UDM 検索のベスト プラクティス
このドキュメントでは、UDM 検索 を使用して検索を行う際の Google が推奨するベスト プラクティスについて説明します。UDM 検索では、注意深く構築しないと大量の計算リソースが必要になります。また、Google Security Operations インスタンス内のデータのサイズや複雑さによってパフォーマンスも変わります。
UDM 検索の基本的な構築
各条件は、udm-field operator value の形式でなければなりません。
次に例を示します。principal.hostname = "win-server"
UDM 検索の期間を最適化する
期間は常に必要最小限に絞り込むようにしてください。Google Security Operations では、膨大な量のデータが取り込まれるため、検索の実施中にそのデータの範囲を制限すると、検索のパフォーマンスが大幅に向上します。
UDM 検索で正規表現を使用する
UDM 検索では、正規表現を使用できます。
AND、OR、NOTを使用します。- 他の演算子がない場合は、
ANDとみなされます。 - 優先順位を変更するには、かっこを使用します。かっこで使用できる論理演算子(
OR、AND、NOT)の最大数は 169 個です。 - フィールド タイプに応じて、フィールド演算子には「
= != >= > < <=」を含めることができます。
または、リファレンス リストを使用することもできます。
検索修飾子として nocase を使用する
大文字の使用を無視するために、nocase を修飾子として使用できます。
たとえば、次の検索は無効です。
target.user.userid = "TIM.SMITH" nocase
正規表現が列挙型フィールドで機能しない
列挙型フィールド(事前定義された値の範囲を持つフィールド)には、metadata.event_type や network.ip_protocol などの正規表現を使用できません。
たとえば、次の検索は無効です。
metadata.eventtype = /NETWORK*/
ただし、次の検索は有効です(上の記述が想定したと考えられる結果が返されます)。
(metadata.event_type = "NETWORK_CONNECTION" or
metadata.event_type = "NETWORK_DHCP")
Events フィールドであらゆるすべての演算子を使用する
UDM 検索では、一部のフィールドが繰り返しとしてラベル付けされ、値やその他の種類のメッセージのリストであることを示します。YARA-L とは異なり、UDM 検索の繰り返しフィールドは、デフォルトで常に any 演算子で処理され、検索で all を指定することはできません。
any 演算子を使用すると、繰り返しフィールドの値のいずれかが条件を満たした場合に、述語が true と評価されます。たとえば、principal.ip != "1.2.3.4" を検索し、検索結果に principal.ip = "1.2.3.4" と principal.ip = "5.6.7.8" の両方を含むイベントが含まれている場合、検索結果に一致するイベントが生成されます。これにより、すべての演算子と一致する代わりに、いずれかの演算子と一致する結果を含むように検索が拡張されます。
繰り返しフィールドの各要素は個別に処理されます。検索結果のイベントで繰り返しフィールドが見つかった場合、フィールド内の各要素についてイベントが評価されます。これにより、特に != 演算子を使用して検索する場合に、予期しない動作が発生する可能性があります。
any 演算子を使用すると、繰り返しフィールドの値のいずれかが条件を満たした場合に、述語が true と評価されます。
タイムスタンプは Unix エポック時間を使用します
タイムスタンプ フィールドは、Unix エポック時間(1970 年 1 月 1 日木曜日 00:00:00 からの経過秒数)を使用して照合されます。
特定のタイムスタンプを検索する場合、次の値(エポック時間)が有効です。
metadata.ingested_timestamp.seconds = 1660784400
次のタイムスタンプは無効です。
metadata.ingested_timestamp = "2022-08-18T01:00:00Z"
次のような特定のフィールドはフィルタから除外されます。
metadata.idmetadata.product_log_id*.timestamp
このようなフィールドには、固有の値が含まれる傾向があるため、UDM 検索インターフェースより「ノイズ」が多く発生します。