在報表中使用經過強化的內容資料
支援以下發布途徑:
Google secops
Siem
為協助進行安全調查,Google 安全營運團隊會擷取來自不同來源的背景資料,對擷取的資料進行分析,並提供客戶環境中構件相關的其他背景資訊。本文件提供範例,說明分析師如何在 BigQuery 的資訊主頁和 Google SecOps 結構定義中使用情境強化資料。
如要進一步瞭解資料強化功能,請參閱「Google SecOps 如何強化事件和實體資料」。
使用經過地理位置強化的資料
UDM 事件可能會包含經過強化的地理位置資料,以便在調查期間提供額外的背景資訊。當 UDM 事件匯出至 BigQuery 時,這些欄位也會一併匯出。本節說明如何在建立報表時使用經過強化的地理區域欄位。
查詢 events 結構定義中的資料
您可以使用 BigQuery 中的 Google SecOps events 結構定義查詢地理位置資料。以下範例是 SQL 查詢,可依使用者、國家/地區,以及首次和最後觀察到時間,傳回所有 USER_LOGIN 事件的匯總結果。
SELECT
ip_geo_artifact.location.country_or_region,
COUNT(ip_geo_artifact.location.country_or_region) AS count_country,
ip_geo_artifact.location.state,
COUNT(ip_geo_artifact.location.state) AS count_state,
target.user.email_addresses[ORDINAL(1)] AS principal_user,
TIMESTAMP_SECONDS(MIN(metadata.event_timestamp.seconds)) AS first_observed,
TIMESTAMP_SECONDS(MAX(metadata.event_timestamp.seconds)) AS last_observed,
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
GROUP BY 1,3,5
HAVING count_country > 0
ORDER BY count_country DESC
下表列出可能傳回的結果範例。
| country_or_region | count_country | state | count_state | principal_user | first_observed | last_observed |
|---|---|---|---|---|---|---|
Netherlands |
5 | North Holland |
5 | [email protected] |
2023-01-11 14:32:51 UTC | 2023-01-11 14:32:51 UTC |
Israel |
1 | Tel Aviv District |
1 | [email protected] |
2023-01-11 10:09:32 UTC | 2023-01-11 15:26:38 UTC |
以下 SQL 查詢說明如何偵測兩個地點之間的距離。
SELECT
DISTINCT principal_user,
(ST_DISTANCE(north_pole,user_location)/1000) AS distance_to_north_pole_km
FROM (
SELECT
ST_GeogPoint(135.00,90.00) AS north_pole,
ST_GeogPoint(ip_geo_artifact.location.region_coordinates.longitude, ip_geo_artifact.location.region_coordinates.latitude) AS user_location,
target.user.email_addresses[ORDINAL(1)] AS principal_user
FROM `datalake.events`,
UNNEST (principal.ip_geo_artifact) as ip_geo_artifact
WHERE DATE(hour_time_bucket) = "2023-01-11"
AND metadata.event_type = 15001
AND metadata.vendor_name IN ("Google Cloud Platform","Google Workspace")
AND ip_geo_artifact.location.country_or_region != ""
)
ORDER BY 2 DESC
下表列出可能傳回的結果範例。
principal_user |
distance_to_north_pole_km |
|---|---|
[email protected] |
6438.98507 |
[email protected] |
4167.527018 |
您可以利用區域多邊形計算特定區間內從某個位置出發的合理移動範圍,以便執行更實用的查詢。您也可以檢查是否有多個地理位置值相符,藉此找出不可能的移動偵測。這些解決方案需要具備準確且一致的地理位置資料來源。
在資訊主頁中查看經過補充的欄位
您也可以使用經過地理位置強化的 UDM 欄位建立資訊主頁。這張圖表會顯示每個 UDM 事件的城市。您可以變更圖表類型,以其他格式查看資料。
後續步驟
如要瞭解如何將經過強化的資料與其他 Google SecOps 功能搭配使用,請參閱以下內容:
還有其他問題嗎?向社群成員和 Google SecOps 專家尋求解答。