Utilizzare l'intervallo di tempo della Ricerca UDM e gestire le query

Supportato in:

Google Security Operations ti consente di cercare fino a un anno di dati aziendali memorizzati nel tuo account. Include anche una serie di strumenti che consentono di eseguire più query di ricerca UDM e in un secondo momento recuperare e condividere i risultati di queste query.

Utilizzare UDM per cercare fino a un anno di dati

Puoi eseguire una ricerca UDM su un massimo di un anno di dati UDM. Per modificare il periodo di tempo per la ricerca UDM:

  1. Vai a Indagine > Ricerca SIEM.
  2. Fai clic sul campo del selettore dell'ora per aprire la finestra di dialogo del selettore dell'ora.
  3. Nella scheda Intervallo (la scheda predefinita), modifica l'intervallo di tempo selezionando una delle opzioni da Ultimi 5 minuti a Ultimo anno.
  4. Utilizza i campi Inizio e Fine per scegliere un intervallo di date più specifico (ad es. le prime due settimane di novembre).
  5. Modifica gli orari selezionando valori di inizio e di fine specifici, ad esempio 03:00 e 08:30.
  6. Fai clic su Applica e poi su Esegui ricerca.

Eseguire ricerche simultane e gestire le query di ricerca

Le ricerche simultanee e i risultati memorizzati richiedono l'attivazione della funzionalità della cronologia delle ricerche. Per assicurarti che la cronologia delle ricerche sia attiva:

  1. Vai a Indagine > Ricerca SIEM.

  2. Fai clic su Cronologia. Se viene visualizzato il messaggio La cronologia delle ricerche è disabilitata, vai al passaggio successivo. Se non vedi questo messaggio, significa che la cronologia della Ricerca è già attivata per il tuo account.

  3. Fai clic su more_vert e seleziona Attiva la cronologia delle ricerche.

Gestire le query di ricerca

Puoi eseguire più ricerche UDM, recuperare i risultati di ricerca delle query precedenti e condividere i risultati delle query con altri membri del team:

  • Esegui più ricerche UDM: mentre è in corso una query di ricerca, puoi eseguire altre ricerche nell'editor di query. Google Security Operations continua a eseguire le ricerche precedenti e le nuove ricerche in parallelo.

  • Visualizza i risultati delle query: scorri la cronologia delle query e seleziona i risultati di ricerca entro 24 ore dall'esecuzione di una query. Fai clic su Cronologia e seleziona una delle tue query dall'elenco.

    Le query in corso vengono visualizzate con un'icona di stato circolare. Le query completate sono visualizzate con un'icona con un segno di spunta verde, insieme a un contatore che indica il numero di eventi restituiti dalla query. Fai clic su una query completata per visualizzare i risultati. Questi risultati vengono memorizzati nella cache e includono solo i dati disponibili al momento dell'esecuzione della query. Tuttavia, puoi fare clic su memorizzata nella cache Esegui di nuovo per eseguire la query sui dati più recenti. Questa nuova esecuzione viene aggiunta alla cronologia delle ricerche e i risultati vengono resi disponibili al termine della query.

  • Condividi i risultati della query: copia l'URL dei risultati della query per condividerli con altri utenti.

    Quando i risultati di ricerca vengono archiviati, vengono archiviati anche gli ambiti RBAC dell'utente che ha eseguito la ricerca. Quando questi risultati vengono visualizzati da un altro utente, l'ambito RBAC del visualizzatore viene confrontato con gli ambiti archiviati. Se gli scopi dello spettatore sono più restrittivi, viene visualizzato un errore e lo spettatore non potrà visualizzare i risultati.

    I risultati di ricerca archiviati scadono 24 ore dopo l'esecuzione di una query. Tuttavia, la query di ricerca è ancora disponibile nel riquadro Cronologia. Puoi eseguire nuovamente le ricerche e i risultati vengono resi disponibili per un massimo di 24 ore dopo il tempo di esecuzione della query.