Usar o período de pesquisa do UDM e gerenciar consultas

Compatível com:

O Google Security Operations permite pesquisar até um ano de dados empresariais armazenados na sua conta. Ele também inclui várias ferramentas que permitem executar várias consultas de pesquisa do UDM e, mais tarde, recuperar e compartilhar os resultados dessas consultas.

Usar o UDM para pesquisar até um ano de dados

Você pode realizar uma pesquisa UDM em até um ano de dados. Para ajustar o período de tempo da sua pesquisa de UDM, siga estas etapas:

  1. Acesse Investigação > Pesquisa de SIEM.
  2. Clique no campo do seletor de tempo para abrir a caixa de diálogo.
  3. Na guia Intervalo (padrão), ajuste o período selecionando uma das opções de Últimos 5 minutos a Último ano.
  4. Use os campos Início e Término para escolher um período mais específico (por exemplo, as duas primeiras semanas de novembro).
  5. Ajuste os horários selecionando valores de início e término específicos, por exemplo, 03:00 e 08:30.
  6. Clique em Aplicar e em Executar pesquisa.

Executar pesquisas simultâneas e gerenciar consultas de pesquisa

As pesquisas simultâneas e os resultados armazenados exigem que o recurso de histórico de pesquisa esteja ativo. Para garantir que o histórico de pesquisa esteja ativado, siga estas etapas:

  1. Acesse Investigação > Pesquisa de SIEM.

  2. Clique em Histórico. Se a mensagem O histórico de pesquisa está desativado for exibida, prossiga para a próxima etapa. Se essa mensagem não aparecer, significa que o Histórico de pesquisa já está ativado na sua conta.

  3. Clique em more_vert e selecione Ativar histórico de pesquisa.

Gerenciar consultas de pesquisa

Você pode executar várias pesquisas do UDM, recuperar resultados de pesquisa anteriores e compartilhar os resultados com outros membros da equipe:

  • Executar várias pesquisas do UDM: enquanto uma consulta de pesquisa está em andamento, é possível executar outras pesquisas no editor de consulta. O Google Security Operations continua executando suas pesquisas anteriores e as novas em paralelo.

  • Conferir os resultados da consulta: percorra o histórico de consultas e selecione os resultados da pesquisa em até 24 horas após a execução de uma consulta. Clique em Histórico e selecione uma das suas consultas na lista.

    As consultas em andamento são mostradas com um ícone de status circular. As consultas concluídas são exibidas com um ícone de marca de seleção verde e um contador que indica o número de eventos retornados pela consulta. Clique em uma consulta concluída para mostrar os resultados. Esses resultados são armazenados em cache e incluem apenas os dados disponíveis no momento da execução da consulta. No entanto, você pode clicar em armazenado em cache Refazer para executar a consulta com os dados mais recentes. Essa nova execução é adicionada ao histórico de pesquisa, e os resultados são disponibilizados quando a consulta é concluída.

  • Compartilhar resultados de consulta: copie o URL dos resultados da consulta para compartilhá-los com outros usuários.

    Quando os resultados da pesquisa são armazenados, os escopos de RBAC do usuário que executou a pesquisa são armazenados com eles. Quando esses resultados são visualizados por outro usuário, o escopo RBAC do leitor é comparado aos escopos armazenados. Se os escopos do visualizador forem mais restritivos, um erro será exibido e ele não poderá acessar os resultados.

    Os resultados da pesquisa armazenados expiram 24 horas após a execução de uma consulta. No entanto, sua consulta de pesquisa ainda está disponível no painel Histórico. Você pode executar suas pesquisas novamente, e os resultados são disponibilizados por até 24 horas após a execução da consulta.