Ricerca UDM

La funzione di ricerca UDM ti consente di trovare eventi e avvisi nel modello Unified Data Model (UDM) all'interno della tua istanza Google Security Operations. La ricerca UDM include una serie di opzioni di ricerca che ti aiutano a navigare tra i dati UDM. Puoi cercare singoli eventi UDM e gruppi di eventi UDM associati a termini di ricerca condivisi.

Sui sistemi che utilizzano RBAC dei dati, puoi visualizzare solo i dati che corrispondono ai tuoi ambiti. Per ulteriori informazioni, consulta l'articolo sull'impatto dei dati RBAC sulla Ricerca.

Per i clienti di Google Security Operations, gli avvisi possono essere importati anche da connectors e webhook. Per trovare questi avvisi, puoi anche utilizzare la ricerca UDM.

Per saperne di più su UDM, vedi Formattare i dati di log come UDM ed Elenco dei campi del modello dei dati unificato.

Accedi alla ricerca UDM

Per accedere alla ricerca UDM di Google Security Operations, fai clic su Cerca nella barra di navigazione. Puoi anche accedere alla ricerca UDM inserendo un campo UDM valido da qualsiasi campo di ricerca in Google Security Operations e premendo Ctrl+Invio.

Per un elenco di tutti i campi UDM validi, vedi Elenco dei campi del modello di dati unificato.

Figura 1. Ricerca UDM

Figura 2. Finestra di ricerca UDM che si apre con CTRL+Invio

Inserisci una ricerca UDM

Completa i seguenti passaggi per inserire una ricerca UDM nel campo Ricerca UDM. Quando hai finito di inserire una ricerca UDM, fai clic su Esegui ricerca. L'interfaccia utente di Google Security Operations consente di inserire solo un'espressione di ricerca UDM valida. Puoi anche regolare l'intervallo di dati da cercare aprendo la finestra dell'intervallo di date.

Se la ricerca è troppo generica, Google Security Operations restituisce un messaggio di avviso che indica che non è possibile visualizzare tutti i risultati della ricerca. Riduci l'ambito della ricerca ed eseguila di nuovo. Quando una ricerca è troppo ampia, Google Security Operations restituisce i risultati più recenti fino al limite di ricerca (un milione di eventi e 1000 avvisi). Potrebbero esserci molti più eventi e avvisi corrispondenti, ma al momento non visualizzati. Tieni presente questo aspetto quando analizzi i risultati. Google consiglia di applicare filtri aggiuntivi e di eseguire la ricerca originale fino a quando non si è al di sotto del limite. Applica filtri aggiuntivi ed esegui nuovamente la ricerca originale fino a quando non sei al di sotto del limite.

Figura 3. Esegui ricerca

Le query UDM si basano sui campi UDM, che sono tutti elencati nell'elenco dei campi Modello dati unificato. Puoi anche visualizzare i campi UDM nel contesto delle ricerche utilizzando i filtri o la ricerca di log non elaborati.

1. Per cercare eventi, inserisci un nome per il campo UDM nel campo di ricerca. L'interfaccia utente include il completamento automatico e mostra campi UDM validi in base a ciò che hai inserito.

2. Dopo aver inserito un campo UDM valido, seleziona un operatore valido. L'interfaccia utente visualizza gli operatori validi disponibili in base al campo UDM inserito. Sono supportati i seguenti operatori:

   • <, >
   • <=, >=
   • =, !=
   • nocase: supportato per le stringhe

3. Dopo aver inserito un campo e un operatore UDM validi, inserisci i dati di log corrispondenti che stai cercando. Sono supportati i seguenti tipi di dati:

   • Valori enumerati: l'interfaccia utente visualizza un elenco di valori enumerati validi per un determinato campo UDM.

     Ad esempio (utilizza le virgolette doppie e tutte in maiuscolo): metadata.event_type = "NETWORK_CONNECTION"

   • Valori aggiuntivi:puoi utilizzare "campo[chiave] = valore" per cercare eventi aggiuntivi e per etichettare campi.

     Ad esempio: additional.fields["key"]="value"

   • Bool: puoi utilizzare true o false (tutti i caratteri non sono sensibili alle maiuscole e la parola chiave non è racchiusa tra virgolette).

     Ad esempio: network.dns.response = true

   • Numeri interi

     Ad esempio: target.port = 443

   • In virgola mobile: per i campi UDM del tipo float, inserisci un valore con rappresentazione in virgola mobile, ad esempio 3.1. Puoi anche inserire un numero intero, ad esempio 3, che equivale a inserire 3.0.

     Ad esempio: security_result.about.asset.vulnerabilities.cvss_base_score = 3.1 o security_result.about.asset.vulnerabilities.cvss_base_score = 3

   • Espressioni regolari: (le espressioni regolari devono essere comprese tra barre (/)

     Ad esempio: principal.ip = /10.*/

     Per ulteriori informazioni sulle espressioni regolari, consulta la pagina sulle espressioni regolari.

