Telusuri

Didukung di:

Fungsi penelusuran memungkinkan Anda menemukan peristiwa dan pemberitahuan Unified Data Model (UDM) dalam instance Google Security Operations menggunakan sintaksis YARA-L 2.0. Penelusuran mencakup berbagai opsi yang membantu Anda menjelajahi data UDM. Anda dapat menelusuri setiap peristiwa UDM dan grup peristiwa UDM yang terkait dengan istilah penelusuran bersama.

Pada sistem yang menggunakan RBAC data, Anda hanya dapat melihat data yang cocok dengan cakupan Anda. Untuk mengetahui informasi selengkapnya, lihat dampak RBAC data terhadap Penelusuran.

Untuk pelanggan Google SecOps, pemberitahuan juga dapat diserap dari konektor dan webhook. Anda juga dapat menggunakan penelusuran untuk menemukan pemberitahuan ini.

Untuk mengetahui informasi selengkapnya tentang UDM, lihat Memformat data log sebagai UDM dan Daftar kolom UDM.

Anda dapat mengakses penelusuran Google SecOps menggunakan opsi berikut:

  • Klik Telusuri di menu navigasi.

  • Masukkan kolom UDM yang valid dari kolom penelusuran mana pun di Google SecOps, lalu tekan CTRL+Enter.

Untuk mengetahui daftar semua kolom UDM yang valid, lihat daftar kolom UDM.

Telusuri

Gambar 1. Telusuri

Bagian ini menjelaskan cara menggunakan fitur penelusuran Google SecOps.

Kueri UDM didasarkan pada kolom UDM, yang semuanya tercantum dalam daftar kolom Unified Data Model. Anda juga dapat melihat kolom UDM dalam konteks penelusuran menggunakan Filter atau Penelusuran Log Mentah.

Selesaikan langkah-langkah berikut untuk memasukkan penelusuran di kolom Telusuri. Setelah selesai memasukkan penelusuran, klik Jalankan penelusuran. Anda dapat menyesuaikan jumlah peristiwa yang ditampilkan dengan mengklik Lainnya dan memilih Setelan Penelusuran. Antarmuka pengguna Google SecOps hanya memungkinkan Anda memasukkan ekspresi penelusuran yang valid. Anda juga dapat menyesuaikan rentang data yang akan ditelusuri dengan membuka jendela rentang tanggal.

  1. Untuk menelusuri peristiwa, masukkan nama kolom UDM di kolom penelusuran. Antarmuka pengguna menyertakan penyelesaian otomatis dan menampilkan kolom UDM yang valid berdasarkan apa yang telah Anda masukkan.

  2. Setelah memasukkan kolom UDM yang valid, pilih operator yang valid. Antarmuka pengguna menampilkan operator valid yang tersedia berdasarkan kolom UDM yang Anda masukkan. Operator berikut didukung:

    • <, >
    • <=, >=
    • =, !=
    • nocase -- didukung untuk string

  3. Setelah memasukkan kolom dan operator UDM yang valid, masukkan data log yang sesuai yang Anda telusuri. Jenis data berikut didukung:

    • Nilai yang dihitung: antarmuka pengguna menampilkan daftar nilai yang dihitung yang valid untuk kolom UDM tertentu.

    Misalnya (gunakan tanda kutip ganda dan huruf besar semua): metadata.event_type = "NETWORK_CONNECTION"

    • Nilai tambahan: Anda dapat menggunakan 'field[key] = value' untuk menelusuri kolom tambahan dan label untuk peristiwa.

    Contoh: additional.fields["key"]="value"

    • Bool: Anda dapat menggunakan true atau false (semua karakter tidak membedakan huruf besar dan kecil, dan kata kunci tidak diapit tanda kutip).

    Contoh: network.dns.response = true

    • Bilangan bulat

    Contoh: target.port = 443

    • Float: Untuk kolom UDM dari jenis float, masukkan nilai floating point, seperti 3.1. Anda juga dapat memasukkan bilangan bulat, seperti 3, yang setara dengan memasukkan 3.0.

    Misalnya: security_result.about.asset.vulnerabilities.cvss_base_score = 3.1 atau security_result.about.asset.vulnerabilities.cvss_base_score = 3

    • Ekspresi reguler: (ekspresi reguler harus berada dalam karakter garis miring (/))

    Contoh: principal.ip = /10.*/

    Untuk informasi selengkapnya tentang ekspresi reguler, lihat halaman ekspresi reguler

    • String

    Misalnya (harus menggunakan tanda kutip ganda): metadata.product_name = "Google Cloud VPC Flow Logs"

  4. Anda dapat menggunakan operator nocase untuk menelusuri kombinasi versi huruf besar dan kecil dari string tertentu:

    • principal.hostname != "http-server" nocase
    • principal.hostname = "JDoe" nocase
    • principal.hostname = /dns-server-[0-9]+/ nocase

  5. Garis miring terbalik dan tanda kutip ganda dalam string harus di-escape menggunakan karakter garis miring terbalik. Contoh:

    • principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
    • target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""

  6. Anda dapat menggunakan ekspresi boolean untuk lebih mempersempit kemungkinan rentang data yang ditampilkan. Contoh berikut mengilustrasikan beberapa jenis ekspresi boolean yang didukung (operator boolean AND, OR, dan NOT dapat digunakan):

    • A AND B
    • A OR B
    • (A OR B) AND (B OR C) AND (C OR NOT D)

