Utilizzare i dati arricchiti dal contesto nei report

Per supportare le indagini sulla sicurezza, Google Security Operations importa dati contestuali da diverse origini, esegue analisi sui dati importati e fornisce un contesto aggiuntivo sugli artefatti in un ambiente cliente. Questo documento fornisce esempi di come gli analisti possono utilizzare i dati arricchiti contestuali nelle dashboard e negli schemi Google SecOps in BigQuery.

Per saperne di più sull'arricchimento dei dati, vedi In che modo Google SecOps arricchisce i dati di eventi ed entità.

Utilizzare dati arricchiti con la geolocalizzazione

Gli eventi UDM possono includere dati arricchiti con la geolocalizzazione per fornire un contesto aggiuntivo durante un'indagine. Quando gli eventi UDM vengono esportati in BigQuery, vengono esportati anche questi campi. Questa sezione spiega come utilizzare i campi arricchiti con la geolocalizzazione durante la creazione dei report.

Eseguire query sui dati nello schema events

È possibile eseguire query sui dati di geolocalizzazione utilizzando lo schema events di Google SecOps in BigQuery. Il seguente esempio è una query SQL che restituisce i risultati aggregati per tutti gli eventi USER_LOGIN per utente, paese e con la prima e l'ultima ora osservate.

SELECT
 ip_geo_artifact.location.country_or_region,
 COUNT(ip_geo_artifact.location.country_or_region) AS count_country,
 ip_geo_artifact.location.state,
 COUNT(ip_geo_artifact.location.state) AS count_state,
 target.user.email_addresses[ORDINAL(1)] AS principal_user,
 TIMESTAMP_SECONDS(MIN(metadata.event_timestamp.seconds)) AS first_observed,
 TIMESTAMP_SECONDS(MAX(metadata.event_timestamp.seconds)) AS last_observed,
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
GROUP BY 1,3,5
HAVING count_country > 0
ORDER BY count_country DESC

La tabella seguente contiene un esempio dei risultati che potrebbero essere restituiti.

La seguente query SQL mostra come rilevare la distanza tra due località.

SELECT
DISTINCT principal_user,
(ST_DISTANCE(north_pole,user_location)/1000) AS distance_to_north_pole_km
FROM (
  SELECT
    ST_GeogPoint(135.00,90.00) AS north_pole,
    ST_GeogPoint(ip_geo_artifact.location.region_coordinates.longitude, ip_geo_artifact.location.region_coordinates.latitude) AS user_location,
    target.user.email_addresses[ORDINAL(1)] AS principal_user
  FROM `datalake.events`,
  UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
  WHERE DATE(hour_time_bucket) = "2023-01-11"
  AND metadata.event_type = 15001
  AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
  AND ip_geo_artifact.location.country_or_region != ""
)
ORDER BY 2 DESC

La tabella seguente contiene un esempio dei risultati che potrebbero essere restituiti.

Puoi ottenere query leggermente più utili sfruttando i poligoni dell'area per calcolare un'area ragionevole per gli spostamenti da una posizione in un determinato intervallo. Puoi anche controllare se più valori geografici corrispondono per identificare rilevamenti di spostamenti impossibili. Queste soluzioni richiedono un'origine dati di geolocalizzazione accurata e coerente.

Visualizzare i campi con informazioni aggiuntive nelle dashboard

Puoi anche creare una dashboard utilizzando i campi UDM arricchiti con la geolocalizzazione. Il grafico mostra la città di ogni evento UDM. Puoi modificare il tipo di grafico per visualizzare i dati in un formato diverso.

Passaggi successivi

Per informazioni su come utilizzare i dati arricchiti con altre funzionalità di Google SecOps, consulta quanto segue:

• Utilizzare dati arricchiti dal contesto nelle regole.
• Utilizza dati arricchiti dal contesto nella ricerca UDM.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.