   • Stringhe

     Ad esempio (devi utilizzare le virgolette doppie): metadata.product_name = "Google Cloud VPC Flow Logs"

4. Puoi utilizzare l'operatore nocase per cercare qualsiasi combinazione di versioni con lettere maiuscole e minuscole di una determinata stringa:

   • principal.hostname != "http-server" nocase
   • principal.hostname = "JDoe" nocase
   • principal.hostname = /dns-server-[0-9]+/ nocase

5. Le barre rovesciate e le virgolette nelle stringhe devono essere precedute dal carattere di escape utilizzando una barra rovesciata. Ad esempio:

   • principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
   • target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""

6. Puoi utilizzare le espressioni booleane per restringere ulteriormente l'intervallo di dati visualizzati. I seguenti esempi illustrano alcuni tipi di espressioni booleane supportate (è possibile utilizzare gli operatori booleani AND, OR e NOT):

   • A AND B
   • A OR B
   • (A OR B) AND (B OR C) AND (C OR NOT D)

   I seguenti esempi illustrano come potrebbe apparire la sintassi effettiva:

   Eventi di accesso al server finanziario:

   metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"

   Esempio di utilizzo di un'espressione regolare per cercare l'esecuzione dello strumento psexec.exe in Windows.

   target.process.command_line = /\bpsexec(.exe)?\b/ nocase

   Esempio di utilizzo dell'operatore more di (>) per cercare connessioni in cui sono stati inviati più di 10 MB di dati.

   metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000

   Esempio di utilizzo di più condizioni per la ricerca di Winword che avvia cmd.exe o powershell.exe.

       metadata.event_type = "PROCESS_LAUNCH" and
       principal.process.file.full_path = /winword/ and
       (target.process.file.full_path = /cmd.exe/ or
       target.process.file.full_path = /powershell.exe/)

7. Puoi anche utilizzare la ricerca UDM per cercare coppie chiave-valore specifiche nei campi aggiuntivi ed Etichetta.

   I campi aggiuntivi ed Etichetta vengono utilizzati come "catch all" personalizzabili per i dati sugli eventi che non rientrano in un campo UDM standard. I campi aggiuntivi possono contenere più coppie chiave/valore. I campi dell'etichetta possono contenere solo una singola coppia chiave-valore. Tuttavia, ogni istanza del campo contiene solo una chiave e un singolo valore. La chiave deve essere inserita tra le parentesi e il valore deve trovarsi sul lato destro.

   I seguenti esempi mostrano come cercare eventi contenenti coppie chiave-valore specifiche:

       additional.fields["pod_name"] = "kube-scheduler"
       metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"

   L'esempio seguente mostra come utilizzare l'operatore AND nelle ricerche di coppie chiave-valore:

       additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"

   Puoi utilizzare la seguente sintassi per cercare tutti gli eventi contenenti la chiave specificata (indipendentemente dal valore)

       additional.fields["pod_name"] != ""

   Puoi anche utilizzare espressioni regolari e l'operatore nocase:

       additional.fields["pod_name"] = /br/
       additional.fields["pod_name"] = bar nocase

8. Puoi anche usare i commenti su una sola riga o di blocco.

   L'esempio seguente mostra come utilizzare un commento di tipo Blocca:

       additional.fields["pod_name"] = "kube-scheduler"
       /*
       Block comments can span
       multiple lines.
       */
       AND additional.fields["pod_name1"] = "kube-scheduler1"

   L'esempio seguente mostra come utilizzare un commento di una sola riga:

       additional.fields["pod_name"] != "" // my single-line comment

9. Fai clic su Esegui ricerca per eseguire la ricerca UDM e visualizzare i risultati.

10. Gli eventi vengono visualizzati nella pagina Ricerca UDM della tabella della sequenza temporale degli eventi. Puoi restringere ulteriormente i risultati aggiungendo altri campi UDM manualmente o utilizzando l'interfaccia.

Cerca campi raggruppati

I campi raggruppati sono alias per gruppi di campi UDM correlati. Puoi utilizzarle per eseguire query su più campi UDM contemporaneamente senza digitare ogni campo singolarmente.

L'esempio seguente mostra come inserire una query in modo che corrisponda ai campi UDM comuni che potrebbero contenere l'indirizzo IP specificato:

    ip = "1.2.3.4"

Puoi trovare una corrispondenza a un campo raggruppato utilizzando un'espressione regolare e l'operatore nocase. Sono supportati anche gli elenchi di riferimento. I campi raggruppati possono essere utilizzati anche in combinazione con i normali campi UDM, come mostrato nell'esempio seguente:

    ip = "5.6.7.8" AND metadata.event_type = "NETWORK_CONNECTION"

I campi raggruppati hanno una sezione separata in Filtri rapidi.

