Menggunakan data yang diperkaya konteks dalam laporan

Didukung di:

Untuk mendukung penyelidikan keamanan, Google Security Operations menyerap data kontekstual dari berbagai sumber, melakukan analisis terhadap data yang diserap, dan memberikan konteks tambahan tentang artefak di lingkungan pelanggan. Dokumen ini memberikan contoh cara analis dapat menggunakan data yang diperkaya secara kontekstual dalam dasbor dan dalam skema Google SecOps di BigQuery.

Untuk mengetahui informasi selengkapnya tentang pengayaan data, lihat Cara Google SecOps memperkaya data peristiwa dan entitas.

Menggunakan data yang dilengkapi geolokasi

Peristiwa UDM dapat mencakup data yang diperkaya dengan geolokasi untuk memberikan konteks tambahan selama penyelidikan. Saat peristiwa UDM diekspor ke BigQuery, kolom ini juga diekspor. Bagian ini menjelaskan cara menggunakan kolom yang diperkaya geolokasi saat membuat laporan.

Membuat kueri data dalam skema events

Data geolokasi dapat dikueri menggunakan skema events Google SecOps di BigQuery. Contoh berikut adalah kueri SQL yang menampilkan hasil gabungan untuk semua peristiwa USER_LOGIN menurut pengguna, negara, dan dengan waktu pertama dan terakhir yang diamati.

SELECT
 ip_geo_artifact.location.country_or_region,
 COUNT(ip_geo_artifact.location.country_or_region) AS count_country,
 ip_geo_artifact.location.state,
 COUNT(ip_geo_artifact.location.state) AS count_state,
 target.user.email_addresses[ORDINAL(1)] AS principal_user,
 TIMESTAMP_SECONDS(MIN(metadata.event_timestamp.seconds)) AS first_observed,
 TIMESTAMP_SECONDS(MAX(metadata.event_timestamp.seconds)) AS last_observed,
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
GROUP BY 1,3,5
HAVING count_country > 0
ORDER BY count_country DESC

Tabel berikut berisi contoh hasil yang mungkin ditampilkan.

country_or_region count_country state count_state principal_user first_observed last_observed
Netherlands 5 North Holland 5 admin@acme.com 2023-01-11 14:32:51 UTC 2023-01-11 14:32:51 UTC
Israel 1 Tel Aviv District 1 omri@acme.com 2023-01-11 10:09:32 UTC 2023-01-11 15:26:38 UTC

Kueri SQL berikut menggambarkan cara mendeteksi jarak antara dua lokasi.

SELECT
DISTINCT principal_user,
(ST_DISTANCE(north_pole,user_location)/1000) AS distance_to_north_pole_km
FROM (
  SELECT
    ST_GeogPoint(135.00,90.00) AS north_pole,
    ST_GeogPoint(ip_geo_artifact.location.region_coordinates.longitude, ip_geo_artifact.location.region_coordinates.latitude) AS user_location,
    target.user.email_addresses[ORDINAL(1)] AS principal_user
  FROM `datalake.events`,
  UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
  WHERE DATE(hour_time_bucket) = "2023-01-11"
  AND metadata.event_type = 15001
  AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
  AND ip_geo_artifact.location.country_or_region != ""
)
ORDER BY 2 DESC

Tabel berikut berisi contoh hasil yang mungkin ditampilkan.

principal_user distance_to_north_pole_km
omri@acme.com 6438.98507
admin@acme.com 4167.527018

Anda dapat memperoleh kueri yang sedikit lebih berguna dengan memanfaatkan poligon area untuk menghitung area yang wajar untuk bepergian dari suatu lokasi dalam interval tertentu. Anda juga dapat memeriksa apakah beberapa nilai geografi cocok untuk mengidentifikasi deteksi perjalanan yang tidak mungkin. Solusi ini memerlukan sumber data geolokasi yang akurat dan konsisten.

Melihat kolom yang diperkaya di dasbor

Anda juga dapat membuat dasbor menggunakan kolom UDM yang diperkaya geolokasi. Diagram menampilkan kota setiap peristiwa UDM. Anda dapat mengubah jenis diagram untuk melihat data dalam format yang berbeda.

Langkah berikutnya

Untuk mengetahui informasi tentang cara menggunakan data yang telah di-enrich dengan fitur Google SecOps lainnya, lihat artikel berikut:

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.