Utiliser des données enrichies de contexte dans les rapports

Pour faciliter les investigations de sécurité, Google Security Operations ingère des données contextuelles provenant de différentes sources, effectue une analyse des données ingérées et fournit un contexte supplémentaire sur les artefacts dans un environnement client. Ce document fournit des exemples d'utilisation des données enrichies de contexte dans les tableaux de bord et les schémas Google SecOps dans BigQuery.

Pour en savoir plus sur l'enrichissement des données, consultez Comment Google SecOps enrichit les données sur les événements et les entités.

Utiliser des données enrichies de géolocalisation

Les événements UDM peuvent inclure des données enrichies de géolocalisation pour fournir un contexte supplémentaire lors d'une enquête. Lorsque des événements UDM sont exportés vers BigQuery, ces champs sont également exportés. Cette section explique comment utiliser les champs enrichis de géolocalisation lorsque vous créez des rapports.

Interroger les données du schéma events

Vous pouvez interroger les données de géolocalisation à l'aide du schéma events Google SecOps dans BigQuery. L'exemple suivant est une requête SQL qui renvoie des résultats agrégés pour tous les événements USER_LOGIN par utilisateur, par pays, et avec les premières et dernières heures observées.

SELECT
 ip_geo_artifact.location.country_or_region,
 COUNT(ip_geo_artifact.location.country_or_region) AS count_country,
 ip_geo_artifact.location.state,
 COUNT(ip_geo_artifact.location.state) AS count_state,
 target.user.email_addresses[ORDINAL(1)] AS principal_user,
 TIMESTAMP_SECONDS(MIN(metadata.event_timestamp.seconds)) AS first_observed,
 TIMESTAMP_SECONDS(MAX(metadata.event_timestamp.seconds)) AS last_observed,
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
GROUP BY 1,3,5
HAVING count_country > 0
ORDER BY count_country DESC

Le tableau suivant contient un exemple de résultats pouvant être renvoyés.

La requête SQL suivante montre comment détecter la distance entre deux lieux.

SELECT
DISTINCT principal_user,
(ST_DISTANCE(north_pole,user_location)/1000) AS distance_to_north_pole_km
FROM (
  SELECT
    ST_GeogPoint(135.00,90.00) AS north_pole,
    ST_GeogPoint(ip_geo_artifact.location.region_coordinates.longitude, ip_geo_artifact.location.region_coordinates.latitude) AS user_location,
    target.user.email_addresses[ORDINAL(1)] AS principal_user
  FROM `datalake.events`,
  UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
  WHERE DATE(hour_time_bucket) = "2023-01-11"
  AND metadata.event_type = 15001
  AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
  AND ip_geo_artifact.location.country_or_region != ""
)
ORDER BY 2 DESC

Le tableau suivant contient un exemple de résultats qui peuvent être renvoyés.

Vous pouvez obtenir des requêtes légèrement plus utiles en utilisant des polygones de zone pour calculer une zone raisonnable pour les trajets à partir d'un emplacement dans un intervalle donné. Vous pouvez également vérifier si plusieurs valeurs géographiques correspondent pour identifier les détections de déplacements impossibles. Ces solutions nécessitent une source de données de géolocalisation précise et cohérente.

Afficher les champs enrichis dans les tableaux de bord

Vous pouvez également créer un tableau de bord à l'aide de champs UDM enrichis de géolocalisation. Le graphique affiche la ville de chaque événement UDM. Vous pouvez modifier le type de graphique pour afficher les données dans un autre format.

Étape suivante

Pour savoir comment utiliser les données enrichies avec d'autres fonctionnalités Google SecOps, consultez les pages suivantes:

• Utilisez des données enrichies de contexte dans les règles.
• Utilisez des données enrichies de contexte dans la recherche UDM.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.