UDM-Suche – Zeitraum verwenden und Abfragen verwalten

Unterstützt in:

Mit Google Security Operations können Sie bis zu ein Jahr lang in den in Ihrem Konto gespeicherten Unternehmensdaten suchen. Außerdem enthält es eine Reihe von Tools, mit denen Sie mehrere UDM-Suchanfragen ausführen und die Ergebnisse dieser Abfragen später abrufen und freigeben können.

Mit UDM nach Daten aus bis zu einem Jahr suchen

Sie können eine UDM-Suche für bis zu ein Jahr Ihrer UDM-Daten durchführen. So passen Sie den Zeitraum für die UDM-Suche an:

  1. Gehen Sie zu Untersuchung > SIEM-Suche.
  2. Klicken Sie auf das Feld für die Zeitauswahl, um das Dialogfeld für die Zeitauswahl zu öffnen.
  3. Passen Sie den Zeitraum auf dem Tab Zeitraum (Standardtab) an, indem Sie eine der Optionen von Letzte 5 Minuten bis Letztes Jahr auswählen.
  4. Mit den Feldern Start und Ende können Sie einen genaueren Zeitraum auswählen, z. B. die ersten zwei Wochen im November.
  5. Passen Sie die Zeiten an, indem Sie bestimmte Start- und Endwerte auswählen, z. B. 03:00 und 08:30.
  6. Klicken Sie auf Übernehmen und dann auf Suche ausführen.

Gleichzeitige Suchanfragen ausführen und Suchanfragen verwalten

Für parallele Suchanfragen und gespeicherte Ergebnisse muss die Suchverlaufsfunktion aktiviert sein. So prüfen Sie, ob der Suchverlauf aktiviert ist:

  1. Gehen Sie zu Untersuchung > SIEM-Suche.

  2. Klicken Sie auf Verlauf. Wenn die Meldung Suchverlauf deaktiviert angezeigt wird, fahren Sie mit dem nächsten Schritt fort. Wenn Sie diese Meldung nicht sehen, ist der Suchverlauf für Ihr Konto bereits aktiviert.

  3. Klicken Sie auf das Dreipunkt-Menü und wählen Sie Suchverlauf aktivieren aus.

Suchanfragen verwalten

Sie können mehrere UDM-Suchanfragen ausführen, vorherige Suchergebnisse abrufen und Ihre Suchergebnisse für andere Teammitglieder freigeben:

  • Mehrere UDM-Suchanfragen ausführen: Während eine Suchanfrage ausgeführt wird, können Sie im Abfrageeditor weitere Suchanfragen ausführen. Google Security Operations führt Ihre bisherigen Suchanfragen fort und führt die neuen Suchanfragen parallel aus.

  • Abfrageergebnisse ansehen: Sie können den Abfrageverlauf durchsuchen und innerhalb von 24 Stunden nach dem Ausführen einer Abfrage Suchergebnisse auswählen. Klicken Sie auf Verlauf und wählen Sie eine Ihrer Suchanfragen aus der Liste aus.

    Laufende Abfragen werden mit einem kreisförmigen Statussymbol angezeigt. Abgeschlossene Abfragen werden mit einem grünen Häkchen und einem Zähler angezeigt, der die Anzahl der von der Abfrage zurückgegebenen Ereignisse angibt. Klicken Sie auf eine abgeschlossene Abfrage, um die Ergebnisse zu sehen. Diese Ergebnisse werden im Cache gespeichert und enthalten nur die Daten, die zum Zeitpunkt der Abfrageausführung verfügbar sind. Sie können jedoch auf Im Cache Noch einmal ausführen klicken, um die Abfrage mit den neuesten Daten auszuführen. Diese neue Ausführung wird dem Suchverlauf hinzugefügt und die Ergebnisse werden verfügbar gemacht, sobald die Abfrage abgeschlossen ist.

  • Suchergebnisse teilen: Kopieren Sie die URL der Suchergebnisse, um sie mit anderen Nutzern zu teilen.

    Wenn Suchergebnisse gespeichert werden, werden auch die RBAC-Bereiche des Nutzers, der die Suche ausgeführt hat, zusammen mit den Ergebnissen gespeichert. Wenn sich diese Ergebnisse ein anderer Nutzer ansieht, wird der RBAC-Bereich des Betrachters mit den gespeicherten Bereichen verglichen. Wenn die Zugriffsbereiche des Betrachters restriktiver sind, wird eine Fehlermeldung angezeigt und er kann die Ergebnisse nicht sehen.

    Gespeicherte Suchergebnisse laufen 24 Stunden nach Ausführung einer Abfrage ab. Ihre Suchanfrage ist jedoch weiterhin im Bereich Verlauf verfügbar. Sie können Ihre Suchanfragen noch einmal ausführen. Die Ergebnisse sind bis zu 24 Stunden nach der Abfrage verfügbar.