Utiliser des données enrichies par le contexte dans les rapports
Pour faciliter les investigations de sécurité, Google Security Operations ingère des données contextuelles provenant de différentes sources, effectue des analyses sur les données ingérées et fournit un contexte supplémentaire sur les artefacts dans un environnement client. Ce document fournit des exemples de la façon dont les analystes peuvent utiliser des données enrichies contextuelles dans les tableaux de bord et dans les schémas Google SecOps dans BigQuery.
Pour en savoir plus sur l'enrichissement des données, consultez Comment Google SecOps enrichit les données d'événements et d'entités.
Utiliser des données enrichies par la géolocalisation
Les événements UDM peuvent inclure des données enrichies par géolocalisation pour fournir un contexte supplémentaire lors d'une investigation. Lorsque des événements UDM sont exportés vers BigQuery, ces champs le sont également. Cette section explique comment utiliser les champs enrichis par la géolocalisation lors de la création de rapports.
Interroger les données dans le schéma events
Vous pouvez interroger les données de géolocalisation à l'aide du schéma events Google SecOps dans BigQuery.
L'exemple suivant est une requête SQL qui renvoie des résultats agrégés pour tous les événements USER_LOGIN par utilisateur et par pays, avec les première et dernière heures observées.
SELECT
ip_geo_artifact.location.country_or_region,
COUNT(ip_geo_artifact.location.country_or_region) AS count_country,
ip_geo_artifact.location.state,
COUNT(ip_geo_artifact.location.state) AS count_state,
target.user.email_addresses[ORDINAL(1)] AS principal_user,
TIMESTAMP_SECONDS(MIN(metadata.event_timestamp.seconds)) AS first_observed,
TIMESTAMP_SECONDS(MAX(metadata.event_timestamp.seconds)) AS last_observed,
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
GROUP BY 1,3,5
HAVING count_country > 0
ORDER BY count_country DESC
Le tableau suivant contient un exemple de résultats pouvant être renvoyés.
| country_or_region | count_country | state | count_state | principal_user | first_observed | last_observed |
|---|---|---|---|---|---|---|
Netherlands |
5 | North Holland |
5 | admin@acme.com |
2023-01-11 14:32:51 UTC | 2023-01-11 14:32:51 UTC |
Israel |
1 | Tel Aviv District |
1 | omri@acme.com |
2023-01-11 10:09:32 UTC | 2023-01-11 15:26:38 UTC |
La requête SQL suivante illustre comment détecter la distance entre deux lieux.
SELECT
DISTINCT principal_user,
(ST_DISTANCE(north_pole,user_location)/1000) AS distance_to_north_pole_km
FROM (
SELECT
ST_GeogPoint(135.00,90.00) AS north_pole,
ST_GeogPoint(ip_geo_artifact.location.region_coordinates.longitude, ip_geo_artifact.location.region_coordinates.latitude) AS user_location,
target.user.email_addresses[ORDINAL(1)] AS principal_user
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
AND ip_geo_artifact.location.country_or_region != ""
)
ORDER BY 2 DESC
Le tableau suivant contient un exemple de résultats pouvant être renvoyés.
principal_user |
distance_to_north_pole_km |
|---|---|
omri@acme.com |
6438.98507 |
admin@acme.com |
4167.527018 |
Vous pouvez obtenir des requêtes légèrement plus utiles en utilisant des polygones de zone pour calculer une zone de déplacement raisonnable à partir d'un lieu dans un intervalle donné. Vous pouvez également vérifier si plusieurs valeurs géographiques correspondent pour identifier les détections de déplacements impossibles. Ces solutions nécessitent une source de données de géolocalisation précise et cohérente.
Afficher les champs enrichis dans les tableaux de bord
Vous pouvez également créer un tableau de bord à l'aide des champs UDM enrichis par la géolocalisation. Le graphique affiche la ville de chaque événement UDM. Vous pouvez modifier le type de graphique pour afficher les données dans un format différent.
Étapes suivantes
Pour savoir comment utiliser les données enrichies avec d'autres fonctionnalités Google SecOps, consultez les pages suivantes :
- Utilisez des données enrichies par le contexte dans les règles.
- Utiliser des données enrichies par le contexte dans la recherche UDM
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.