Cerca

La funzione di ricerca consente di trovare eventi e avvisi del modello di dati unificato (UDM) all'interno dell'istanza di Google Security Operations utilizzando la sintassi YARA-L 2.0. La ricerca include una serie di opzioni che ti aiutano a navigare nei dati UDM. Puoi cercare singoli eventi UDM e gruppi di eventi UDM associati a termini di ricerca condivisi.

Nei sistemi che utilizzano l'accesso in base al ruolo dei dati, puoi visualizzare solo i dati corrispondenti ai tuoi scopi. Per ulteriori informazioni, consulta l'impatto del RBAC dei dati sulla Ricerca.

Per i clienti di Google SecOps, gli avvisi possono essere importati anche da connettori e webhook. Puoi anche utilizzare la ricerca per trovare questi avvisi.

Per ulteriori informazioni sull'UDM, consulta Formattare i dati di log come UDM ed Elenco dei campi UDM.

Ricerca di accesso

Puoi accedere alla ricerca di Google SecOps utilizzando le seguenti opzioni:

• Fai clic su Cerca nella barra di navigazione.

• Inserisci un campo UDM valido da qualsiasi campo di ricerca in Google SecOps e premi CTRL+Invio.

Per un elenco di tutti i campi UDM validi, consulta l'elenco dei campi UDM.

Figura 1. Cerca

Esegui una ricerca

Questa sezione descrive come utilizzare la funzionalità di ricerca di Google SecOps.

Le query UDM si basano sui campi UDM, che sono tutti elencati nell'elenco dei campi Unified Data Model. Puoi anche visualizzare i campi UDM nel contesto delle ricerche utilizzando i filtri o la ricerca dei log non elaborati.

Per inserire una ricerca nel campo Cerca, completa i seguenti passaggi. Al termine dell'inserimento di una ricerca, fai clic su Esegui ricerca. Puoi modificare il numero di eventi restituiti facendo clic su more_vertAltro e selezionando Impostazioni di ricerca. L'interfaccia dell'utente di Google SecOps ti consente di inserire solo un'espressione di ricerca valida. Puoi anche modificare l'intervallo di dati da cercare aprendo la finestra dell'intervallo di date.

1. Per cercare eventi, inserisci un nome di campo UDM nel campo di ricerca. L'interfaccia dell'utente include il completamento automatico e mostra i campi UDM validi in base a quanto hai inserito.

2. Dopo aver inserito un campo UDM valido, seleziona un operatore valido. L'interfaccia dell'utente mostra gli operatori validi disponibili in base al campo UDM inserito. Sono supportati i seguenti operatori:

   • <, >
   • <=, >=
   • =, !=
   • nocase: supportato per le stringhe

3. Dopo aver inserito un campo e un operatore UDM validi, inserisci i dati di log corrispondenti che stai cercando. Sono supportati i seguenti tipi di dati:

   • Valori enumerati:l'interfaccia utente mostra un elenco di valori enumerati validi per un determinato campo UDM.

   Ad esempio (utilizza virgolette doppie e lettere maiuscole): metadata.event_type = "NETWORK_CONNECTION"

   • Valori aggiuntivi:puoi utilizzare "field[key] = value" per cercare eventi nei campi aggiuntivi ed etichette.

   Ad esempio: additional.fields["key"]="value"

   • Bool: puoi utilizzare true o false (tutti i caratteri sono insensibili alle maiuscole e la parola chiave non è racchiusa tra virgolette).

   Ad esempio: network.dns.response = true

   • Numeri interi

   Ad esempio: target.port = 443

   • Numeri in virgola mobile: per i campi UDM di tipo float, inserisci un valore in virgola mobile, ad esempio 3.1. Puoi anche inserire un numero intero, ad esempio 3, che equivale a inserire 3.0.

   Ad esempio: security_result.about.asset.vulnerabilities.cvss_base_score = 3.1 o security_result.about.asset.vulnerabilities.cvss_base_score = 3

   • Espressioni regolari: (l'espressione regolare deve essere compresa tra i caratteri barra (/))

   Ad esempio: principal.ip = /10.*/

   Per ulteriori informazioni sulle espressioni regolari, consulta la pagina corrispondente.