    Contoh berikut menggambarkan tampilan sintaksis yang sebenarnya:

    Peristiwa login ke server keuangan: 

    metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"

    Contoh penggunaan ekspresi reguler untuk menelusuri eksekusi alat psexec.exe di Windows. 

    target.process.command_line = /\bpsexec(.exe)?\b/ nocase

    Contoh penggunaan operator lebih dari (>) untuk menelusuri koneksi yang mengirim lebih dari 10 MB data. 

    metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000

    Contoh penggunaan beberapa kondisi untuk menelusuri Winword yang meluncurkan cmd.exe atau powershell.exe. 

        metadata.event_type = "PROCESS_LAUNCH" and
    principal.process.file.full_path = /winword/ and
    (target.process.file.full_path = /cmd.exe/ or
    target.process.file.full_path = /powershell.exe/)

  7. Anda juga dapat menelusuri pasangan nilai kunci tertentu di kolom Tambahan dan Label.

    Kolom Tambahan dan Label digunakan sebagai 'catch all' yang dapat disesuaikan untuk data peristiwa yang tidak sesuai dengan kolom UDM standar. Kolom Tambahan dapat berisi beberapa pasangan nilai kunci. Kolom Label hanya boleh berisi satu pasangan nilai kunci. Namun, setiap instance kolom hanya berisi satu kunci dan satu nilai. Kunci harus berada di dalam tanda kurung dan nilai harus berada di sisi kanan.

    Contoh berikut menunjukkan cara menelusuri peristiwa yang berisi pasangan nilai kunci yang ditentukan: 

        additional.fields["pod_name"] = "kube-scheduler"
    metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"
     Contoh berikut menunjukkan cara menggunakan operator AND dengan penelusuran pasangan nilai kunci: 
        additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"

    Anda dapat menggunakan sintaksis berikut untuk menelusuri semua peristiwa yang berisi kunci yang ditentukan (terlepas dari nilainya) 

        additional.fields["pod_name"] != ""
     Anda juga dapat menggunakan ekspresi reguler dan operator nocase: 
        additional.fields["pod_name"] = /br/
    additional.fields["pod_name"] = bar nocase

  8. Anda juga dapat menggunakan komentar blok dan baris tunggal.

    Contoh berikut menunjukkan cara menggunakan komentar blok: 

        additional.fields["pod_name"] = "kube-scheduler"
    /*
    Block comments can span
    multiple lines.
    */
    AND additional.fields["pod_name1"] = "kube-scheduler1"

    Contoh berikut menunjukkan cara menggunakan komentar satu baris: 

        additional.fields["pod_name"] != "" // my single-line comment

  9. Klik Jalankan penelusuran untuk menjalankan penelusuran dan menampilkan hasil peristiwa di halaman Penelusuran di tabel linimasa Peristiwa.

  10. Opsional: Persempit hasil dengan menambahkan kolom UDM tambahan secara manual atau dengan menggunakan UI.

Setelan penelusuran

Anda dapat menentukan hasil maksimum untuk penelusuran di setelan Penelusuran UDM. Setelan ini bersifat spesifik per pengguna.

  1. Klik Setelan penelusuran dari Lainnya di samping Jalankan penelusuran.

  2. Pilih Jumlah Hasil Maksimum yang Akan Ditampilkan. Opsinya adalah 1K, 10K, 100K, 1M dan custom, yang dapat memiliki nilai antara 1 dan 1M. Nilai defaultnya adalah 1M. Kueri biasanya berjalan lebih cepat jika Anda memilih ukuran set hasil yang lebih kecil.

Penelusuran menampilkan terlalu banyak hasil

Jika penelusuran Anda terlalu luas, Google SecOps akan menampilkan pesan peringatan yang menunjukkan bahwa tidak semua hasil penelusuran dapat ditampilkan.

Dalam hal ini, sistem hanya mengambil hasil terbaru, hingga batas penelusuran sebesar 1 juta peristiwa dan 1.000 pemberitahuan. Namun, mungkin ada lebih banyak peristiwa dan pemberitahuan yang cocok yang tidak ditampilkan.

Untuk memastikan Anda mendapatkan semua hasil yang relevan, pertimbangkan untuk mempersempit penelusuran dengan menerapkan filter tambahan. Mempersempit cakupan penelusuran membantu mengurangi set data menjadi ukuran yang dapat dikelola dan meningkatkan akurasi. Sebaiknya sesuaikan dan jalankan ulang penelusuran hingga hasilnya berada dalam batas tampilan sistem.

Halaman hasil penelusuran menampilkan 10.000 hasil terbaru. Anda dapat memfilter dan menyaring hasil penelusuran untuk menampilkan hasil yang lebih lama, sebagai alternatif untuk mengubah dan menjalankan ulang penelusuran.

Menelusuri kolom yang dikelompokkan

Kolom yang dikelompokkan adalah alias untuk grup kolom UDM terkait. Anda dapat menggunakannya untuk mengkueri beberapa kolom UDM secara bersamaan tanpa mengetik setiap kolom satu per satu.

Contoh berikut menunjukkan cara memasukkan kueri untuk mencocokkan kolom UDM umum yang mungkin berisi alamat IP yang ditentukan: 

    ip = "1.2.3.4"

Anda dapat mencocokkan kolom yang dikelompokkan menggunakan ekspresi reguler dan menggunakan operator nocase. Daftar referensi juga didukung. Kolom yang dikelompokkan juga dapat digunakan bersama dengan kolom UDM reguler seperti yang ditunjukkan pada contoh berikut: 

    ip = "5.6.7.8" AND metadata.event_type = "NETWORK_CONNECTION"

Kolom yang dikelompokkan memiliki bagian terpisah di Agregasi.