Tipi di campi UDM raggruppati

Puoi cercare in tutti i seguenti campi UDM raggruppati:

Nome campo raggruppati	Campi UDM associati
dominio	about.administrative_domain about.asset.network_domain network.dns.questions.name network.dns_domain principal.administrative_domain principal.asset.network_domain target.administrative_domain target.asset.hostname target.asset.network_domain target.hostname
email	intermediary.user.email_addresses network.email.from network.email.to principal.user.email_addresses security_result.about.user.email_addresses target.user.email_addresses
file_path	principal.file.full_path principal.process.file.full_path principal.process.parent_process.file.full_path target.file.full_path target.process.file.full_path target.process.parent_process.file.full_path
cancelletto	about.file.md5 about.file.sha1 about.file.sha256 principal.process.file.md5 principal.process.file.sha1 principal.process.file.sha256 security_result.about.file.sha256 target.file. .md5 1.
nome host	intermediary.hostname observer.hostname principal.asset.hostname principal.hostname src.asset.hostname src.hostname target.asset.hostname target.hostname
ip	intermediary.ip observer.ip principal.artifact.ip principal.asset.ip principal.ip src.artifact.ip src.asset.ip src.ip target.artifact.ip target.asset.ip target.ip
spazio dei nomi	principal.namespace src.namespace target.namespace
process_id	principal.process.parent_process.pid principal.process.parent_process.product_specific_process_id principal.process.pid principal.process.product_specific_process_id target.process.parent_process.pid target.process.parent_process.product_specific_process_id target.process.pid process_specific
utente	about.user.userid observer.user.userid principal.user.user_display_name principal.user.userid principal.user.windows_sid src.user.userid target.user.user_display_name target.user.userid target.user.windows_sid

Trovare un campo UDM per la query di ricerca

Durante la scrittura di una query di ricerca UDM, potresti non sapere quale campo UDM includere. La ricerca UDM consente di trovare rapidamente il nome di un campo UDM che contiene una stringa di testo nel nome o che memorizza un valore di stringa specifico. Non è destinato a essere utilizzato per cercare altri tipi di dati, come byte, booleani o numerici. Seleziona uno o più risultati restituiti dalla ricerca UDM come punto di partenza per una query di ricerca UDM.

Per utilizzare la ricerca UDM, procedi nel seguente modo:

1. Dalla pagina Ricerca UDM, inserisci una stringa di testo nel campo Cerca campi UDM in base al valore, quindi fai clic su Ricerca UDM.

2. Nella finestra di dialogo Ricerca UDM, seleziona una o più delle seguenti opzioni per specificare l'ambito dei dati da cercare:

   • Campi UDM: cerca testo nei nomi dei campi UDM, ad esempio network.dns.questions.name o principal.ip.
   • Valori: cerca testo nei valori assegnati ai campi UDM, ad esempio dns o google.com.

3. Inserisci o modifica la stringa nel campo di ricerca. Mentre digiti, i risultati di ricerca vengono visualizzati nella finestra di dialogo.

   I risultati sono leggermente diversi quando si cerca in Campi UDM e Valori. Quando cerchi testo in Valori, i risultati vengono mostrati come segue:

   • Se la stringa si trova all'inizio o alla fine del valore, viene evidenziata nel risultato, insieme al nome del campo UDM e all'ora in cui il log è stato importato.
   • Se la stringa di testo viene trovata in un altro punto del valore, il risultato mostra il nome del campo UDM e il testo Possibile corrispondenza valore.

   

   Cerca all'interno dei valori nella ricerca UDM

   • Quando cerchi una stringa di testo nei nomi dei campi UDM, la ricerca UDM restituisce una corrispondenza esatta trovata in qualsiasi posizione del nome.

   

   Cercare nei campi UDM in Ricerca UDM

4. Nell'elenco dei risultati puoi eseguire queste operazioni:

   • Fai clic sul nome di un campo UDM per visualizzare una descrizione.

   • Seleziona uno o più risultati facendo clic sulla casella di controllo a sinistra del nome di ogni campo UDM.

   • Fai clic sul pulsante Reimposta per deselezionare tutti i campi selezionati nell'elenco dei risultati.

5. Per aggiungere i risultati selezionati al campo Ricerca UDM, fai clic sul pulsante Aggiungi alla ricerca.

   Puoi anche copiare il risultato selezionato utilizzando il pulsante Copia UDM, quindi chiudere la finestra di dialogo Ricerca UDM e incollare la stringa di query di ricerca nel campo Ricerca UDM.

   Google Security Operations converte il risultato selezionato in una stringa di query di ricerca UDM come nome del campo UDM o come coppia nome-valore. Se aggiungi più risultati, ognuno di essi viene aggiunto alla fine di una query esistente nel campo di ricerca UDM utilizzando l'operatore OR.

   La stringa di query aggiunta è diversa a seconda del tipo di corrispondenza restituito dalla ricerca UDM.