   • Stringhe

   Ad esempio (devi utilizzare virgolette doppie): metadata.product_name = "Google Cloud VPC Flow Logs"

4. Puoi utilizzare l'operatore nocase per cercare qualsiasi combinazione di lettere maiuscole e minuscole di una determinata stringa:

   • principal.hostname != "http-server" nocase
   • principal.hostname = "JDoe" nocase
   • principal.hostname = /dns-server-[0-9]+/ nocase

5. Le barre rovesciate e le virgolette doppie nelle stringhe devono essere interpretate letteralmente utilizzando un carattere barra rovesciata. Ad esempio:

   • principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
   • target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""

6. Puoi utilizzare espressioni booleane per restringere ulteriormente l'intervallo possibile dei dati visualizzati. I seguenti esempi illustrano alcuni tipi di espressioni booleane supportate (è possibile utilizzare gli operatori booleani AND, OR e NOT):

   • A AND B
   • A OR B
   • (A OR B) AND (B OR C) AND (C OR NOT D)

   I seguenti esempi illustrano come potrebbe essere la sintassi effettiva:

   Eventi di accesso al server finanziario:

   metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"

   Esempio di utilizzo di un'espressione regolare per cercare l'esecuzione dello strumento psexec.exe su Windows.

   target.process.command_line = /\bpsexec(.exe)?\b/ nocase

   Esempio di utilizzo dell'operatore maggiore (>) per cercare le connessioni in cui sono stati inviati più di 10 MB di dati.

   metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000

   Esempio di utilizzo di più condizioni per cercare Winword che avvia cmd.exe o powershell.exe.

       metadata.event_type = "PROCESS_LAUNCH" and
       principal.process.file.full_path = /winword/ and
       (target.process.file.full_path = /cmd.exe/ or
       target.process.file.full_path = /powershell.exe/)

7. Puoi anche cercare coppie chiave-valore specifiche nei campi Aggiuntivo e Etichetta.

   I campi Aggiuntivo e Etichetta vengono utilizzati come "catch all" personalizzabile per i dati sugli eventi che non rientrano in un campo UDM standard. I campi aggiuntivi possono contenere più coppie chiave-valore. I campi Etichetta possono contenere una sola coppia chiave-valore. Tuttavia, ogni istanza del campo contiene una sola chiave e un solo valore. La chiave deve essere inserita all'interno delle parentesi e il valore deve trovarsi sul lato destro.

   Gli esempi riportati di seguito mostrano come cercare eventi contenenti coppie chiave-valore specificate:

       additional.fields["pod_name"] = "kube-scheduler"
       metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"

   L'esempio seguente mostra come utilizzare l'operatore AND con le ricerche delle coppie chiave-valore:

       additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"

   Puoi utilizzare la seguente sintassi per cercare tutti gli eventi che contengono la chiave specificata (indipendentemente dal valore).

       additional.fields["pod_name"] != ""

   Puoi anche utilizzare le espressioni regolari e l'operatore nocase:

       additional.fields["pod_name"] = /br/
       additional.fields["pod_name"] = bar nocase

8. Puoi anche utilizzare commenti blocchi e a riga singola.

   L'esempio seguente mostra come utilizzare un commento blocco:

       additional.fields["pod_name"] = "kube-scheduler"
       /*
       Block comments can span
       multiple lines.
       */
       AND additional.fields["pod_name1"] = "kube-scheduler1"

   L'esempio seguente mostra come utilizzare un commento di una riga:

       additional.fields["pod_name"] != "" // my single-line comment

9. Fai clic su Esegui ricerca per eseguire la ricerca e visualizzare il risultato degli eventi nella pagina Ricerca della tabella Spostamenti nel tempo.

10. (Facoltativo) Restringi i risultati aggiungendo manualmente altri campi UDM o utilizzando la UI.

Impostazioni di ricerca

Puoi definire il numero massimo di risultati per la ricerca nelle Impostazioni di ricerca UDM. Queste impostazioni sono specifiche per l'utente.

1. Fai clic su Impostazioni di ricerca in more_vertAltro accanto a Esegui ricerca.

2. Seleziona Numero massimo di risultati da restituire. Le opzioni sono 1K, 10K, 100K, 1M e custom, che possono assumere valori compresi tra 1 e 1M. Il valore predefinito è 1M. In genere le query vengono eseguite più velocemente se scegli un insieme di risultati di dimensioni inferiori.

La ricerca restituisce troppi risultati

Se la ricerca è troppo ampia, Google SecOps mostra un messaggio di avviso che indica che non è possibile mostrare tutti i risultati di ricerca.

In questi casi, il sistema recupera solo i risultati più recenti, fino al limite di ricerca di 1 milione di eventi e 1000 avvisi. Tuttavia, potrebbero esserci molti altri eventi e avvisi corrispondenti che non vengono visualizzati.

Per assicurarti di ottenere tutti i risultati pertinenti, ti consigliamo di perfezionare la ricerca applicando filtri aggiuntivi. Restringere l'ambito di ricerca consente di ridurre il set di dati a dimensioni gestibili e di migliorare l'accuratezza. Ti consigliamo di modificare ed eseguire nuovamente la ricerca finché i risultati non rientrano nel limite di visualizzazione del sistema.