Jenis kolom UDM yang dikelompokkan

Anda dapat menelusuri semua kolom UDM yang dikelompokkan berikut:

Nama kolom yang dikelompokkan Kolom UDM terkait
domain about.administrative_domain
about.asset.network_domain
network.dns.questions.name
network.dns_domain
principal.administrative_domain
principal.asset.network_domain
target.administrative_domain
target.asset.hostname
target.asset.network_domain
target.hostname
email intermediary.user.email_addresses
network.email.from
network.email.to
principal.user.email_addresses
security_result.about.user.email_addresses
target.user.email_addresses
file_path principal.file.full_path
principal.process.file.full_path
principal.process.parent_process.file.full_path
target.file.full_path
target.process.file.full_path
target.process.parent_process.file.full_path
hash about.file.md5
about.file.sha1
about.file.sha256
principal.process.file.md5
principal.process.file.sha1
principal.process.file.sha256
security_result.about.file.sha256
target.file.md5
target.file.sha1
target.file.sha256
target.process.file.md5
target.process.file.sha1
target.process.file.sha256
hostname intermediary.hostname
observer.hostname
principal.asset.hostname
principal.hostname
src.asset.hostname
src.hostname
target.asset.hostname
target.hostname
ip intermediary.ip
observer.ip
principal.artifact.ip
principal.asset.ip
principal.ip
src.artifact.ip
src.asset.ip
src.ip
target.artifact.ip
target.asset.ip
target.ip
namespace principal.namespace
src.namespace
target.namespace
process_id principal.process.parent_process.pid
principal.process.parent_process.product_specific_process_id
principal.process.pid
principal.process.product_specific_process_id
target.process.parent_process.pid
target.process.parent_process.product_specific_process_id
target.process.pid
target.process.product_specific_process_id
pengguna about.user.userid
observer.user.userid
principal.user.user_display_name
principal.user.userid
principal.user.windows_sid
src.user.userid
target.user.user_display_name
target.user.userid
target.user.windows_sid

Menemukan kolom UDM untuk kueri penelusuran

Saat menulis kueri penelusuran, Anda mungkin tidak tahu kolom UDM mana yang akan disertakan. Penelusuran UDM memungkinkan Anda menemukan nama kolom UDM dengan cepat yang berisi string teks dalam namanya atau yang menyimpan nilai string tertentu. Fungsi Lookup UDM tidak dimaksudkan untuk digunakan menelusuri jenis data lain, seperti byte, boolean, atau numerik. Anda memilih satu atau beberapa hasil yang ditampilkan oleh UDM Lookup sebagai titik awal untuk kueri penelusuran.

Untuk menggunakan UDM Lookup, lakukan hal berikut:

  1. Dari halaman Penelusuran, masukkan string teks di kolom Cari kolom UDM berdasarkan nilai, lalu klik Pencarian UDM.

  2. Di dialog UDM lookup, pilih satu atau beberapa opsi berikut untuk menentukan cakupan data yang akan ditelusuri:

    • Kolom UDM: menelusuri teks dalam nama kolom UDM; misalnya: network.dns.questions.name atau principal.ip.
    • Nilai: menelusuri teks dalam nilai yang ditetapkan ke kolom UDM; misalnya: dns atau google.com.

  3. Masukkan atau ubah string di kolom penelusuran. Saat Anda mengetik, hasil penelusuran akan muncul di dialog.

    Hasilnya sedikit berbeda saat menelusuri di Kolom UDM dibandingkan dengan Nilai. Saat menelusuri teks di Nilai, hasilnya akan muncul sebagai berikut:

    • Jika ditemukan di awal atau akhir nilai, string akan ditandai dalam hasil, bersama dengan nama kolom UDM dan waktu log diserap.
    • Jika string teks ditemukan di tempat lain dalam nilai, hasilnya akan menampilkan nama kolom UDM dan teks Kemungkinan kecocokan nilai.

    Menelusuri dalam nilai

    Gambar 2. Menelusuri dalam nilai di Penelusuran UDM.

    • Saat menelusuri string teks dalam nama kolom UDM, UDM Lookup akan menampilkan kecocokan persis yang ditemukan di lokasi mana pun dalam nama.

    Menelusuri dalam kolom UDM

    Gambar 3. Menelusuri dalam kolom UDM di UDM Lookup.

  4. Dalam daftar hasil, Anda dapat melakukan hal berikut:

    • Klik nama kolom UDM untuk melihat deskripsi kolom tersebut.

    • Pilih satu atau beberapa hasil dengan mengklik kotak centang di sebelah kiri setiap nama kolom UDM.

    • Klik tombol Reset untuk membatalkan pilihan semua kolom yang dipilih dalam daftar hasil.

  5. Untuk menambahkan hasil yang dipilih ke kolom Telusuri, klik Tambahkan ke penelusuran.

    Anda dapat menyalin hasil yang dipilih menggunakan tombol Salin UDM, menutup dialog UDM Lookup, dan menempelkan string kueri penelusuran ke kolom Telusuri.