   • Se il risultato corrisponde a una stringa di testo nel nome di un campo UDM, alla query viene aggiunto il nome completo del campo UDM. Di seguito è riportato un esempio:

     principal.artifact.network.dhcp.client_hostname

   • Se il risultato corrisponde a una stringa di testo all'inizio o alla fine di un valore, la coppia nome-valore contiene il nome del campo UDM e il valore completo nel risultato. Ecco alcuni esempi:

     metadata.log_type = "PCAP_DNS"

     network.dns.answers.name = "dns-A901F3j.hat.example.com"

   • Se il risultato include il testo Possibile corrispondenza valore, la coppia nome-valore contiene il nome del campo UDM e un'espressione regolare contenente il termine di ricerca. Di seguito è riportato un esempio:

     principal.process.file.full_path = /google/ NOCASE

6. Modifica la query di ricerca UDM per soddisfare il tuo caso d'uso. La stringa di query generata dalla ricerca UDM è un punto di partenza per scrivere una query di ricerca UDM completa.

Riepilogo del comportamento di ricerca UDM

Questa sezione fornisce ulteriori dettagli sulle funzionalità di ricerca UDM.

• La ricerca UDM cerca i dati importati dopo il 10 agosto 2023. I dati importati prima di questa data non verranno inclusi nella ricerca. Restituisce i risultati trovati in campi UDM non arricchiti. Non restituisce corrispondenze nei campi arricchiti. Per informazioni sui campi arricchiti e non ampliati, consulta Visualizzare gli eventi nel visualizzatore eventi.
• Le ricerche che utilizzano la ricerca UDM non fanno distinzione tra maiuscole e minuscole. Il termine hostname restituisce lo stesso risultato di HostName.
• I trattini (-) e i trattini bassi (_) in una stringa di testo di query vengono ignorati durante la ricerca di valori. La stringa di testo dns-l e dnsl restituiscono entrambe il valore dns-l.

• Durante la ricerca di Valori, la ricerca UDM non restituisce corrispondenze nei seguenti casi:

  Corrisponde ai seguenti campi UDM:	metadata.product_log_id network.session_id security_result.rule_id network.parent_session_id
  Corrisponde ai campi UDM con un percorso completo che termina con uno dei seguenti valori:	.pid Ad esempio target.process.pid. .asset_id Ad esempio principal.asset_id. .product_specific_process_id Ad esempio principal.process.product_specific_process_id. .resource.id Ad esempio principal.resource.id.

• Durante la ricerca di Valori, la ricerca UDM visualizza il messaggio Possibile corrispondenza di valori nel risultato quando viene rilevata una corrispondenza nei seguenti casi:

  Corrisponde ai seguenti campi UDM:	metadata.description security_result.description security_result.detection_fields.value security_result.summary network.http.user_agent
  Trova corrispondenze nei campi con un percorso completo che termina con uno dei seguenti valori:	.command_line Ad esempio principal.process.command_line. .file.full_path Ad esempio principal.process.file.full_path. .labels.value Ad esempio src.labels.value. .registry.registry_key Ad esempio principal.registry.registry_key. .url Ad esempio principal.url.
  Trova corrispondenze nei campi con un percorso completo che inizia con i seguenti valori:	additional.fields.value. Ad esempio additional.fields.value.null_value.

Visualizza gli avvisi nella ricerca UDM

Per visualizzare gli avvisi, fai clic sulla scheda Avvisi a destra della scheda Eventi nell'angolo in alto a destra della pagina Ricerca UDM.

Come vengono mostrati gli avvisi

Google Security Operations valuta gli eventi restituiti nella ricerca UDM rispetto a quelli esistenti per gli avvisi nell'ambiente del cliente. Quando un evento di query di ricerca corrisponde a un evento presente in un avviso, viene visualizzato nella sequenza temporale dell'avviso e nella tabella dell'avviso risultante.

Definizione di eventi e avvisi

Un evento viene generato da una sorgente di log non elaborata che viene importata in Google Security Operations ed elaborato dal processo di importazione e normalizzazione di Google Security Operations. È possibile generare più eventi da un singolo record sorgente di log non elaborato. Un evento rappresenta un insieme di punti dati rilevanti per la sicurezza generati da quel log non elaborato.

In una ricerca UDM, un avviso è definito come un rilevamento di regole YARA-L con avvisi abilitati. Per ulteriori informazioni, consulta Esecuzione di una regola sui dati in tempo reale.

Altre fonti di dati possono essere importate in Google Security Operations come avvisi, come gli avvisi di Crowdstrike Falcon. Questi avvisi non compaiono nella ricerca UDM a meno che non vengano elaborati dal motore di rilevamento delle operazioni di sicurezza di Google come regola YARA-L.

Gli eventi associati a uno o più avvisi sono contrassegnati con un chip di avviso nella Cronologia eventi. Se alla sequenza temporale sono associati più avvisi, il chip mostra il numero di avvisi associati.

