Ricerca UDM

Supportato in:

La funzione di ricerca UDM consente di trovare eventi e avvisi Unified Data Model (UDM) all'interno dell'istanza di Google Security Operations. La ricerca UDM include che ti aiutano a spostarti tra i dati UDM. Puoi cercare singoli eventi UDM e gruppi di eventi UDM associati a termini di ricerca condivisi.

Sui sistemi che utilizzano RBAC dei dati, puoi vedere solo i dati che corrispondono ambiti. Per ulteriori informazioni, consulta l'impatto del RBAC dei dati sulla Ricerca.

Per i clienti di Google Security Operations, gli avvisi possono essere importati anche connettori e webhook. Puoi utilizzare la ricerca UDM anche per trovare questi avvisi.

Per ulteriori informazioni sull'UDM, consulta Formattare i dati di log come UDM ed Elenco dei campi Unified Data Model.

Per accedere alla ricerca UDM di Google Security Operations, fai clic su Cerca nella barra di navigazione. Puoi anche accedere alla ricerca UDM inserendo un campo UDM valido da qualsiasi campo di ricerca in Google Security Operations e premendo CTRL+Invio.

Per un elenco di tutti i campi UDM validi, consulta Elenco dei campi del modello di dati unificato.

Ricerca UDM

Figura 1. Ricerca UDM

Ricerca UDM vuota

Figura 2. Finestra di ricerca UDM che si apre con CTRL+Invio

Completa i seguenti passaggi per inserire una ricerca UDM nel campo Ricerca UDM. Quando hai finito di inserire una ricerca UDM, fai clic su Esegui ricerca. Google Security Operations consente di inserire solo un'espressione di ricerca UDM valida. Puoi anche regolare l'intervallo di dati da cercare aprendo la finestra dell'intervallo di date.

Se la ricerca è troppo generica, Google Security Operations restituisce un messaggio di avviso che indica che non è possibile visualizzare tutti i risultati di ricerca. Riduci l'ambito della ricerca ed eseguila di nuovo. Se una ricerca è troppo generica, Google Security Operations restituisce i risultati più recenti fino al limite di ricerca (un milione di eventi e mille avvisi). Potrebbero esserci molti più eventi e avvisi corrispondenti, ma non sono visualizzati al momento. Tieni presente questo aspetto quando analizzi i risultati. Google consiglia di applicare filtri aggiuntivi ed eseguire la ricerca originale fino al giorno sei al di sotto del limite.

La pagina dei risultati di ricerca UDM mostra i diecimila risultati più recenti. Puoi filtrare e perfezionare i risultati di ricerca per visualizzare i risultati precedenti, invece di modificare la ricerca UDM e ripetere la ricerca.

Data ed esegui ricerca

Figura 3. Esegui ricerca

Le query UDM si basano sui campi UDM, che sono tutti elencati nella Elenco dei campi del modello dei dati unificato. Puoi anche visualizzare i campi UDM nel contesto delle ricerche utilizzando i filtri o la ricerca di log non elaborati.

  1. Per cercare eventi, inserisci un nome di campo UDM nel campo di ricerca. L'interfaccia dell'utente include il completamento automatico e mostra i campi UDM validi in base a quanto inserito.

  2. Dopo aver inserito un campo UDM valido, seleziona un operatore valido. L'interfaccia dell'utente mostra gli operatori validi disponibili in base al campo UDM inserito. Sono supportati i seguenti operatori:

    • <, >
    • <=, >=
    • =, !=
    • nocase: supportato per le stringhe
  3. Dopo aver inserito un campo e un operatore UDM validi, inserisci i dati di log corrispondenti che stai cercando. Sono supportati i seguenti tipi di dati:

    • Valori enumerati: l'interfaccia utente mostra un elenco di valori enumerati validi per un determinato campo UDM.

      Ad esempio (utilizza le virgolette doppie e tutte in maiuscolo): metadata.event_type = "NETWORK_CONNECTION"

    • Valori aggiuntivi:puoi utilizzare "field[key] = value" per cercare eventi aggiuntivi ed etichette.

