Kontextbezogene Daten in Berichten verwenden

Zur Unterstützung von Sicherheitsuntersuchungen werden in Google Security Operations Kontextdaten aus verschiedenen Quellen aufgenommen, die aufgenommenen Daten werden analysiert und es wird zusätzlicher Kontext zu Artefakten in einer Kundenumgebung bereitgestellt. In diesem Dokument finden Sie Beispiele dafür, wie Analysten kontextbezogene angereicherte Daten in Dashboards und in Google SecOps-Schemas in BigQuery verwenden können.

Weitere Informationen zur Datenanreicherung finden Sie unter So reichert Google SecOps Ereignis- und Entitätsdaten an.

Mit Standortdaten angereicherte Daten verwenden

UDM-Ereignisse können mit Geolocation-Daten angereichert werden, um bei der Untersuchung zusätzlichen Kontext zu liefern. Wenn UDM-Ereignisse nach BigQuery exportiert werden, werden auch diese Felder exportiert. In diesem Abschnitt wird erläutert, wie Sie beim Erstellen von Berichten Felder mit Geolocation-Informationen verwenden.

Daten im events-Schema abfragen

Geolokalisierungsdaten können mit dem Google SecOps-Schema events in BigQuery abgefragt werden. Das folgende Beispiel zeigt eine SQL-Abfrage, die zusammengefasste Ergebnisse für alle USER_LOGIN-Ereignisse nach Nutzer und Land sowie mit den ersten und letzten beobachteten Zeiten zurückgibt.

SELECT
 ip_geo_artifact.location.country_or_region,
 COUNT(ip_geo_artifact.location.country_or_region) AS count_country,
 ip_geo_artifact.location.state,
 COUNT(ip_geo_artifact.location.state) AS count_state,
 target.user.email_addresses[ORDINAL(1)] AS principal_user,
 TIMESTAMP_SECONDS(MIN(metadata.event_timestamp.seconds)) AS first_observed,
 TIMESTAMP_SECONDS(MAX(metadata.event_timestamp.seconds)) AS last_observed,
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
GROUP BY 1,3,5
HAVING count_country > 0
ORDER BY count_country DESC

Die folgende Tabelle enthält ein Beispiel für die Ergebnisse, die zurückgegeben werden können.

Die folgende SQL-Abfrage veranschaulicht, wie die Entfernung zwischen zwei Standorten ermittelt wird.

SELECT
DISTINCT principal_user,
(ST_DISTANCE(north_pole,user_location)/1000) AS distance_to_north_pole_km
FROM (
  SELECT
    ST_GeogPoint(135.00,90.00) AS north_pole,
    ST_GeogPoint(ip_geo_artifact.location.region_coordinates.longitude, ip_geo_artifact.location.region_coordinates.latitude) AS user_location,
    target.user.email_addresses[ORDINAL(1)] AS principal_user
  FROM `datalake.events`,
  UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
  WHERE DATE(hour_time_bucket) = "2023-01-11"
  AND metadata.event_type = 15001
  AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
  AND ip_geo_artifact.location.country_or_region != ""
)
ORDER BY 2 DESC

Die folgende Tabelle enthält ein Beispiel für die Ergebnisse, die zurückgegeben werden können.

Sie können etwas nützlichere Abfragen erstellen, indem Sie Flächenpolygone verwenden, um eine angemessene Fläche für die Reise von einem Standort in einem bestimmten Intervall zu berechnen. Sie können auch prüfen, ob mehrere geografische Werte übereinstimmen, um unmögliche Reiseerkennungen zu identifizieren. Für diese Lösungen ist eine genaue und konsistente Geolocation-Datenquelle erforderlich.

Angereicherte Felder in Dashboards ansehen

Sie können auch ein Dashboard mit UDM-Feldern erstellen, die mit Standortdaten angereichert sind. Im Diagramm wird die Stadt jedes UDM-Ereignisses angezeigt. Sie können den Diagrammtyp ändern, um die Daten in einem anderen Format zu sehen.

Nächste Schritte

Informationen zur Verwendung angereicherter Daten mit anderen Google SecOps-Funktionen finden Sie unter:

• Kontextbezogene Daten in Regeln verwenden
• Kontextbezogene Daten in UDM Search verwenden

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten