Cómo usar datos enriquecidos con contexto en los informes
Para respaldar las investigaciones de seguridad, Google Security Operations transfiere datos contextuales de diferentes fuentes, realiza análisis sobre los datos transferidos y proporciona contexto adicional sobre los artefactos en el entorno del cliente. En este documento, se proporcionan ejemplos de cómo los analistas pueden usar datos enriquecidos contextuales en los paneles y en los esquemas de Google SecOps en BigQuery.
Para obtener más información sobre el enriquecimiento de datos, consulta Cómo Google SecOps enriquece los datos de eventos y entidades.
Usa datos enriquecidos con la ubicación geográfica
Los eventos del UDM pueden incluir datos enriquecidos con la ubicación geográfica para proporcionar contexto adicional durante una investigación. Cuando los eventos del UDM se exportan a BigQuery, también se exportan estos campos. En esta sección, se explica cómo usar los campos enriquecidos con datos de ubicación geográfica cuando creas informes.
Consulta datos en el esquema events
Los datos de ubicación geográfica se pueden consultar con el esquema events de Google SecOps en BigQuery.
El siguiente ejemplo es una consulta en SQL que devuelve resultados agregados para todos los eventos de USER_LOGIN por usuario y país, y con las primeras y últimas horas observadas.
SELECT
ip_geo_artifact.location.country_or_region,
COUNT(ip_geo_artifact.location.country_or_region) AS count_country,
ip_geo_artifact.location.state,
COUNT(ip_geo_artifact.location.state) AS count_state,
target.user.email_addresses[ORDINAL(1)] AS principal_user,
TIMESTAMP_SECONDS(MIN(metadata.event_timestamp.seconds)) AS first_observed,
TIMESTAMP_SECONDS(MAX(metadata.event_timestamp.seconds)) AS last_observed,
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
GROUP BY 1,3,5
HAVING count_country > 0
ORDER BY count_country DESC
En la siguiente tabla, se incluye un ejemplo de los resultados que se podrían devolver.
| country_or_region | count_country | state | count_state | principal_user | first_observed | last_observed |
|---|---|---|---|---|---|---|
Netherlands |
5 | North Holland |
5 | admin@acme.com |
2023-01-11 14:32:51 UTC | 2023-01-11 14:32:51 UTC |
Israel |
1 | Tel Aviv District |
1 | omri@acme.com |
2023-01-11 10:09:32 UTC | 2023-01-11 15:26:38 UTC |
La siguiente consulta en SQL ilustra cómo detectar la distancia entre dos ubicaciones.
SELECT
DISTINCT principal_user,
(ST_DISTANCE(north_pole,user_location)/1000) AS distance_to_north_pole_km
FROM (
SELECT
ST_GeogPoint(135.00,90.00) AS north_pole,
ST_GeogPoint(ip_geo_artifact.location.region_coordinates.longitude, ip_geo_artifact.location.region_coordinates.latitude) AS user_location,
target.user.email_addresses[ORDINAL(1)] AS principal_user
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
AND ip_geo_artifact.location.country_or_region != ""
)
ORDER BY 2 DESC
En la siguiente tabla, se incluye un ejemplo de los resultados que se podrían devolver.
principal_user |
distance_to_north_pole_km |
|---|---|
omri@acme.com |
6438.98507 |
admin@acme.com |
4167.527018 |
Puedes lograr consultas un poco más útiles aprovechando los polígonos de área para calcular un área razonable para viajar desde una ubicación en un intervalo determinado. También puedes verificar si coinciden varios valores geográficos para identificar detecciones de viajes imposibles. Estas soluciones requieren una fuente de datos de ubicación geográfica precisa y coherente.
Cómo ver campos enriquecidos en los paneles
También puedes crear un panel con campos del UDM enriquecidos con datos de ubicación geográfica. En el gráfico, se muestra la ciudad de cada evento de UDM. Puedes cambiar el tipo de gráfico para ver los datos en un formato diferente.
¿Qué sigue?
Si deseas obtener información para usar datos enriquecidos con otras funciones de Google SecOps, consulta lo siguiente:
- Usa datos enriquecidos con contexto en las reglas.
- Usa datos enriquecidos con contexto en la búsqueda de UDM.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.