      Ad esempio: additional.fields["key"]="value"

    • Bool: puoi utilizzare true o false (tutti i caratteri non sono sensibili alle maiuscole e la parola chiave non è racchiusa tra virgolette).

      Ad esempio: network.dns.response = true

    • Numeri interi

      Ad esempio: target.port = 443

    • Numeri in virgola mobile: per i campi UDM di tipo float, inserisci un valore a virgola mobile, ad esempio 3.1. Puoi anche inserire un numero intero, ad esempio 3, che equivale a inserire 3.0.

      Ad esempio: security_result.about.asset.vulnerabilities.cvss_base_score = 3.1 o security_result.about.asset.vulnerabilities.cvss_base_score = 3

    • Espressioni regolari: (l'espressione regolare deve essere racchiusa tra i caratteri barra (/))

      Ad esempio: principal.ip = /10.*/

      Per ulteriori informazioni sulle espressioni regolari, consulta la pagina delle espressioni regolari.

    • Strings

      Ad esempio (devi utilizzare virgolette doppie): metadata.product_name = "Google Cloud VPC Flow Logs"

  4. Puoi utilizzare l'operatore nocase per cercare qualsiasi combinazione di versioni con lettere maiuscole e minuscole di una determinata stringa:

    • principal.hostname != "http-server" nocase
    • principal.hostname = "JDoe" nocase
    • principal.hostname = /dns-server-[0-9]+/ nocase
  5. Le barre rovesciate e le virgolette doppie nelle stringhe devono essere interpretate letteralmente inserendo una barra rovesciata. Ad esempio:

    • principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
    • target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""
  6. Puoi utilizzare le espressioni booleane per restringere ulteriormente l'intervallo di dati visualizzati. I seguenti esempi illustrano alcuni tipi di espressioni booleane supportate (è possibile utilizzare gli operatori booleani AND, OR e NOT):

    • A AND B
    • A OR B
    • (A OR B) AND (B OR C) AND (C OR NOT D)

    I seguenti esempi illustrano come potrebbe essere la sintassi effettiva:

    Eventi di accesso al server finanziario:

    metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"

    Esempio di utilizzo di un'espressione regolare per cercare l'esecuzione dello strumento psexec.exe in Windows.

    target.process.command_line = /\bpsexec(.exe)?\b/ nocase

    Esempio di utilizzo dell'operatore more di (>) per cercare connessioni in cui sono stati inviati più di 10 MB di dati.

    metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000

    Esempio di utilizzo di più condizioni per la ricerca di Winword che avvia cmd.exe o powershell.exe.

        metadata.event_type = "PROCESS_LAUNCH" and
        principal.process.file.full_path = /winword/ and
        (target.process.file.full_path = /cmd.exe/ or
        target.process.file.full_path = /powershell.exe/)

  7. Puoi anche utilizzare la ricerca UDM per cercare coppie chiave-valore specifiche nei campi aggiuntivi ed Etichetta.

    I campi aggiuntivi ed Etichetta vengono utilizzati come "catch all" personalizzabile per i dati sugli eventi che non rientrano in un campo UDM standard. I campi aggiuntivi possono contenere più coppie chiave/valore. I campi delle etichette possono contenere una sola coppia chiave-valore. Tuttavia, ogni istanza del campo contiene solo una chiave e un singolo valore singoli. La chiave deve essere inserita tra parentesi e il valore deve trovarsi sul lato destro.

    I seguenti esempi mostrano come cercare eventi contenenti coppie chiave-valore specifiche:

        additional.fields["pod_name"] = "kube-scheduler"
        metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"
    L'esempio seguente mostra come utilizzare l'operatore AND nelle ricerche di coppie chiave-valore:
        additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"

    Puoi utilizzare la seguente sintassi per cercare tutti gli eventi che contengono la chiave specificata (indipendentemente dal valore).

        additional.fields["pod_name"] != ""
    Puoi anche utilizzare le espressioni regolari e l'operatore nocase:
        additional.fields["pod_name"] = /br/
        additional.fields["pod_name"] = bar nocase