    Google SecOps mengonversi hasil yang dipilih menjadi string kueri penelusuran sebagai nama kolom UDM atau pasangan nama-nilai. Jika Anda menambahkan beberapa hasil, setiap hasil akan ditambahkan ke akhir kueri yang ada di kolom penelusuran menggunakan operator OR.

    String kueri yang ditambahkan berbeda-beda bergantung pada jenis pencocokan yang ditampilkan oleh UDM Lookup.

    • Jika hasilnya cocok dengan string teks dalam nama kolom UDM, nama kolom UDM lengkap akan ditambahkan ke kueri. Berikut adalah contohnya:

    principal.artifact.network.dhcp.client_hostname

    • Jika hasilnya cocok dengan string teks di awal atau akhir nilai, pasangan nilai nama berisi nama kolom UDM dan nilai lengkap dalam hasil. Berikut adalah contohnya:

    metadata.log_type = "PCAP_DNS"

    network.dns.answers.name = "dns-A901F3j.hat.example.com"

    • Jika hasilnya menyertakan teks Kemungkinan kecocokan nilai, pasangan nama-nilai akan berisi nama kolom UDM dan ekspresi reguler yang berisi istilah penelusuran. Berikut adalah contohnya:

    principal.process.file.full_path = /google/ NOCASE

  6. Edit kueri penelusuran agar sesuai dengan kasus penggunaan Anda. String kueri yang dihasilkan oleh UDM Lookup berfungsi sebagai titik awal untuk memasukkan kueri penelusuran lengkap.

Ringkasan perilaku UDM Lookup

Bagian ini memberikan detail selengkapnya tentang kemampuan UDM Lookup.

  • UDM Lookup menelusuri data yang diserap setelah 10 Agustus 2023. Data yang ditransfer sebelumnya tidak akan ditelusuri. Fungsi ini menampilkan hasil yang ditemukan di kolom UDM yang tidak diperkaya. Fungsi ini tidak menampilkan kecocokan ke kolom yang diperkaya. Untuk informasi tentang kolom yang diperkaya dan tidak diperkaya, lihat Melihat peristiwa di Penampil Peristiwa.
  • Penelusuran menggunakan UDM Lookup tidak peka huruf besar/kecil. Istilah hostname menampilkan hasil yang sama dengan HostName.
  • Tanda hubung (-) dan garis bawah (_) dalam string teks kueri diabaikan saat menelusuri Nilai. String teks dns-l dan dnsl menampilkan nilai dns-l.

  • Saat menelusuri Nilai, UDM Lookup tidak menampilkan kecocokan dalam kasus berikut:

    Cocok di kolom UDM berikut:
    • metadata.product_log_id
    • network.session_id
    • security_result.rule_id
    • network.parent_session_id
    Cocok di kolom UDM dengan jalur lengkap yang diakhiri dengan salah satu nilai berikut:
    • .pid
      Misalnya target.process.pid.
    • .asset_id
      Misalnya principal.asset_id.
    • .product_specific_process_id
      Misalnya principal.process.product_specific_process_id.
    • .resource.id
      Misalnya principal.resource.id.

    • Saat menelusuri Nilai, UDM Lookup akan menampilkan pesan Kemungkinan kecocokan nilai dalam hasil jika kecocokan ditemukan dalam kasus berikut:
    Cocok di kolom UDM berikut:
    • metadata.description
    • security_result.description
    • security_result.detection_fields.value
    • security_result.summary
    • network.http.user_agent
    Mencocokkan kolom dengan jalur lengkap yang diakhiri dengan salah satu nilai berikut:
    • .command_line
      Misalnya principal.process.command_line.
    • .file.full_path
      Misalnya principal.process.file.full_path.
    • .labels.value
      Misalnya src.labels.value.
    • .registry.registry_key
      Misalnya principal.registry.registry_key.
    • .url
      Misalnya principal.url.
    Mencocokkan kolom dengan jalur lengkap yang diawali dengan nilai berikut: additional.fields.value.
    Misalnya additional.fields.value.null_value.

Untuk melihat pemberitahuan, klik tab Pemberitahuan, yang terletak di samping tab Peristiwa, di kanan atas halaman Penelusuran.

Cara notifikasi ditampilkan

Google SecOps mengevaluasi peristiwa yang ditampilkan dalam penelusuran terhadap peristiwa yang ada untuk pemberitahuan di lingkungan pelanggan. Jika peristiwa kueri penelusuran cocok dengan peristiwa yang ada dalam pemberitahuan, peristiwa tersebut akan ditampilkan di linimasa pemberitahuan dan tabel pemberitahuan yang dihasilkan.

Definisi peristiwa dan pemberitahuan

Peristiwa dihasilkan dari sumber log mentah yang diserap ke dalam Google SecOps dan diproses oleh proses penyerapan dan normalisasi Google SecOps. Beberapa peristiwa dapat dihasilkan dari satu data sumber log mentah. Peristiwa mewakili kumpulan titik data yang relevan dengan keamanan yang dihasilkan dari log mentah tersebut.

Dalam penelusuran, notifikasi ditentukan sebagai deteksi aturan YARA-L dengan notifikasi yang diaktifkan. Lihat menjalankan aturan terhadap data langsung untuk mempelajari lebih lanjut.

Sumber data lainnya dapat diserap ke dalam Google SecOps sebagai pemberitahuan, seperti Pemberitahuan Crowdstrike Falcon. Notifikasi ini tidak muncul dalam penelusuran kecuali jika diproses oleh Mesin Deteksi Google SecOps sebagai aturan YARA-L.