La cronologia mostra i 1000 avvisi più recenti recuperati dai risultati di ricerca. Quando viene raggiunto il limite di 1000, non vengono recuperati altri avvisi. Per assicurarti di visualizzare tutti i risultati pertinenti alla tua ricerca, perfeziona la ricerca con i filtri.

Come esaminare un avviso

Per scoprire come utilizzare il Grafico dell'avviso e i Dettagli avviso per esaminare un avviso, segui i passaggi descritti in Esaminare un avviso.

Utilizzare gli elenchi di riferimento nelle ricerche UDM

La procedura per l'applicazione degli elenchi di riferimento nelle regole può essere utilizzata anche nella ricerca. In una singola query di ricerca possono essere inclusi fino a sette elenchi. Sono supportati tutti i tipi di elenchi di riferimento (stringa, espressione regolare, CIDR).

Puoi creare elenchi per qualsiasi variabile da monitorare. Ad esempio, potresti creare un elenco di indirizzi IP sospetti:

// Field value exists in reference list
principal.ip IN %suspicious_ips

Puoi anche utilizzare più elenchi con AND o OR:

// multiple lists can be used with AND or OR
principal.ip IN %suspicious_ips AND
principal.hostname IN %suspicious_hostnames

Perfeziona i risultati di ricerca

Puoi utilizzare l'interfaccia utente di ricerca UDM per filtrare e perfezionare i risultati anziché modificare la ricerca UDM e ripetere la ricerca.

Grafico a cronologia

Il grafico a cronologia fornisce una rappresentazione grafica del numero di eventi e avvisi che si verificano ogni giorno e che vengono emersi dalla ricerca UDM corrente. Gli eventi e gli avvisi vengono visualizzati nello stesso grafico a cronologia, disponibile in entrambe le schede Eventi e Avvisi.

La larghezza di ogni barra dipende dall'intervallo di tempo in cui viene effettuata la ricerca. Ad esempio, ogni barra rappresenta 10 minuti quando la ricerca comprende 24 ore di dati. Questo grafico viene aggiornato in modo dinamico man mano che modifichi la ricerca UDM esistente.

Aggiustamento dell'intervallo di tempo

Puoi regolare l'intervallo di tempo del grafico spostando i controlli di scorrimento bianchi verso sinistra e verso destra per regolare l'intervallo di tempo e impostare lo stato attivo sul periodo di interesse. Man mano che regoli l'intervallo di tempo, le tabelle Campi, Valori ed Eventi UDM vengono aggiornate per riflettere la selezione corrente. Puoi anche fare clic su una singola barra del grafico per elencare solo gli eventi di quel periodo di tempo.

Una volta modificato l'intervallo di tempo, vengono visualizzate le caselle di controllo Eventi filtrati ed Eventi query, che ti consentono di limitare ulteriormente i tipi di eventi visualizzati.

Figura 4. Grafico della cronologia degli eventi con controlli intervallo di tempo

Modifica la ricerca UDM con i filtri rapidi

Con i filtri rapidi puoi restringere ulteriormente la ricerca UDM. Puoi scorrere l'elenco dei campi UDM o cercare campi o valori UDM specifici utilizzando il campo di ricerca. I campi UDM elencati qui sono associati agli elenchi di eventi esistenti generati dalla ricerca UDM. Ogni campo UDM include il numero di eventi nella ricerca UDM corrente che includono anche questo dato. L'elenco dei campi UDM mostra il numero unico totale di valori all'interno di un campo. Questa funzionalità ti consente di cercare particolari tipi di dati di log che potrebbero essere di ulteriore interesse.

I campi UDM sono elencati nel seguente ordine:

1. Campi con il numero di eventi più alto al numero più basso di eventi.
2. I campi con un solo valore sono sempre gli ultimi.
3. I campi con lo stesso identico numero di eventi sono in ordine alfabetico dalla A alla Z.

Figura 5. Filtri rapidi

Modificare un filtro rapido

Se selezioni un valore di campo UDM nell'elenco Filtri rapidi e fai clic sull'icona del menu, puoi scegliere Mostra solo gli eventi che includono anche quel valore del campo UDM o Filtra quel valore del campo UDM. Se il campo UDM memorizza valori interi (ad esempio: target.port), visualizzerai anche le opzioni per filtrare in base a <,>,<=,>=. Le opzioni di filtro abbreviano l'elenco degli eventi visualizzati.

Puoi anche bloccare i campi (utilizzando l'icona a forma di puntina) in Filtro rapido per salvarli come preferiti. Vengono visualizzati nella parte superiore dell'elenco Filtri rapidi.

Figura 6. Esempio: seleziona Mostra solo

Questi filtri UDM aggiuntivi vengono aggiunti anche al campo Eventi filtro. Il campo Eventi di filtro ti consente di tenere traccia dei campi UDM aggiuntivi che hai aggiunto alla ricerca UDM. Puoi anche rimuovere rapidamente questi campi UDM aggiuntivi in base alle tue esigenze.