  8. Puoi anche usare i commenti bloccati e quelli di una sola riga.

    L'esempio seguente mostra come utilizzare un commento blocco:

        additional.fields["pod_name"] = "kube-scheduler"
        /*
        Block comments can span
        multiple lines.
        */
        AND additional.fields["pod_name1"] = "kube-scheduler1"

    L'esempio seguente mostra come utilizzare un commento di una sola riga:

        additional.fields["pod_name"] != "" // my single-line comment

  9. Fai clic su Esegui ricerca per eseguire la ricerca UDM e visualizzare i risultati.

  10. Gli eventi vengono visualizzati nella pagina Ricerca UDM della tabella della sequenza temporale degli eventi. Puoi restringere ulteriormente i risultati aggiungendo altri campi UDM manualmente o utilizzando l'interfaccia.

Cerca campi raggruppati

I campi raggruppati sono alias per gruppi di campi UDM correlati. Puoi utilizzarle per eseguire query su più campi UDM contemporaneamente senza digitare ogni campo singolarmente.

L'esempio seguente mostra come inserire una query in modo che corrisponda ai campi UDM comuni che potrebbero contenere l'indirizzo IP specificato:

    ip = "1.2.3.4"

Puoi trovare una corrispondenza con un campo raggruppato utilizzando un'espressione regolare e l'operatore nocase. Sono supportati anche gli elenchi di riferimento. I campi raggruppati possono essere utilizzati anche in combinazione con i campi UDM regolari, come mostrato nell'esempio seguente:

    ip = "5.6.7.8" AND metadata.event_type = "NETWORK_CONNECTION"

I campi raggruppati hanno una sezione separata in Filtri rapidi.

Tipi di campi UDM raggruppati

Puoi cercare in tutti i seguenti campi UDM raggruppati:

Nome del campo raggruppato Campi UDM associati
dominio about.administrative_domain
about.asset.network_domain
network.dns.questions.name
network.dns_domain
principal.administrative_domain
principal.asset.network_domain
target.administrative_domain
target.asset.hostname
target.asset.network_domain
target.hostname
email intermediary.user.email_addresses
network.email.from
network.email.to
principal.user.email_addresses
security_result.about.user.email_addresses
target.user.email_addresses
file_path principal.file.full_path
principal.process.file.full_path
principal.process.parent_process.file.full_path
target.file.full_path
target.process.file.full_path
target.process.parent_process.file.full_path
hash about.file.md5
about.file.sha1
about.file.sha256
principal.process.file.md5
principal.process.file.sha1
principal.process.file.sha256
security_result.about.file.sha256
target.file.md5
target.file.sha1
target.file.sha256
target.process.file.md5
target.process.file.sha1
target.process.file.sha256
nome host intermediary.hostname
observer.hostname
principal.asset.hostname
principal.hostname
src.asset.hostname
src.hostname
target.asset.hostname
target.hostname
IP intermediary.ip
observer.ip
principal.artifact.ip
principal.asset.ip
principal.ip
src.artifact.ip
src.asset.ip
src.ip
target.artifact.ip
target.asset.ip
target.ip
spazio dei nomi principal.namespace
src.namespace
target.namespace
process_id principal.process.parent_process.pid
principal.process.parent_process.product_specific_process_id
principal.process.pid
principal.process.product_specific_process_id
target.process.parent_process.pid
target.process.parent_process.product_specific_process_id
target.process.pid
target.process.product_specific_process_id
utente about.user.userid
observer.user.userid
principal.user.user_display_name
principal.user.userid
principal.user.windows_sid
src.user.userid
target.user.user_display_name
target.user.userid
target.user.windows_sid

Trovare un campo UDM per la query di ricerca

Quando scrivi una query di ricerca UDM, potresti non sapere quale campo UDM includere. La ricerca UDM consente di trovare rapidamente un nome di campo UDM che contiene una stringa di testo nel nome o che memorizza un valore di stringa specifico. Non è destinato a essere utilizzato per cercare altri tipi di dati, ad esempio byte, booleani o numerici. Seleziona uno o più risultati restituiti dalla ricerca UDM come punto di partenza per una query di ricerca UDM.

Per utilizzare la ricerca UDM, procedi nel seguente modo:

  1. Nella pagina Ricerca UDM, inserisci una stringa di testo nel campo Cerca campi UDM per valore, poi fai clic su Ricerca UDM.

  2. Nella finestra di dialogo Ricerca UDM, seleziona una o più delle seguenti opzioni. opzioni per specificare l'ambito dei dati da cercare:

    • Campi UDM: cerca il testo nei nomi dei campi UDM, ad esempio network.dns.questions.name o principal.ip.
    • Valori: cerca testo nei valori assegnati ai campi UDM, ad esempio dns o google.com.
  3. Inserisci o modifica la stringa nel campo di ricerca. Durante la digitazione, i risultati di ricerca vengono visualizzate nella finestra di dialogo.

    I risultati sono leggermente diversi se esegui la ricerca in Campi UDM rispetto a Valori. Quando cerchi testo in Valori, i risultati vengono mostrati come segue:

    • Se la stringa si trova all'inizio o alla fine del valore, viene evidenziato nel risultato, insieme al nome del campo UDM e all'orario del log è stato importato.
    • Se la stringa di testo viene trovata in un altro punto del valore, il risultato viene visualizzato il nome del campo UDM e il testo Possibile corrispondenza valore.

    Cerca all&#39;interno dei valori

    Cercare all'interno dei valori in Ricerca UDM

    • Quando cerchi una stringa di testo nei nomi dei campi UDM, la ricerca UDM restituisce un esatta individuata in qualsiasi posizione nel nome.

    Cercare all&#39;interno dei campi UDM

    Eseguire ricerche all'interno dei campi UDM in Ricerca UDM

  4. Nell'elenco dei risultati puoi eseguire queste operazioni:

    • Fai clic sul nome di un campo UDM per visualizzare una descrizione.

    • Seleziona uno o più risultati facendo clic sulla casella di controllo a sinistra di ciascun nome di campo UDM.

    • Fai clic sul pulsante Reimposta per deselezionare tutti i campi selezionati nell'elenco dei risultati.

  5. Per accodare i risultati selezionati al campo Ricerca UDM, fai clic sul pulsante Aggiungi alla ricerca.

    Puoi anche copiare il risultato selezionato utilizzando il pulsante Copia UDM. quindi chiudi la finestra di dialogo Ricerca UDM e incolla la stringa della query di ricerca nel campo Ricerca UDM.

    Google Security Operations converte il risultato selezionato in una stringa di query di ricerca UDM come nome del campo UDM o coppia nome-valore. Se aggiungi più risultati, ognuno di essi viene aggiunto alla fine di una query esistente nel campo di ricerca UDM utilizzando l'operatore OR.

    La stringa di query aggiunta è diversa a seconda del tipo di corrispondenza restituita dalla ricerca UDM.

    • Se il risultato corrisponde a una stringa di testo nel nome di un campo UDM, il nome completo del campo UDM viene aggiunto alla query. Di seguito è riportato un esempio:

      principal.artifact.network.dhcp.client_hostname

    • Se il risultato corrisponde a una stringa di testo all'inizio o alla fine di un valore, la coppia nome-valore contiene il nome del campo UDM e valore completo nel risultato. Ecco alcuni esempi:

      metadata.log_type = "PCAP_DNS"

      network.dns.answers.name = "dns-A901F3j.hat.example.com"

    • Se il risultato include il testo Possibile corrispondenza valore, la coppia nome-valore contiene il nome del campo UDM e un'espressione regolare contenente il termine di ricerca. Di seguito è riportato un esempio:

      principal.process.file.full_path = /google/ NOCASE

  6. Modifica la query di ricerca UDM in base al tuo caso d'uso. La stringa di query generata da UDM Lookup è un punto di partenza per scrivere una query di ricerca UDM completa.

Riepilogo del comportamento della ricerca UDM

Questa sezione fornisce ulteriori dettagli sulle funzionalità di ricerca UDM.