La pagina dei risultati di ricerca mostra i 10.000 risultati più recenti. Puoi filtrare e perfezionare i risultati di ricerca per visualizzare i risultati più vecchi, in alternativa alla modifica e al nuovo esecuzione della ricerca.

Cercare nei campi raggruppati

I campi raggruppati sono alias per gruppi di campi UDM correlati. Puoi utilizzarli per eseguire query su più campi UDM contemporaneamente senza digitare ciascun campo singolarmente.

L'esempio seguente mostra come inserire una query per trovare una corrispondenza con i campi UDM comuni che potrebbero contenere l'indirizzo IP specificato:

    ip = "1.2.3.4"

Puoi trovare una corrispondenza con un campo raggruppato utilizzando un'espressione regolare e l'operatore nocase. Sono supportati anche gli elenchi di riferimento. I campi raggruppati possono essere utilizzati anche in combinazione con i campi UDM standard, come mostrato nell'esempio seguente:

    ip = "5.6.7.8" AND metadata.event_type = "NETWORK_CONNECTION"

I campi raggruppati hanno una sezione separata in Aggregazioni.

Tipi di campi UDM raggruppati

Puoi eseguire ricerche in tutti i seguenti campi UDM raggruppati:

Trovare un campo UDM per la query di ricerca

Quando scrivi una query di ricerca, potresti non sapere quale campo UDM includere. La ricerca UDM consente di trovare rapidamente un nome di campo UDM contenente una stringa di testo nel nome o che memorizza un valore di stringa specifico. La funzione di ricerca UDM non è prevista per la ricerca di altri tipi di dati, ad esempio byte, booleani o numerici. Seleziona uno o più risultati restituiti da UDM Lookup come punto di partenza per una query di ricerca.

Per utilizzare la ricerca UDM:

1. Nella pagina Cerca, inserisci una stringa di testo nel campo Cerca campi UDM per valore e poi fai clic su Ricerca UDM.

2. Nella finestra di dialogo Ricerca UDM, seleziona una o più delle seguenti opzioni per specificare l'ambito dei dati da cercare:

   • Campi UDM: cerca il testo nei nomi dei campi UDM, ad esempio: network.dns.questions.name o principal.ip.
   • Valori: cerca il testo nei valori assegnati ai campi UDM; ad esempio: dns o google.com.

3. Inserisci o modifica la stringa nel campo di ricerca. Mentre digiti, i risultati di ricerca vengono visualizzati nella finestra di dialogo.

   I risultati sono leggermente diversi quando si esegue una ricerca in Campi UDM rispetto a Valori. Quando cerchi del testo in Valori, i risultati vengono visualizzati come segue:

   • Se la stringa viene trovata all'inizio o alla fine del valore, viene evidenziata nel risultato, insieme al nome del campo UDM e all'ora di importazione del log.
   • Se la stringa di testo viene trovata altrove nel valore, il risultato mostra il nome del campo UDM e il testo Possibile corrispondenza del valore.

   

   Figura 2. Cerca all'interno dei valori in Ricerca UDM.

   • Quando cerchi una stringa di testo nei nomi dei campi UDM, la ricerca UDM restituisce una corrispondenza esatta trovata in qualsiasi posizione del nome.

   

   Figura 3. Cerca all'interno dei campi UDM in Ricerca UDM.

4. Nell'elenco dei risultati, puoi eseguire le seguenti operazioni:

   • Fai clic sul nome di un campo UDM per visualizzarne una descrizione.

   • Seleziona uno o più risultati facendo clic sulla casella di controllo a sinistra di ciascun nome di campo UDM.

   • Fai clic sul pulsante Reimposta per deselezionare tutti i campi selezionati nell'elenco dei risultati.

5. Per aggiungere i risultati selezionati al campo Cerca, fai clic su Aggiungi alla ricerca.

   Puoi copiare il risultato selezionato utilizzando il pulsante Copia UDM, chiudere la finestra di dialogo Ricerca UDM e incollare la stringa della query di ricerca nel campo Cerca.

   Google SecOps converte il risultato selezionato in una stringa di query di ricerca come nome del campo UDM o una coppia nome-valore. Se aggiungi più risultati, ogni risultato viene aggiunto alla fine di una query esistente nel campo di ricerca utilizzando l'operatore OR.

   La stringa di query aggiunta è diversa a seconda del tipo di corrispondenza restituito dalla ricerca UDM.

