Cette page a été traduite par l'API Cloud Translation.

Bonnes pratiques de recherche UDM

Compatible avec:

Google SecOps SIEM

Ce document décrit les bonnes pratiques recommandées par Google pour effectuer des recherches à l'aide de la recherche UDM. Les recherches UDM peuvent nécessiter des ressources de calcul importantes pour être effectuées si elles ne sont pas conçues avec soin. Les performances varient également en fonction de la taille et de la complexité des données de votre instance Google Security Operations.

Création de base d'une recherche UDM

Chaque condition doit être au format udm-field operator value.

Par exemple : principal.hostname = "win-server"

Optimiser la période de votre recherche dans le journal des modifications

Essayez toujours de réduire la période au minimum nécessaire. Google Security Operations peut ingérer une quantité énorme de données. Limiter la portée de ces données lors d'une recherche peut donc améliorer considérablement les performances de recherche.

Utiliser des expressions régulières avec la recherche UDM

Vous pouvez utiliser des expressions régulières lorsque vous effectuez des recherches dans la base de données UDM:

Utilisez AND, OR et NOT.
AND est supposé en l'absence des autres opérateurs.
Utilisez des parenthèses pour modifier l'ordre de priorité. Vous pouvez utiliser un maximum de 169 opérateurs logiques (OR, AND et NOT) entre parenthèses.
Selon le type de champ, les opérateurs de champ peuvent inclure les éléments suivants : = != >= > < <=

Vous pouvez également utiliser les listes de référence.

Utiliser "nocase" comme modificateur de recherche

nocase peut être utilisé comme modificateur pour ignorer la casse.

Par exemple, la recherche suivante n'est pas valide:

target.user.userid = "TIM.SMITH" nocase

Les expressions régulières ne fonctionnent pas pour les champs énumérés

Vous ne pouvez pas utiliser d'expressions régulières pour les champs énumérés (champs avec une plage de valeurs prédéfinies) tels que metadata.event_type ou network.ip_protocol.

Par exemple, la recherche suivante n'est pas valide:

metadata.eventtype = /NETWORK*/

Toutefois, la recherche suivante est valide (et correspond à peu près à ce qui a été tenté ci-dessus):

(metadata.event_type = "NETWORK_CONNECTION" or metadata.event_type = "NETWORK_DHCP")

Utiliser tous les opérateurs dans le champ "Événements"

Dans la recherche UDM, certains champs sont marqués comme répétés, ce qui signifie qu'ils sont des listes de valeurs ou d'autres types de messages. Contrairement à YARA-L, les champs répétés dans la recherche UDM sont toujours traités avec l'opérateur any par défaut, sans possibilité de spécifier all dans votre recherche.

Lorsque l'opérateur any est utilisé, le prédicat est évalué comme vrai si une valeur du champ répété remplit la condition. Par exemple, si vous recherchez principal.ip != "1.2.3.4" et que les événements de votre recherche incluent à la fois principal.ip = "1.2.3.4" et principal.ip = "5.6.7.8", la recherche générera des correspondances. Cette opération élargit votre recherche pour inclure les résultats correspondant à l'un des opérateurs au lieu de tous.

Chaque élément du champ répété est traité individuellement. Si le champ répété est détecté dans les événements de la recherche, les événements sont évalués pour chaque élément du champ. Cela peut entraîner un comportement inattendu, en particulier lors d'une recherche à l'aide de l'opérateur !=.

Lorsque vous utilisez l'opérateur any, le prédicat est évalué comme vrai si une valeur du champ répété remplit la condition.

Les codes temporels utilisent l'epoch Unix

Les champs de code temporel sont mis en correspondance à l'aide de l'époque Unix (nombre de secondes écoulées depuis le jeudi 1er janvier 1970 à 00:00:00).

Lorsque vous recherchez un code temporel spécifique, la valeur suivante (en temps Unix) est valide:

metadata.ingested_timestamp.seconds = 1660784400

L'horodatage suivant n'est pas valide:

metadata.ingested_timestamp = "2022-08-18T01:00:00Z"

Certains champs sont exclus des filtres, y compris les suivants:

metadata.id
metadata.product_log_id
*.timestamp

Étant donné que ces champs ont tendance à avoir des valeurs uniques, les afficher crée plus de "bruit" que de valeur dans l'interface de recherche UDM.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.