Figura 7. Filtrare gli eventi

Se fai clic sull'icona del menu Filtra eventi o su Aggiungi filtro a sinistra, si apre una finestra che ti consente di selezionare altri campi UDM.

Figura 8. Filtra la finestra degli eventi

Quando fai clic su APPLICA a ricerca ed esecuzione, i campi UDM vengono aggiunti al campo Filtra eventi e gli eventi visualizzati vengono filtrati in base a questi filtri aggiuntivi. Puoi anche fare clic su Applica a ricerca ed esecuzione per aggiungerli al campo Ricerca UDM principale nella parte superiore della pagina. La ricerca viene eseguita di nuovo automaticamente utilizzando gli stessi parametri di data e ora. Google consiglia di restringere il più possibile la ricerca prima di fare clic su APPLICA a Ricerca ed esegui. Ciò contribuisce a migliorare la precisione e a ridurre i tempi di ricerca.

Visualizza gli eventi nella tabella Eventi

Tutti questi filtri e controlli aggiorneranno l'elenco degli eventi visualizzato nella tabella Eventi. Fai clic su uno degli eventi elencati per aprire il visualizzatore log, dove puoi esaminare il log non elaborato e il record UDM per quell'evento. Se fai clic sul timestamp di un evento, puoi anche accedere alla vista Risorsa, indirizzo IP, Dominio, Hash o Utente associato. Puoi anche utilizzare il campo di ricerca nella parte superiore della tabella per trovare un evento specifico.

Visualizzare gli avvisi nella tabella Avvisi

Puoi visualizzare gli avvisi facendo clic sulla scheda Avvisi sul lato destro della scheda Eventi. Puoi utilizzare i filtri rapidi per ordinare gli avvisi in base a:

• Richiesta
• Nome
• Priorità
• Gravità
• Stato
• Verdetto

In questo modo puoi concentrarti sugli avvisi più importanti per te.

Gli avvisi vengono visualizzati nello stesso periodo di tempo degli eventi nella scheda Eventi. In questo modo puoi vedere la connessione tra eventi e avvisi.

Se vuoi saperne di più su un avviso specifico, fai clic sull'avviso: si aprirà una singola pagina dei dettagli dell'avviso che contiene informazioni più dettagliate sull'avviso.

Visualizzare gli eventi in Visualizzatore eventi

Se tieni il puntatore su un evento nella tabella Eventi, sul lato destro dell'evento evidenziato viene visualizzata l'icona di apertura del visualizzatore eventi. Fai clic sul pulsante per aprire il visualizzatore eventi.

La finestra Log non elaborato visualizza il segno non elaborato originale in uno dei seguenti formati:

• Dati
• JSON
• XML
• CSV
• esadecimale/ASCII

Nella finestra UDM viene visualizzato il record UDM strutturato. Puoi tenere il puntatore del mouse su uno qualsiasi dei campi UDM per visualizzare la definizione di UDM. Selezionando la casella di controllo per i campi UDM, avrai a disposizione ulteriori opzioni:

• Puoi copiare il record UDM. Seleziona uno o più campi UDM, quindi seleziona l'opzione Copia UDM dal menu a discesa Visualizza azioni. I campi UDM e i valori UDM vengono copiati negli appunti di sistema.

• Puoi aggiungere i campi UDM come colonne nella tabella Eventi selezionando l'opzione Aggiungi colonne dal menu a discesa Visualizza azioni.

Ogni campo UDM è etichettato con un'icona che indica se il campo contiene dati estesi o non arricchiti. Le etichette delle icone sono le seguenti:

• U: i campi non arricchiti contengono valori compilati durante il processo di normalizzazione utilizzando i dati del log non elaborato originale.

• E: i campi estesi contengono valori che Google Security Operations compila per fornire un contesto aggiuntivo sugli artefatti in un ambiente del cliente. Per maggiori informazioni, consulta In che modo Google Security Operations arricchisce i dati di eventi ed entità.

  

Figura 9. Campi UDM nel visualizzatore eventi

Utilizza l'opzione Colonne per la ricerca UDM

Utilizza l'opzione Colonne per regolare le colonne di informazioni visualizzate nella tabella Eventi. Viene visualizzato il menu Colonne. Le opzioni disponibili variano a seconda dei tipi di eventi restituiti dalla ricerca UDM.

Facoltativamente, puoi salvare l'insieme di colonne selezionato qui facendo clic su Salva. Assegna un nome all'insieme di colonne selezionate e fai di nuovo clic su Salva. Puoi caricare un insieme di colonne salvate facendo clic su Carica e selezionando l'insieme di colonne salvate dall'elenco.

