UDM 검색 기간 사용 및 쿼리 관리

다음에서 지원:

Google Security Operations를 사용하면 계정에 저장된 최대 1년간의 기업 데이터를 검색할 수 있습니다. 또한 여러 UDM 검색 쿼리를 실행하고 나중에 이러한 쿼리의 결과를 검색하고 공유할 수 있는 여러 도구가 포함되어 있습니다.

UDM을 사용하여 최대 1년간의 데이터 검색

최대 1년간의 UDM 데이터에 대해 UDM 검색을 실행할 수 있습니다. UDM 검색 기간을 조정하려면 다음 단계를 완료하세요.

  1. 조사 > SIEM 검색으로 이동합니다.
  2. 시간 선택기 필드를 클릭하여 시간 선택기 대화상자를 엽니다.
  3. 기간 탭 (기본 탭)에서 지난 5분부터 지난해까지의 옵션 중 하나를 선택하여 기간을 조정합니다.
  4. 시작종료 필드를 사용하여 더 구체적인 기간 (예: 11월 첫 2주)을 선택합니다.
  5. 03:00 및 08:30과 같은 특정 시작 값과 종료 값을 선택하여 시간을 조정합니다.
  6. 적용을 클릭한 다음 검색 실행을 클릭합니다.

동시 검색 실행 및 검색어 관리

동시 검색 및 저장된 결과를 사용하려면 검색 기록 기능이 활성 상태여야 합니다. 검색 기록을 사용 설정하려면 다음 단계를 완료하세요.

  1. 조사 > SIEM 검색으로 이동합니다.

  2. 기록을 클릭합니다. 검색 기록이 사용 중지됨 메시지가 표시되면 다음 단계로 진행합니다. 이 메시지가 표시되지 않으면 계정에 검색 기록이 이미 사용 설정되어 있는 것입니다.

  3. more_vert 를 클릭하고 검색 기록 선택을 선택합니다.

검색어 관리

여러 UDM 검색을 실행하고, 이전 검색 결과를 검색하고, 검색 결과를 팀의 다른 구성원과 공유할 수 있습니다.

  • UDM 검색 여러 개 실행: 검색어가 실행되는 동안 쿼리 편집기에서 추가 검색을 실행할 수 있습니다. Google Security Operations는 이전 검색을 계속 실행하고 새 검색을 동시에 실행합니다.

  • 검색 결과 보기: 쿼리 기록을 스크롤하고 쿼리를 실행한 후 24시간 이내에 검색 결과를 선택합니다. 기록을 클릭하고 목록에서 쿼리 중 하나를 선택합니다.

    진행 중인 쿼리는 원형 상태 아이콘으로 표시됩니다. 완료된 쿼리는 녹색 체크표시 아이콘과 함께 쿼리에서 반환된 이벤트 수를 나타내는 카운터와 함께 표시됩니다. 완성된 쿼리를 클릭하여 결과를 표시합니다. 이러한 결과는 캐시되며 쿼리 실행 시 사용할 수 있는 데이터만 포함됩니다. 하지만 캐시된 다시 실행을 클릭하여 최신 데이터에 대해 쿼리를 실행할 수 있습니다. 이 새 실행은 검색 기록에 추가되며 쿼리가 완료되면 결과를 사용할 수 있습니다.

  • 검색 결과 공유: 검색 결과의 URL을 복사하여 다른 사용자와 공유합니다.

    검색 결과가 저장되면 검색을 실행한 사용자의 RBAC 범위가 검색 결과와 함께 저장됩니다. 다른 사용자가 이러한 결과를 볼 때 뷰어의 RBAC 범위가 저장된 범위와 비교됩니다. 보기 권한 사용자의 범위가 더 제한적이면 오류가 표시되고 결과를 볼 수 없습니다.

    저장된 검색 결과는 쿼리가 실행된 후 24시간 후에 만료됩니다. 하지만 검색어는 기록 창에서 계속 사용할 수 있습니다. 검색을 다시 실행할 수 있으며 결과는 쿼리 실행 시간 후 최대 24시간 동안 사용할 수 있습니다.