Peristiwa yang terkait dengan satu atau beberapa pemberitahuan ditandai dengan chip Pemberitahuan di Linimasa Peristiwa. Jika ada beberapa pemberitahuan yang terkait dengan linimasa, chip akan menampilkan jumlah pemberitahuan terkait.

Linimasa menampilkan 1.000 pemberitahuan terbaru yang diambil dari hasil penelusuran. Jika batas 1.000 tercapai, tidak ada lagi pemberitahuan yang diambil. Untuk memastikan Anda melihat semua hasil yang relevan dengan penelusuran, pertajam penelusuran dengan filter.

Cara menyelidiki pemberitahuan

Untuk mempelajari cara menggunakan Grafik pemberitahuan dan Detail pemberitahuan guna menyelidiki pemberitahuan, ikuti langkah-langkah yang diuraikan dalam Menyelidiki pemberitahuan.

Menggunakan daftar referensi dalam penelusuran

Proses untuk menerapkan daftar referensi dalam Aturan juga dapat digunakan dalam penelusuran. Hingga tujuh daftar dapat disertakan dalam satu kueri penelusuran. Semua jenis daftar referensi (string, ekspresi reguler, CIDR) didukung.

Anda dapat membuat daftar variabel yang ingin dilacak. Misalnya, Anda dapat membuat daftar alamat IP yang mencurigakan: 

// Field value exists in reference list
principal.ip IN %suspicious_ips

Anda juga dapat menggunakan beberapa daftar menggunakan AND atau OR:

// multiple lists can be used with AND or OR
principal.ip IN %suspicious_ips AND
principal.hostname IN %suspicious_hostnames

Mempersempit hasil penelusuran

Anda dapat menggunakan antarmuka pengguna penelusuran untuk memfilter dan menyaring hasil sebagai alternatif untuk mengubah dan menjalankan ulang penelusuran.

Diagram linimasa

Diagram linimasa memberikan representasi grafis jumlah peristiwa dan pemberitahuan yang terjadi setiap hari yang ditampilkan oleh penelusuran saat ini. Peristiwa dan pemberitahuan ditampilkan pada diagram linimasa yang sama, yang tersedia di tab Peristiwa dan Pemberitahuan.

Lebar setiap batang bergantung pada interval waktu yang ditelusuri. Misalnya, setiap batang mewakili 10 menit jika penelusuran mencakup data selama 24 jam. Diagram ini diperbarui secara dinamis saat Anda mengubah penelusuran yang ada.

Penyesuaian rentang waktu

Anda dapat menyesuaikan rentang waktu untuk diagram dengan memindahkan kontrol penggeser putih ke kiri dan kanan untuk menyesuaikan rentang waktu dan berfokus pada periode yang diinginkan. Saat Anda menyesuaikan rentang waktu, tabel Kolom dan Nilai UDM serta Peristiwa akan diperbarui untuk mencerminkan pilihan saat ini. Anda juga dapat mengklik satu batang pada grafik untuk mencantumkan peristiwa tersebut saja dalam jangka waktu tersebut.

Setelah Anda menyesuaikan rentang waktu, kotak centang Peristiwa yang Difilter dan Peristiwa Kueri akan muncul, sehingga Anda dapat lebih membatasi jenis peristiwa yang ditampilkan.

Diagram linimasa peristiwa dengan kontrol rentang waktu

Gambar 4. Diagram linimasa peristiwa dengan kontrol rentang waktu

Mengubah Penelusuran UDM dengan Agregasi

Dengan Agregasi, Anda dapat mempersempit penelusuran UDM lebih lanjut. Anda dapat men-scroll daftar kolom UDM atau menelusuri kolom atau nilai UDM tertentu menggunakan kolom Penelusuran. Kolom UDM yang tercantum di sini dikaitkan dengan daftar peristiwa yang ada yang dihasilkan oleh penelusuran UDM Anda. Setiap kolom UDM menyertakan jumlah peristiwa dalam penelusuran UDM Anda saat ini yang juga menyertakan bagian data ini. Daftar kolom UDM menampilkan total jumlah nilai unik dalam kolom. Fitur ini memungkinkan Anda mencari jenis data log tertentu yang mungkin menarik untuk dipelajari lebih lanjut.

Kolom UDM tercantum dalam urutan berikut:

  1. Kolom dengan jumlah peristiwa tertinggi hingga jumlah peristiwa terendah.
  2. Kolom yang hanya memiliki 1 nilai selalu berada di akhir.
  3. Kolom dengan total jumlah peristiwa yang sama persis akan diurutkan menurut abjad dari A hingga Z.

Agregasi

Gambar 5. Agregasi.

Mengubah Agregasi

Jika memilih nilai kolom UDM dalam daftar Agregasi dan mengklik ikon menu, Anda akan diberi opsi untuk Hanya menampilkan peristiwa yang juga menyertakan nilai kolom UDM tersebut atau untuk Memfilter nilai kolom UDM tersebut. Jika kolom UDM menyimpan nilai bilangan bulat (contoh: target.port), Anda juga akan melihat opsi untuk memfilter menurut <,>,<=,>=. Opsi filter mempersingkat daftar peristiwa yang ditampilkan.

Anda juga dapat menyematkan kolom (menggunakan ikon push pin) di Agregasi untuk menyimpannya sebagai favorit. Dimensi tersebut muncul di bagian atas daftar Agregasi.

