principal_user,
(ST_DISTANCE(north_pole,user_location)/1000) AS distance_to_north_pole_km
FROM (
SELECT
ST_GeogPoint(135.00,90.00) AS north_pole,
ST_GeogPoint(ip_geo_artifact.location.region_coordinates.longitude, ip_geo_artifact.location.region_coordinates.latitude) AS user_location,
target.user.email_addresses[ORDINAL(1)] AS principal_user
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
AND ip_geo_artifact.location.country_or_region != ""
)
ORDER BY 2 DESC
La siguiente tabla contiene un ejemplo de los resultados que se podrían mostrar.
principal_user |
distance_to_north_pole_km |
---|---|
omri@acme.com |
6438.98507 |
admin@acme.com |
4167.527018 |
Puedes lograr consultas un poco más útiles si aprovechas los polígonos de área para calcular un área razonable para viajar desde una ubicación en un intervalo determinado. También puedes verificar si varios valores de geografía coinciden para identificar las situaciones detecciones de viajes. Estas soluciones requieren una fuente de datos de ubicación geográfica precisa y coherente.
Ver campos enriquecidos en paneles
También puedes crear un panel con campos de UDM enriquecidos con ubicación geográfica. El gráfico muestra la ciudad de cada evento de UDM. Puedes cambiar el tipo de gráfico para ver la los datos en un formato diferente.
¿Qué sigue?
Obtén información para usar datos enriquecidos con otras operaciones de seguridad de Google , consulta lo siguiente:
- Usa datos enriquecidos en contexto en las reglas.
- Usa datos enriquecidos en contexto en la Búsqueda de UDM.