   • Se il risultato corrisponde a una stringa di testo nel nome di un campo UDM, il nome completo del campo UDM viene aggiunto alla query. Di seguito è riportato un esempio:

   principal.artifact.network.dhcp.client_hostname

   • Se il risultato corrisponde a una stringa di testo all'inizio o alla fine di un valore, la coppia nome-valore contiene il nome del campo UDM e il valore completo nel risultato. Ecco alcuni esempi:

   metadata.log_type = "PCAP_DNS"

   network.dns.answers.name = "dns-A901F3j.hat.example.com"

   • Se il risultato include il testo Possibile corrispondenza del valore, la coppia nome-valore contiene il nome del campo UDM e un'espressione regolare contenente il termine di ricerca. Di seguito è riportato un esempio:

   principal.process.file.full_path = /google/ NOCASE

6. Modifica la query di ricerca in base al tuo caso d'uso. La stringa di query generata da UDM Lookup serve come punto di partenza per inserire una query di ricerca completa.

Riepilogo del comportamento di Ricerca UDM

Questa sezione fornisce ulteriori dettagli sulle funzionalità di ricerca UDM.

• Ricerca UDM cerca i dati importati dopo il 10 agosto 2023. I dati importati prima di questa data non vengono sottoposti a ricerca. Restituisce i risultati trovati nei campi UDM non arricchiti. Non restituisce corrispondenze ai campi arricchiti. Per informazioni sui campi arricchiti rispetto a quelli non arricchiti, vedi Visualizzare gli eventi in Event Viewer.
• Le ricerche che utilizzano la ricerca UDM non distinguono tra maiuscole e minuscole. Il termine hostname restituisce lo stesso risultato di HostName.
• I trattini (-) e gli underscore (_) in una stringa di testo della query vengono ignorati durante la ricerca in Valori. Le stringhe di testo dns-l e dnsl restituiscono entrambe il valore dns-l.

• Quando esegui una ricerca in Valori, la ricerca UDM non restituisce corrispondenze nei seguenti casi:

  Corrispondenze nei seguenti campi UDM:	metadata.product_log_id network.session_id security_result.rule_id network.parent_session_id
  Corrispondenze nei campi UDM con un percorso completo che termina con uno dei seguenti valori:	.pid Ad esempio target.process.pid. .asset_id Ad esempio principal.asset_id. .product_specific_process_id Ad esempio principal.process.product_specific_process_id. .resource.id Ad esempio principal.resource.id.

  • Quando cerchi Valori, la ricerca UDM mostra il messaggio Possibile corrispondenza del valore nel risultato quando viene trovata una corrispondenza nei seguenti casi:

  Corrispondenze nei seguenti campi UDM:	metadata.description security_result.description security_result.detection_fields.value security_result.summary network.http.user_agent
  Corrispondenze nei campi con un percorso completo che termina con uno dei seguenti valori:	.command_line Ad esempio principal.process.command_line. .file.full_path Ad esempio principal.process.file.full_path. .labels.value Ad esempio src.labels.value. .registry.registry_key Ad esempio principal.registry.registry_key. .url Ad esempio principal.url.
  Corrispondenze nei campi con un percorso completo che inizia con i seguenti valori:	additional.fields.value. Ad esempio additional.fields.value.null_value.

Visualizzare gli avvisi nella ricerca

Per visualizzare gli avvisi, fai clic sulla scheda Avvisi accanto alla scheda Eventi in alto a destra nella pagina Ricerca.

Come vengono visualizzati gli avvisi

Google SecOps valuta gli eventi restituiti nella ricerca in base agli eventi esistenti per gli avvisi nell'ambiente del cliente. Quando un evento della query di ricerca corrisponde a un evento presente in un avviso, viene visualizzato nella sequenza temporale dell'avviso e nella tabella degli avvisi risultante.

Definizione di eventi e avvisi

Un evento viene generato da un'origine log non elaborata importata in Google SecOps ed elaborata dalla procedura di importazione e normalizzazione di Google SecOps. È possibile generare più eventi da un singolo record di origine log non elaborato. Un evento rappresenta un insieme di punti dati pertinenti per la sicurezza generati dal log non elaborato.

Nella ricerca, un avviso è definito come un rilevamento di regole YARA-L con gli avvisi attivati. Per saperne di più, consulta la sezione Eseguire una regola sui dati in tempo reale.

Altre origini dati possono essere importate in Google SecOps come avvisi, ad esempio gli avvisi di Crowdstrike Falcon. Questi avvisi non vengono visualizzati nella ricerca, a meno che non vengano elaborati dal motore di rilevamento di Google SecOps come regola YARA-L.

Gli eventi associati a uno o più avvisi sono contrassegnati da un chip di avviso nella Sequenza temporale degli eventi. Se sono associati più avvisi alla sequenza temporale, il chip mostra il numero di avvisi associati.

La cronologia mostra i 1000 avvisi più recenti recuperati dai risultati di ricerca. Quando viene raggiunto il limite di 1000, non vengono recuperati altri avvisi. Per assicurarti di visualizzare tutti i risultati pertinenti alla tua ricerca, perfezionala con i filtri.

