在报告中使用包含丰富情境的数据
支持的语言:
Google SecOps
SIEM
为了支持安全调查,Google Security Operations 会从不同来源提取情境数据,对提取的数据进行分析,并提供客户环境中有关制品的其他情境信息。本文档提供了一些示例,说明分析师如何在信息中心和 BigQuery 中的 Google SecOps 架构中使用情境丰富的数据。
如需详细了解数据扩充,请参阅 Google SecOps 如何扩充事件和实体数据。
使用地理位置丰富的数据
UDM 事件可能包含地理位置丰富数据,以便在调查期间提供更多背景信息。将 UDM 事件导出到 BigQuery 时,系统也会导出这些字段。本部分介绍了如何在创建报告时使用地理位置信息丰富字段。
查询 events 架构中的数据
您可以使用 BigQuery 中的 Google SecOps events 架构查询地理位置数据。以下示例是一个 SQL 查询,它会按用户和国家/地区返回所有 USER_LOGIN 事件的汇总结果,并包含首次和最后一次观测到的时间。
SELECT
ip_geo_artifact.location.country_or_region,
COUNT(ip_geo_artifact.location.country_or_region) AS count_country,
ip_geo_artifact.location.state,
COUNT(ip_geo_artifact.location.state) AS count_state,
target.user.email_addresses[ORDINAL(1)] AS principal_user,
TIMESTAMP_SECONDS(MIN(metadata.event_timestamp.seconds)) AS first_observed,
TIMESTAMP_SECONDS(MAX(metadata.event_timestamp.seconds)) AS last_observed,
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
GROUP BY 1,3,5
HAVING count_country > 0
ORDER BY count_country DESC
下表包含可能返回的结果示例。
| country_or_region | count_country | state | count_state | principal_user | first_observed | last_observed |
|---|---|---|---|---|---|---|
Netherlands |
5 | North Holland |
5 | admin@acme.com |
2023-01-11 14:32:51 UTC | 2023-01-11 14:32:51 UTC |
Israel |
1 | Tel Aviv District |
1 | omri@acme.com |
2023-01-11 10:09:32 UTC | 2023-01-11 15:26:38 UTC |
以下 SQL 查询演示了如何检测两个位置之间的距离。
SELECT
DISTINCT principal_user,
(ST_DISTANCE(north_pole,user_location)/1000) AS distance_to_north_pole_km
FROM (
SELECT
ST_GeogPoint(135.00,90.00) AS north_pole,
ST_GeogPoint(ip_geo_artifact.location.region_coordinates.longitude, ip_geo_artifact.location.region_coordinates.latitude) AS user_location,
target.user.email_addresses[ORDINAL(1)] AS principal_user
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
AND ip_geo_artifact.location.country_or_region != ""
)
ORDER BY 2 DESC
下表包含可能返回的结果示例。
principal_user |
distance_to_north_pole_km |
|---|---|
omri@acme.com |
6438.98507 |
admin@acme.com |
4167.527018 |
您可以利用区域多边形来计算在给定时间间隔内从某个位置出发的合理出行区域,从而实现稍微更有用的查询。您还可以检查多个地理位置值是否匹配,以识别不可能的出行检测结果。这些解决方案需要准确且一致的地理定位数据源。
在信息中心内查看已扩展的字段
您还可以使用地理定位丰富型 UDM 字段构建信息中心。此图表显示了每个 UDM 事件的城市。您可以更改图表类型,以采用其他格式查看数据。
后续步骤
如需了解如何将丰富的数据与其他 Google SecOps 功能搭配使用,请参阅以下内容:
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。