Puoi anche scaricare gli eventi visualizzati facendo clic sul menu con tre puntini e selezionando Scarica in formato CSV. In questo modo verranno scaricati tutti i risultati di ricerca fino a un milione di eventi. Nell'interfaccia utente verrà indicato il numero di eventi che verranno scaricati.

Figura 10. Colonne di ricerca UDM

Utilizzare la tabella pivot per analizzare gli eventi

La tabella pivot consente di analizzare gli eventi utilizzando espressioni e funzioni rispetto ai risultati della ricerca UDM.

Completa i seguenti passaggi per aprire e configurare la tabella pivot:

1. Esegui una ricerca UDM.

2. Fai clic sulla scheda Pivot per aprire la tabella pivot.

3. Specifica un valore Raggruppa per per raggruppare gli eventi in base a un campo UDM specifico. Puoi visualizzare i risultati utilizzando le lettere maiuscole predefinite o solo minuscolo selezionando minuscolo dal menu. Questa opzione è disponibile solo per i campi stringa. Puoi specificare fino a cinque valori di Raggruppa per facendo clic su Aggiungi campo.

   Se il valore Group By è uno dei campi del nome host, saranno disponibili ulteriori opzioni di trasformazione:

   • Dominio di primo livello N: scegli il livello del dominio da visualizzare. Ad esempio, se viene utilizzato il valore 1, viene visualizzato solo il dominio di primo livello (come com, gov o edu). Se il valore 3 viene visualizzato, vengono visualizzati i due livelli successivi dei nomi di dominio (ad esempio google.co.uk).
   • Ottieni dominio registrato: mostra solo il nome di dominio registrato (ad esempio google.com, nytimes.com e youtube.com).

   Se il valore Raggruppa per è uno dei campi IP, hai a disposizione altre opzioni di trasformazione:

   • Lunghezza del prefisso CIDR(IP) in bit: puoi specificare da 1 a 32 per gli indirizzi IPv4. Per gli indirizzi IPv6, puoi specificare valori fino a 128.

   Se il valore Raggruppa per include un timestamp, avrai a disposizione ulteriori opzioni di trasformazione:

   • (Tempo) Risoluzione in millisecondi
   • (Tempo) Risoluzione in secondi
   • (Tempo) Risoluzione in minuti
   • (Time) Risoluzione in ore
   • (Tempo) Risoluzione in giorni

4. Specifica un valore per il pivot dall'elenco di campi nei risultati. Puoi specificare fino a 5 valori. Dopo aver specificato un campo, devi selezionare l'opzione Riassumi. Puoi riassumere in base alle seguenti opzioni:

   • sum
   • count
   • conteggio distinto
   • media
   • stddev
   • min
   • max

   Specifica il valore Event Count (Conteggio eventi) per restituire semplicemente il numero di eventi identificati per questa ricerca UDM e tabella pivot specifiche.

   Le opzioni Riassumi non sono universalmente compatibili con i campi Raggruppa per. Ad esempio, le opzioni sum, average, stddev, min e max possono essere applicate solo ai campi numerici. Se tenti di associare un'opzione Riassumi non compatibile a un campo Raggruppa per, riceverai un messaggio di errore.

5. Specifica uno o più campi UDM e seleziona uno o più ordinamenti utilizzando l'opzione Ordina per.

6. Quando è tutto pronto, fai clic su Applica. I risultati vengono visualizzati nella tabella pivot.

7. (Facoltativo) Per scaricare la tabella pivot, fai clic su more_vert e seleziona Scarica in formato CSV. Se non hai selezionato un pivot, questa opzione è disattivata.

Eseguire una ricerca in Ricerche rapide

1. Fai clic su Ricerche rapide per aprire la finestra Ricerche rapide. In questa finestra vengono visualizzate le ricerche e la cronologia delle ricerche salvate.

2. Fai clic su una delle ricerche elencate per caricarla nel campo di ricerca UDM.

3. Quando è tutto pronto, fai clic su Esegui ricerca.

Le ricerche elencate vengono salvate nel tuo account Google Security Operations. Se devi modificare una qualsiasi delle tue ricerche salvate (ad esempio, rinominare una ricerca esistente), eliminare ricerche salvate o eliminare ricerche dalla cronologia delle ricerche, apri Gestione ricerche facendo clic su Mostra tutte le ricerche.

Panoramica delle ricerche salvate e della cronologia delle ricerche

Utilizza Gestione ricerche per recuperare le ricerche salvate e visualizzare la cronologia delle ricerche facendo clic su Gestione ricerche. Le ricerche salvate e la cronologia delle ricerche vengono memorizzate nel tuo account Google Security Operations. Solo il singolo utente può visualizzare e accedere alle ricerche salvate e alla cronologia delle ricerche, a meno che non utilizzi la funzionalità Condividi una ricerca per condividere la ricerca con l'organizzazione. Seleziona una ricerca salvata per visualizzare ulteriori informazioni, tra cui il titolo e la descrizione.