Come indagare su un avviso

Per scoprire come utilizzare il Grafico di avviso e i Dettagli avviso per esaminare un avviso, segui i passaggi descritti in Esaminare un avviso.

Utilizzare gli elenchi di riferimento nelle ricerche

La procedura per applicare gli elenchi di riferimento nelle Regole può essere utilizzata anche nella ricerca. In una singola query di ricerca è possibile includere fino a sette elenchi. Sono supportati tutti i tipi di elenchi di riferimento (stringa, espressione regolare, CIDR).

Puoi creare elenchi di qualsiasi variabile da monitorare. Ad esempio, potresti creare un elenco di indirizzi IP sospetti:

// Field value exists in reference list
principal.ip IN %suspicious_ips

Puoi utilizzare più elenchi utilizzando AND o OR:

// multiple lists can be used with AND or OR
principal.ip IN %suspicious_ips AND
principal.hostname IN %suspicious_hostnames

Perfezionare i risultati di ricerca

Puoi utilizzare l'interfaccia utente di ricerca per filtrare e perfezionare i risultati come alternativa alla modifica e al nuovo esecuzione della ricerca.

Grafico delle tempistiche

Il grafico delle sequenze temporali fornisce una rappresentazione grafica del numero di eventi e avvisi che si verificano ogni giorno e che vengono visualizzati dalla ricerca corrente. Gli eventi e gli avvisi vengono visualizzati nello stesso grafico della cronologia, disponibile sia nella scheda Eventi sia nella scheda Avvisi.

La larghezza di ogni barra dipende dall'intervallo di tempo cercato. Ad esempio, ogni barra rappresenta 10 minuti quando la ricerca copre 24 ore di dati. Questo grafico viene aggiornato dinamicamente man mano che modifichi la ricerca esistente.

Modifica dell'intervallo di tempo

Puoi modificare l'intervallo di tempo del grafico spostando i controlli del cursore bianco verso sinistra e verso destra per regolare l'intervallo di tempo e concentrarti sul periodo di interesse. Quando modifichi l'intervallo di tempo, le tabelle Eventi, Valori e Campi UDM vengono aggiornate in base alla selezione corrente. Puoi anche fare clic su una singola barra del grafico per elencare solo gli eventi relativi a quel periodo di tempo.

Dopo aver modificato l'intervallo di tempo, vengono visualizzate le caselle di controllo Eventi filtrati e Eventi di query, che ti consentono di limitare ulteriormente i tipi di eventi visualizzati.

Figura 4. Grafico delle cronologie degli eventi con controlli dell'intervallo di tempo

Modificare la ricerca UDM con le aggregazioni

Utilizzando le aggregazioni, puoi restringere ulteriormente la ricerca UDM. Puoi scorrere l'elenco dei campi UDM o cercare campi o valori UDM specifici utilizzando il campo di ricerca. I campi UDM elencati qui sono associati agli elenchi esistenti di eventi generati dalla ricerca UDM. Ogni campo UDM include il numero di eventi nella ricerca UDM corrente che includono anche questo dato. L'elenco dei campi UDM mostra il numero totale di valori univoci all'interno di un campo. Questa funzionalità ti consente di cercare tipi specifici di dati dei log che potrebbero essere di ulteriore interesse.

I campi UDM sono elencati nel seguente ordine:

1. I campi con il numero più alto di eventi a quello più basso.
2. I campi con un solo valore sono sempre gli ultimi.
3. I campi con lo stesso totale esatto del conteggio degli eventi sono ordinati in ordine alfabetico dalla A alla Z.

Figura 5. Aggregazioni.

Modificare le aggregazioni

Se selezioni un valore di campo UDM nell'elenco Aggregazioni e fai clic sull'icona del menu, hai la possibilità di mostrare solo gli eventi che includono anche quel valore di campo UDM o di filtrare quel valore di campo UDM. Se il campo UDM immagazzina valori interi (ad es. target.port), vedrai anche le opzioni per filtrare in base a <,>,<=,>=. Le opzioni di filtro accorciano l'elenco degli eventi visualizzati.

Puoi anche bloccare i campi (utilizzando l'icona a forma di chiodino) in Aggregazioni per salvarli come preferiti. Vengono visualizzati nella parte superiore dell'elenco Aggregazioni.

Figura 6. Esempio: seleziona Solo visualizzazione.

Questi filtri UDM aggiuntivi vengono aggiunti anche al campo Eventi filtro. Il campo filtrare eventi ti consente di tenere traccia dei campi UDM aggiuntivi aggiunti alla ricerca e di rimuoverli in base alle esigenze.