Hanya Tampilkan

Gambar 6. Contoh: Pilih Hanya Tampilkan.

Filter UDM tambahan ini juga ditambahkan ke kolom filter peristiwa. Kolom peristiwa filter membantu Anda melacak kolom UDM tambahan yang ditambahkan ke penelusuran, dan menghapusnya sesuai kebutuhan.

Saat Anda mengklik Terapkan untuk menelusuri dan menjalankan, peristiwa yang ditampilkan akan difilter berdasarkan filter tambahan tersebut dan kolom penelusuran utama di bagian atas halaman akan diperbarui. Penelusuran akan otomatis dijalankan lagi menggunakan parameter tanggal dan waktu yang sama.

Filter peristiwa

Gambar 7. Memfilter peristiwa.

Jika Anda mengklik Tambahkan filter, jendela akan terbuka yang memungkinkan Anda memilih kolom UDM tambahan.

Jendela filter peristiwa

Gambar 8. Jendela filter peristiwa.

Melihat peristiwa di tabel Peristiwa

Semua filter dan kontrol ini akan memperbarui daftar peristiwa yang ditampilkan di tabel Peristiwa. Klik salah satu peristiwa yang tercantum untuk membuka Log Viewer tempat Anda dapat memeriksa log mentah dan data UDM untuk peristiwa tersebut. Jika mengklik stempel waktu untuk peristiwa, Anda juga dapat membuka tampilan Aset, alamat IP, Domain, Hash, atau Pengguna yang terkait. Anda juga dapat menggunakan kolom Penelusuran di bagian atas tabel untuk menemukan peristiwa tertentu.

Melihat pemberitahuan di tabel Pemberitahuan

Anda dapat melihat pemberitahuan dengan mengklik tab Pemberitahuan di sebelah kanan tab Peristiwa. Anda dapat menggunakan Agregasi untuk mengurutkan pemberitahuan berdasarkan:

  • Kasus
  • Nama
  • Prioritas
  • Keparahan
  • Status
  • Putusan

Hal ini membantu Anda berfokus pada pemberitahuan yang paling penting bagi Anda.

Notifikasi ditampilkan pada jangka waktu yang sama dengan peristiwa di tab Peristiwa. Hal ini membantu Anda melihat hubungan antara peristiwa dan pemberitahuan.

Jika Anda ingin mempelajari notifikasi tertentu lebih lanjut, klik notifikasi tersebut, dan halaman detail notifikasi individual akan terbuka yang berisi informasi lebih mendalam tentang notifikasi tersebut.

Melihat peristiwa di Event Viewer

Jika Anda menahan kursor di atas peristiwa dalam tabel Peristiwa, ikon penampil peristiwa terbuka akan muncul di sisi kanan peristiwa yang ditandai. Klik untuk membuka Event Viewer.

Jendela Log Mentah menampilkan tanda mentah asli dalam salah satu format berikut:

  • Mentah
  • JSON
  • XML
  • CSV
  • Hex/ASCII

Jendela UDM menampilkan data UDM terstruktur. Anda dapat mengarahkan kursor ke salah satu kolom UDM untuk melihat definisi UDM. Dengan mencentang kotak untuk kolom UDM, Anda akan melihat opsi tambahan:

  • Salin data UDM. Pilih satu atau beberapa kolom UDM, lalu pilih opsi Salin UDM dari daftar Lihat Tindakan. Kolom UDM dan nilai UDM disalin ke papan klip sistem.

  • Tambahkan kolom UDM: Pilih opsi Tambahkan Kolom dari daftar Lihat Tindakan.

Setiap kolom UDM diberi label dengan ikon yang menunjukkan apakah kolom tersebut berisi data yang diperkaya atau tidak diperkaya. Label ikonnya adalah sebagai berikut:

  • U: Kolom yang tidak diperkaya berisi nilai yang diisi selama proses normalisasi menggunakan data dari log mentah asli.

  • E: Kolom yang diperkaya berisi nilai yang diisi oleh Google SecOps untuk memberikan konteks tambahan tentang artefak di lingkungan pelanggan. Untuk informasi selengkapnya, lihat Cara Google SecOps memperkaya data peristiwa dan entitas.

    Kolom UDM yang diperkaya dan tidak diperkaya

Gambar 9. Kolom UDM di Event Viewer.

Gunakan opsi Columns untuk menyesuaikan kolom yang ditampilkan di tabel Peristiwa. Menu Columns akan ditampilkan, yang menawarkan berbagai opsi berdasarkan jenis peristiwa yang ditampilkan oleh penelusuran.

Menyimpan kumpulan kolom

Anda dapat menyimpan kumpulan kolom yang telah dipilih di sini secara opsional dengan mengklik Simpan. Beri nama kumpulan kolom yang dipilih, lalu klik Simpan lagi. Anda dapat memuat kumpulan kolom tersimpan dengan mengklik Muat dan memilih kumpulan kolom tersimpan dari daftar.

Kolom Penelusuran UDM

Untuk mendownload peristiwa yang ditampilkan, klik Lainnya, lalu pilih Download sebagai CSV. Tindakan ini akan mendownload semua hasil penelusuran hingga 1 juta peristiwa. Antarmuka pengguna akan menunjukkan jumlah peristiwa yang akan didownload.

Menelusuri Kolom

Gambar 10. Menelusuri kolom.