Salvare una ricerca

Per salvare una ricerca:

1. Nella pagina di ricerca UDM, fai clic su Salva per salvare la ricerca UDM per un secondo momento. Viene aperto Search Manager. Google ti consiglia di assegnare alla ricerca salvata un nome significativo e una descrizione di ciò che stai cercando. Puoi anche creare una nuova ricerca UDM da Search Manager facendo clic su add. Qui sono disponibili anche gli strumenti di modifica e completamento UDM standard.

2. (Facoltativo) Specifica le variabili segnaposto nel formato ${<variable name>} utilizzando lo stesso formato utilizzato per le variabili in YARA-L. Se aggiungi una variabile a una ricerca UDM, devi anche includere un prompt per aiutare l'utente a capire quali informazioni deve inserire prima di eseguire la ricerca. Tutte le variabili devono essere completate con valori prima di eseguire una ricerca.

   Ad esempio, potresti aggiungere metadata.vendor_name = ${vendor_name} alla ricerca UDM. Per ${vendor_name}, devi aggiungere una richiesta per gli utenti futuri, ad esempio "Inserisci il nome del fornitore per la ricerca". Ogni volta che un utente carica questa ricerca in futuro, gli verrà chiesto di inserire il nome del fornitore prima di poter eseguire la ricerca.

3. Al termine, fai clic su Salva modifiche.

4. Per visualizzare le ricerche salvate, fai clic su Gestione ricerche e poi sulla scheda Salvati.

Recuperare una ricerca salvata

Per recuperare ed eseguire una ricerca salvata:

1. In Gestione ricerche, fai clic sulla scheda Salvati.

2. Seleziona una ricerca salvata dall'elenco. Queste ricerche salvate vengono salvate nel tuo account Google Security Operations. Puoi eliminare una ricerca facendo clic su more_horiz e selezionando Elimina ricerca.

3. Puoi modificare il nome della ricerca e la descrizione. Al termine, fai clic su Salva modifiche.

4. Fai clic su Carica ricerca. La ricerca viene caricata nel campo di ricerca UDM principale.

5. Fai clic su Esegui ricerca per visualizzare gli eventi associati a questa ricerca.

Recuperare una ricerca dalla cronologia delle ricerche

Per recuperare ed eseguire una ricerca dalla cronologia delle ricerche:

1. In Gestione ricerche, fai clic su Cronologia.

2. Seleziona una ricerca dalla cronologia delle ricerche. La cronologia delle ricerche viene salvata nel tuo account Google Security Operations. Puoi eliminare una ricerca facendo clic su delete

3. Fai clic su Carica ricerca. La ricerca viene caricata nel campo di ricerca UDM principale.

4. Fai clic su Esegui ricerca per visualizzare gli eventi associati a questa ricerca.

Cancellare, disattivare o attivare la cronologia delle ricerche

Per cancellare, disattivare o attivare la cronologia delle ricerche:

1. In Gestione ricerche, fai clic sulla scheda Cronologia.

2. Fai clic su more_vert.

3. Seleziona Cancella cronologia per cancellare la cronologia delle ricerche.

4. Fai clic su Disattiva cronologia per disattivare la cronologia delle ricerche. Hai la possibilità di:

   • Solo disattivazione: disattiva la cronologia delle ricerche.

   • Disattiva e cancella: disattiva la cronologia delle ricerche ed elimina la cronologia delle ricerche salvata.

5. Se in precedenza hai disattivato la cronologia delle ricerche, puoi riattivarla facendo clic su Attiva cronologia delle ricerche.

6. Fai clic su Chiudi per uscire da Gestione delle ricerche.

Condividere una ricerca

Le ricerche condivise ti consentono di condividere le ricerche con il resto del tuo team. Nella scheda Salvati puoi condividere o eliminare le ricerche. Puoi anche filtrare le ricerche facendo clic sull'icona del filtro accanto alla barra di ricerca e ordinare le ricerche in base a Mostra tutto, Definito da Google SecOps, Creato da me o Condivise.

Non puoi modificare una ricerca condivisa che non è la tua.

1. Fai clic su Salvati.
2. Fai clic sulla ricerca che vuoi condividere.
3. Fai clic su more_horiz sul lato destro della ricerca. Viene visualizzata una finestra di dialogo con l'opzione per condividere la ricerca.
4. Fai clic su Condividi con la tua organizzazione.
5. Viene visualizzata una finestra di dialogo che indica che la condivisione della ricerca sarà visibile agli utenti della tua organizzazione. Vuoi condividere? Fai clic su Condividi.

Se vuoi che la ricerca sia visibile solo a te, fai clic su more_horiz e fai clic su Interrompi condivisione. Se interrompi la condivisione, solo tu potrai utilizzare questa ricerca.

Passaggi successivi

Per informazioni su come utilizzare i dati arricchiti del contesto nella ricerca UDM, consulta Utilizzare i dati arricchiti del contesto nella ricerca UDM.