Quando fai clic su Applica alla ricerca ed esegui, gli eventi visualizzati vengono filtrati in base a questi filtri aggiuntivi e il campo di ricerca principale nella parte superiore della pagina viene aggiornato. La ricerca viene eseguita di nuovo automaticamente utilizzando gli stessi parametri di data e ora.

Figura 7. Filtra gli eventi.

Se fai clic su Aggiungi filtro, si apre una finestra che ti consente di selezionare altri campi UDM.

Figura 8. Finestra Filtra eventi.

Visualizzare gli eventi nella tabella Eventi

Tutti questi filtri e controlli aggiorneranno l'elenco di eventi visualizzato nella tabella Eventi. Fai clic su uno degli eventi elencati per aprire il visualizzatore log, dove puoi esaminare il log non elaborato e il record UDM per l'evento. Se fai clic sul timestamp di un evento, puoi anche passare alla visualizzazione associata di risorsa, indirizzo IP, dominio, hash o utente. Puoi anche utilizzare il campo di ricerca nella parte superiore della tabella per trovare un evento specifico.

Visualizzare gli avvisi nella tabella Avvisi

Puoi visualizzare gli avvisi facendo clic sulla scheda Avvisi sul lato destro della scheda Eventi. Puoi utilizzare le aggregazioni per ordinare gli avvisi in base a:

• Richiesta
• Nome
• Priorità
• Gravità
• Stato
• Verdetto

In questo modo puoi concentrarti sugli avvisi più importanti per te.

Gli avvisi vengono visualizzati nello stesso periodo di tempo degli eventi nella scheda Eventi. In questo modo puoi vedere la connessione tra eventi e avvisi.

Se vuoi saperne di più su un avviso specifico, fai clic sull'avviso e si aprirà la pagina dei dettagli del singolo avviso, contenente informazioni più approfondite sull'avviso in questione.

Visualizzare gli eventi nel Visualizzatore eventi

Se sostieni il cursore su un evento nella tabella Eventi, l'icona del visualizzatore eventi aperto viene visualizzata sul lato destro dell'evento evidenziato. Fai clic per aprire il visualizzatore eventi.

La finestra Log non elaborato mostra il segnale non elaborato originale in uno dei seguenti formati:

• Dati
• JSON
• XML
• CSV
• Esadecimale/ASCII

La finestra UDM mostra il record UDM strutturato. Puoi tenere premuto il cursore sopra uno dei campi UDM per visualizzarne la definizione. Se selezioni la casella di controllo per i campi UDM, vengono visualizzate opzioni aggiuntive:

• Copia il record UDM. Seleziona uno o più campi UDM e poi l'opzione Copia UDM dall'elenco Azioni visualizzazione. I campi UDM e i valori UDM vengono copiati negli appunti di sistema.

• Aggiungi i campi UDM come colonne: seleziona l'opzione Aggiungi colonne dall'elenco Azioni visualizzazione.

Ogni campo UDM è etichettato con un'icona che indica se il campo contiene dati arricchiti o non arricchiti. Le etichette delle icone sono le seguenti:

• U: i campi non arricchiti contengono valori inseriti durante il processo di normalizzazione utilizzando i dati del log non elaborato originale.

• E: i campi arricchiti contengono valori che Google SecOps compila per fornire un contesto aggiuntivo sugli elementi in un ambiente del cliente. Per saperne di più, consulta In che modo Google SecOps arricchisce i dati su eventi ed entità.

  

Figura 9. Campi UDM in Visualizzatore eventi.

Utilizzare l'opzione Colonne per la ricerca

Utilizza l'opzione Colonne per personalizzare le colonne visualizzate nella tabella Eventi. Viene visualizzato il menu Colonne, che offre diverse opzioni in base ai tipi di eventi restituiti dalla ricerca.

Salva il set di colonne

Se vuoi, puoi salvare il set di colonne selezionato qui facendo clic su Salva. Assegna un nome all'insieme di colonne selezionate e fai di nuovo clic su Salva. Puoi caricare un insieme di colonne salvate facendo clic su Carica e selezionando l'insieme di colonne salvate dall'elenco.

Per scaricare gli eventi visualizzati, fai clic su more_vertAltro e seleziona Scarica in formato CSV. Verranno scaricati tutti i risultati di ricerca fino a un milione di eventi. L'interfaccia dell'utente indicherà il numero di eventi che verranno scaricati.

Figura 10. Cerca nelle colonne.

Utilizzare la tabella pivot per analizzare gli eventi

La tabella pivot ti consente di analizzare gli eventi utilizzando espressioni e funzioni rispetto ai risultati della ricerca.