Menggunakan Tabel Pivot untuk menganalisis peristiwa

Tabel Pivot memungkinkan Anda menganalisis peristiwa menggunakan ekspresi dan fungsi terhadap hasil dari penelusuran.

Selesaikan langkah-langkah berikut untuk membuka dan mengonfigurasi Tabel Pivot:

  1. Jalankan penelusuran.

  2. Klik tab Pivot untuk membuka Tabel Pivot.

  3. Tentukan nilai Kelompokkan menurut untuk mengelompokkan peristiwa menurut kolom UDM tertentu. Anda dapat menampilkan hasil menggunakan kapitalisasi default atau menggunakan huruf kecil saja dengan memilih huruf kecil dari menu. Opsi ini hanya tersedia untuk kolom string. Anda dapat menentukan hingga 5 nilai Kelompokkan menurut dengan mengklik Tambahkan Kolom.

    Jika nilai Kelompokkan menurut adalah salah satu kolom nama host, Anda akan memiliki opsi Transformasi tambahan:

    • Top N-Level Domain—Pilih tingkat domain yang akan ditampilkan. Misalnya, menggunakan nilai 1 hanya akan menampilkan domain level teratas (seperti com, gov, atau edu). Menggunakan nilai 3 akan menampilkan dua level nama domain berikutnya (seperti google.co.uk).
    • Get Registered Domain—Hanya menampilkan nama domain terdaftar (seperti google.com, nytimes.com, dan youtube.com).

    Jika nilai Kelompokkan menurut adalah salah satu kolom IP, Anda memiliki opsi Transformasi tambahan:

    • (IP) Panjang awalan CIDR dalam bit—Anda dapat menentukan 1 hingga 32 untuk alamat IPv4. Untuk alamat IPv6, Anda dapat menentukan nilai hingga 128.

    Jika nilai Kelompokkan menurut menyertakan stempel waktu, Anda akan memiliki opsi Transformasi tambahan:

    • (Waktu) Resolusi dalam milidetik
    • (Waktu) Resolusi dalam detik
    • (Waktu) Penyelesaian dalam menit
    • (Waktu) Penyelesaian dalam jam
    • (Waktu) Penyelesaian dalam hari

  4. Tentukan Nilai untuk Pivot dari daftar Kolom dalam hasil Anda. Anda dapat menentukan hingga 5 nilai. Setelah menentukan Kolom, Anda harus memilih opsi Ringkas. Anda dapat membuat ringkasan berdasarkan opsi berikut:

    • sum
    • count
    • count distinct
    • rata-rata
    • stddev
    • mnt
    • max

  5. Tentukan nilai Jumlah peristiwa untuk menampilkan jumlah peristiwa yang diidentifikasi untuk penelusuran dan Tabel Pivot tertentu ini.

    Opsi Ringkas tidak kompatibel secara universal dengan kolom Kelompokkan menurut. Misalnya, opsi sum, average, stddev, min, dan max hanya dapat diterapkan ke kolom numerik. Jika Anda mencoba mengaitkan opsi Ringkas yang tidak kompatibel dengan kolom Kelompokkan menurut, Anda akan menerima pesan error.

  6. Tentukan satu atau beberapa kolom UDM dan pilih satu atau beberapa pengurutan menggunakan opsi Urutkan menurut.

  7. Klik Terapkan jika Anda sudah siap. Hasilnya ditampilkan di Tabel Pivot.

  8. Opsional: Untuk mendownload tabel pivot, klik Lainnya, lalu pilih Download sebagai CSV. Jika Anda tidak memilih pivot, opsi ini akan dinonaktifkan.

Ringkasan penelusuran tersimpan dan histori penelusuran

Dengan mengklik Pengelola penelusuran, Anda dapat mengambil penelusuran tersimpan dan melihat histori penelusuran. Pilih penelusuran tersimpan untuk melihat informasi tambahan, termasuk judul dan deskripsi.

Penelusuran tersimpan dan histori penelusuran:

  • Disimpan dengan akun Google SecOps Anda.

  • Hanya dapat dilihat dan diakses oleh pengguna individual, kecuali jika Anda menggunakan fitur Bagikan penelusuran untuk membagikan penelusuran dengan organisasi Anda.

Untuk menyimpan penelusuran, lakukan hal berikut:

  1. Dari halaman Telusuri, klik Lainnya di samping Jalankan penelusuran, lalu klik Simpan penelusuran untuk menggunakan penelusuran ini nanti. Tindakan ini akan membuka dialog Pengelola penelusuran. Sebaiknya beri penelusuran tersimpan Anda nama yang bermakna dan deskripsi teks biasa tentang apa yang Anda telusuri. Anda juga dapat membuat penelusuran baru dari dalam dialog Pengelola penelusuran dengan mengklik Tambahkan. Alat pengeditan dan penyelesaian UDM standar juga tersedia di sini.

  2. Opsional: Tentukan variabel placeholder dalam format ${<variable name>} menggunakan format yang sama seperti yang digunakan untuk variabel di YARA-L. Jika menambahkan variabel ke penelusuran, Anda juga harus menyertakan perintah untuk membantu pengguna memahami informasi yang diperlukan untuk dimasukkan sebelum mereka menjalankan penelusuran. Semua variabel harus diisi dengan nilai sebelum penelusuran dijalankan.