Per aprire e configurare la tabella pivot:

1. Esegui una ricerca.

2. Fai clic sulla scheda Pivot per aprire la tabella pivot.

3. Specifica un valore Raggruppa per per raggruppare gli eventi in base a un campo UDM specifico. Puoi visualizzare i risultati utilizzando le lettere maiuscole predefinite o solo quelle minuscole selezionando minuscole dal menu. Questa opzione è disponibile solo per i campi di stringa. Puoi specificare fino a cinque valori Raggruppa per facendo clic su Aggiungi campo.

   Se il valore Raggruppa per è uno dei campi del nome host, avrai altre opzioni di trasformazione:

   • Dominio di livello N principale: scegli il livello del dominio da visualizzare. Ad esempio, se utilizzi un valore pari a 1, viene visualizzato solo il dominio di primo livello (ad esempio com, gov o edu). Se utilizzi un valore pari a 3, vengono visualizzati i due livelli successivi dei nomi di dominio (ad esempio google.co.uk).
   • Ottieni dominio registrato: mostra solo il nome di dominio registrato (ad esempio google.com, nytimes.com e youtube.com).

   Se il valore Raggruppa per è uno dei campi IP, hai a disposizione opzioni di trasformazione aggiuntive:

   • (IP) Lunghezza del prefisso CIDR in bit: puoi specificare da 1 a 32 per gli indirizzi IPv4. Per gli indirizzi IPv6, puoi specificare valori fino a 128.

   Se il valore Raggruppa per include un timestamp, sono disponibili opzioni di trasformazione aggiuntive:

   • (Tempo) Risoluzione in millisecondi
   • (Tempo) Risoluzione in secondi
   • (Tempo) Risoluzione in minuti
   • (Tempo) Risoluzione in ore
   • (Tempo) Risoluzione in giorni

4. Specifica un valore per il pivot dall'elenco dei campi nei risultati. Puoi specificare fino a 5 valori. Dopo aver specificato un campo, devi selezionare un'opzione di Riepilogo. Puoi riepilogare i dati in base alle seguenti opzioni:

   • sum
   • count
   • count distinct
   • media
   • dev.st
   • min
   • max

5. Specifica un valore Conteggio eventi per restituire il numero di eventi identificati per questa ricerca e tabella pivot specifica.

   Le opzioni Riassumi non sono universalmente compatibili con i campi Raggruppa per. Ad esempio, le opzioni sum, average, stddev, min e max possono essere applicate solo ai campi numerici. Se provi ad associare un'opzione Riassumi incompatibile a un campo Raggruppa per, riceverai un messaggio di errore.

6. Specifica uno o più campi UDM e seleziona una o più ordinamenti utilizzando l'opzione Ordina per.

7. Al termine, fai clic su Applica. I risultati vengono visualizzati nella tabella pivot.

8. (Facoltativo) Per scaricare la tabella pivot, fai clic su more_vertAltro e seleziona Scarica in formato CSV. Se non hai selezionato un pivot, questa opzione è disattivata.

Panoramica delle ricerche salvate e della cronologia delle ricerche

Se fai clic su Gestore ricerche, puoi recuperare le ricerche salvate e visualizzare la cronologia delle ricerche. Seleziona una ricerca salvata per visualizzare ulteriori informazioni, tra cui il titolo e la descrizione.

Le ricerche salvate e la cronologia delle ricerche sono:

• Memorizzati nel tuo account Google SecOps.

• Visualizzabili e accessibili solo dal singolo utente, a meno che non utilizzi la funzionalità Condividi una ricerca per condividere la ricerca con la tua organizzazione.

Salvare una ricerca

Per salvare una ricerca:

1. Nella pagina Ricerca, fai clic su more_horizAltro accanto a Esegui ricerca e poi su Salva ricerca per utilizzarla in un secondo momento. Si aprirà la finestra di dialogo Gestore ricerca. Ti consigliamo di assegnare alla ricerca salvata un nome significativo e una descrizione in testo normale di ciò che stai cercando. Puoi anche creare una nuova ricerca dalla finestra di dialogo Gestione ricerca facendo clic su addAggiungi. Qui sono disponibili anche gli strumenti di modifica e completamento UDM standard.

2. (Facoltativo) Specifica le variabili segnaposto nel formato ${<variable name>} utilizzando lo stesso formato utilizzato per le variabili in YARA-L. Se aggiungi una variabile a una ricerca, devi includere anche un prompt per aiutare l'utente a comprendere le informazioni richieste da inserire prima di eseguire la ricerca. Tutte le variabili devono essere compilate con i valori prima di eseguire una ricerca.

   Ad esempio, potresti aggiungere metadata.vendor_name = ${vendor_name} alla sua ricerca. Per ${vendor_name}, devi aggiungere un prompt per gli utenti futuri, come Enter the name of the vendor for your search. Ogni volta che un utente carica questa ricerca in futuro, gli viene chiesto di inserire il nome del fornitore prima di eseguirla.

3. Al termine, fai clic su Salva modifiche.

4. Per visualizzare le ricerche salvate, fai clic su Gestore ricerche e poi sulla scheda Salvate.

Recuperare una ricerca salvata

Per recuperare ed eseguire una ricerca salvata:

1. Nella finestra di dialogo Gestore ricerche, seleziona una ricerca salvata dall'elenco a sinistra. Queste ricerche salvate vengono salvate nel tuo account Google SecOps.

2. (Facoltativo) Elimina una ricerca facendo clic su more_horizAltro e selezionando Elimina ricerca. Puoi eliminare solo le ricerche che hai creato.

3. Puoi modificare il nome della ricerca e la descrizione. Al termine, fai clic su Salva modifiche.

4. Fai clic su Carica ricerca. La ricerca viene caricata nel campo di ricerca principale.

5. Fai clic su Esegui ricerca per visualizzare gli eventi associati a questa ricerca.

Recuperare una ricerca dalla cronologia delle ricerche

Per recuperare ed eseguire una ricerca dalla cronologia delle ricerche:

1. In Search Manager, fai clic su Cronologia.

2. Seleziona una ricerca dalla cronologia delle ricerche. La cronologia delle ricerche viene salvata nel tuo account Google SecOps. Puoi eliminare una ricerca facendo clic su deleteElimina.

3. Fai clic su Carica ricerca. La ricerca viene caricata nel campo di ricerca principale.

4. Fai clic su Esegui ricerca per visualizzare gli eventi associati a questa ricerca.

Cancellare, disattivare o attivare la cronologia delle ricerche

Per cancellare, disattivare o attivare la cronologia delle ricerche:

1. In Gestore ricerche, fai clic sulla scheda Cronologia.

2. Fai clic su more_vertAltro.

3. Seleziona Cancella cronologia per cancellare la cronologia delle ricerche.

4. Fai clic su Disattiva cronologia per disattivare la cronologia delle ricerche. Puoi scegliere di:

   • Solo disattivazione: disattiva la cronologia delle ricerche.

   • Disattiva e cancella: disattiva la cronologia delle ricerche ed elimina quella salvata.

5. Se in precedenza hai disattivato la cronologia delle ricerche, puoi riattivarla facendo clic su Attiva cronologia delle ricerche.

6. Fai clic su Chiudi per uscire da Search Manager.

Condividere una ricerca

Le ricerche condivise ti consentono di condividere le ricerche con il tuo team. Nella scheda Salvate, puoi condividere o eliminare le ricerche. Puoi anche filtrare le ricerche facendo clic su filter_altFiltra accanto alla barra di ricerca e ordinarle in base a Mostra tutto, Definito da Google SecOps, Autore: io o Condivisi.

Non puoi modificare una ricerca condivisa che non è tua.

1. Fai clic su Salvati.
2. Fai clic sulla ricerca che vuoi condividere.
3. Fai clic su more_horizAltro sul lato destro della ricerca. Viene visualizzata una finestra di dialogo con l'opzione per condividere la ricerca.
4. Fai clic su Condividi con la tua organizzazione.
5. Viene visualizzata una finestra di dialogo che indica che la condivisione della ricerca sarà visibile agli utenti della tua organizzazione. Vuoi condividere? Fai clic su Condividi.

Se vuoi che la ricerca sia visibile solo a te, fai clic su more_horizAltro e poi su Interrompi condivisione. Se interrompi la condivisione, solo tu potrai utilizzare questa ricerca.

Campi UDM che possono o non possono essere scaricati in formato CSV dalla piattaforma

I campi UDM supportati e non supportati per il download sono riportati nelle seguenti sezioni.

Campi supportati

Dalla piattaforma puoi scaricare i seguenti campi in un file CSV:

• utente

• nome host

• nome del processo

• tipo di evento

• timestamp

• log non elaborato (valido solo se i log non elaborati sono abilitati per il cliente)

• Tutti i campi che iniziano con "udm.additional"

Tipi di campi validi

Puoi scaricare i seguenti tipi di campi in un file CSV:

• double

• float

• int32

• uint32

• int64

• uint64

• bool

• string

• enum

• byte

• google.protobuf.Timestamp

• google.protobuf.Duration

Campi non supportati

I campi che iniziano con "udm" (non udm.additional) e soddisfano una delle seguenti condizioni non possono essere scaricati in formato CSV:

• Il nidificazione del campo è più profonda di 10 in udm proto.

• Il tipo di dati è Messaggio o Gruppo.

Passaggi successivi

Per informazioni su come utilizzare i dati arricchiti dal contesto nella Ricerca, consulta Utilizzare i dati arricchiti dal contesto nella Ricerca.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.