    Misalnya, Anda dapat menambahkan metadata.vendor_name = ${vendor_name} ke penelusuran. Untuk ${vendor_name}, Anda perlu menambahkan perintah untuk pengguna mendatang, seperti Enter the name of the vendor for your search. Setiap kali pengguna memuat penelusuran ini pada masa mendatang, mereka akan diminta untuk memasukkan nama vendor sebelum menjalankan penelusuran.

  3. Klik Simpan Hasil Edit setelah selesai.

  4. Untuk melihat penelusuran tersimpan, klik Pengelola Penelusuran, lalu klik tab Tersimpan.

Untuk mengambil dan menjalankan penelusuran tersimpan, lakukan hal berikut:

  1. Dalam dialog Pengelola penelusuran, pilih penelusuran tersimpan dari daftar di sebelah kiri. Penelusuran tersimpan ini disimpan ke akun Google SecOps Anda.

  2. Opsional: Hapus penelusuran dengan mengklik Lainnya dan memilih Hapus penelusuran. Anda hanya dapat menghapus penelusuran yang Anda buat.

  3. Anda dapat mengubah nama penelusuran dan deskripsinya. Klik Simpan pengeditan setelah selesai.

  4. Klik Muat penelusuran. Penelusuran dimuat ke kolom penelusuran utama.

  5. Klik Jalankan Penelusuran untuk melihat peristiwa yang terkait dengan penelusuran ini.

Mengambil penelusuran dari histori penelusuran Anda

Untuk mengambil dan menjalankan penelusuran dari histori penelusuran, lakukan hal berikut:

  1. Di Pengelola Penelusuran, klik Histori.

  2. Pilih penelusuran dari histori penelusuran Anda. Histori penelusuran Anda disimpan ke akun Google SecOps Anda. Anda dapat menghapus penelusuran dengan mengklik Hapus.

  3. Klik Muat penelusuran. Penelusuran dimuat ke kolom penelusuran utama.

  4. Klik Jalankan penelusuran untuk melihat peristiwa yang terkait dengan penelusuran ini.

Menghapus, menonaktifkan, atau mengaktifkan histori penelusuran

Untuk menghapus, menonaktifkan, atau mengaktifkan histori penelusuran, lakukan hal berikut:

  1. Di Pengelola Penelusuran, klik tab Histori.

  2. Klik Lainnya.

  3. Pilih Hapus Histori untuk menghapus histori penelusuran.

  4. Klik Nonaktifkan Histori untuk menonaktifkan histori penelusuran. Anda memiliki opsi untuk:

    • Hanya Nonaktifkan—Nonaktifkan histori penelusuran.

    • Nonaktifkan dan Hapus—Nonaktifkan histori penelusuran dan hapus histori penelusuran yang tersimpan.

  5. Jika sebelumnya Anda menonaktifkan histori penelusuran, Anda dapat mengaktifkannya lagi dengan mengklik Aktifkan Histori Penelusuran.

  6. Klik Tutup untuk keluar dari Pengelola Penelusuran.

Membagikan penelusuran

Dengan penelusuran bersama, Anda dapat membagikan penelusuran kepada tim. Di tab Tersimpan, Anda dapat membagikan atau menghapus penelusuran. Anda juga dapat memfilter penelusuran dengan mengklik filter_altFilter di samping kotak penelusuran dan mengurutkan penelusuran menurut Tampilkan semua, Ditetapkan oleh Google SecOps, Ditulis oleh Saya, atau Dibagikan.

Anda tidak dapat mengedit penelusuran bersama yang bukan milik Anda.

  1. Klik Tersimpan.
  2. Klik penelusuran yang ingin dibagikan.
  3. Klik Lainnya di sebelah kanan penelusuran. Dialog dengan opsi untuk membagikan penelusuran Anda akan muncul.
  4. Klik Bagikan dengan Organisasi Anda.
  5. Dialog akan muncul yang bertuliskan Berbagi penelusuran Anda akan terlihat oleh orang di organisasi Anda. Yakin ingin berbagi? Klik Bagikan.

Jika Anda ingin penelusuran hanya terlihat oleh Anda, klik Lainnya, lalu klik Berhenti Berbagi. Jika berbagi dihentikan, hanya Anda yang dapat menggunakan penelusuran ini.

Kolom UDM yang dapat atau tidak dapat didownload ke CSV dari platform

Kolom UDM yang didukung dan tidak didukung untuk didownload ditampilkan di subbagian berikut.

Kolom yang didukung

Anda dapat mendownload kolom berikut ke file CSV dari platform:

  • pengguna

  • hostname

  • nama proses

  • jenis peristiwa

  • timestamp

  • log mentah (hanya valid jika log mentah diaktifkan untuk pelanggan)

  • Semua kolom yang diawali dengan "udm.additional"

Jenis kolom yang valid

Anda dapat mendownload jenis kolom berikut ke file CSV:

  • double

  • float

  • int32

  • uint32

  • int64

  • uint64

  • bool

  • string

  • enum

  • byte

  • google.protobuf.Timestamp

  • google.protobuf.Duration

Kolom yang tidak didukung

Kolom yang diawali dengan "udm" (bukan udm.additional) dan memenuhi salah satu kondisi berikut tidak dapat didownload ke CSV:

  • Tingkat bertingkat kolom lebih dari 10 di proto udm.

  • Jenis datanya adalah Message atau Group.

Langkah berikutnya

Untuk informasi tentang cara menggunakan data yang diperkaya konteks dalam penelusuran, lihat Menggunakan data yang diperkaya konteks dalam penelusuran.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.