  • La ricerca UDM cerca i dati importati dopo il 10 agosto 2023. Dati importati prima che non venga eseguita la ricerca. Restituisce i risultati trovati in campi UDM non arricchiti. Non restituisce corrispondenze nei campi estesi. Per informazioni sui campi arricchiti e non ampliati, consulta Visualizzare gli eventi nel visualizzatore eventi.
  • Le ricerche che utilizzano la ricerca UDM non distinguono tra maiuscole e minuscole. Il termine hostname restituisce lo stesso risultato di HostName.
  • I trattini (-) e i trattini bassi (_) in una stringa di testo di query vengono ignorati quando cercando Valori. Le stringhe di testo dns-l e dnsl restituiscono entrambe il valore dns-l.
  • Durante la ricerca di Valori, la ricerca UDM non restituisce corrispondenze nei seguenti casi:

    Corrispondenze nei seguenti campi UDM:
    • metadata.product_log_id
    • network.session_id
    • security_result.rule_id
    • network.parent_session_id
    Corrispondenze nei campi UDM con un percorso completo che termina con uno dei seguenti valori:
    • .pid
      Ad esempio target.process.pid.
    • .asset_id
      Ad esempio principal.asset_id.
    • .product_specific_process_id
      Ad esempio principal.process.product_specific_process_id.
    • .resource.id
      Ad esempio principal.resource.id.

  • Quando cerchi Valori, la ricerca UDM mostra il messaggio Possibile corrispondenza del valore nel risultato quando viene trovata una corrispondenza nei seguenti casi:

    Corrisponde ai seguenti campi UDM:
    • metadata.description
    • security_result.description
    • security_result.detection_fields.value
    • security_result.summary
    • network.http.user_agent
    Trova corrispondenze nei campi con un percorso completo che termina con uno dei seguenti valori:
    • .command_line
      Ad esempio principal.process.command_line.
    • .file.full_path
      Ad esempio principal.process.file.full_path.
    • .labels.value
      Ad esempio src.labels.value.
    • .registry.registry_key
      Ad esempio principal.registry.registry_key.
    • .url
      Ad esempio principal.url.
    Trova corrispondenze nei campi con un percorso completo che inizia con i seguenti valori: additional.fields.value.
    Ad esempio additional.fields.value.null_value.

Per visualizzare gli avvisi, fai clic sulla scheda Avvisi a destra della scheda Eventi nell'angolo in alto a destra della pagina Ricerca UDM.

Come vengono visualizzati gli avvisi

Google Security Operations valuta gli eventi restituiti nella ricerca UDM rispetto agli eventi esistenti per gli avvisi nell'ambiente del cliente. Quando un evento di query di ricerca corrisponde a un evento presente in un avviso, viene visualizzato nella sequenza temporale dell'avviso e nella tabella dell'avviso risultante.

Definizione di eventi e avvisi

Un evento viene generato da una sorgente di log non elaborata che viene importata in Google Security Operations ed elaborato dal processo di importazione e normalizzazione di Google Security Operations. È possibile generare più eventi da un singolo record sorgente di log non elaborato. Un evento rappresenta un insieme di punti dati pertinenti per la sicurezza generati dal log non elaborato.

In una ricerca UDM, un avviso è definito come un rilevamento di regole YARA-L con avvisi abilitati. Per saperne di più, consulta la sezione Eseguire una regola sui dati in tempo reale.

Altre origini dati possono essere importate in Google Security Operations come avvisi, ad esempio gli avvisi di Crowdstrike Falcon. Questi avvisi non vengono visualizzati nella ricerca UDM, a meno che non vengano elaborati dal motore di rilevamento delle operazioni di sicurezza di Google come regola YARA-L.

Gli eventi associati a uno o più avvisi sono contrassegnati da un chip di avviso nella sequenza temporale degli eventi. Se alla sequenza temporale sono associati più avvisi, il chip mostra il numero di avvisi associati.

La cronologia mostra i 1000 avvisi più recenti recuperati dai risultati di ricerca. Quando viene raggiunto il limite di 1000, non vengono recuperati altri avvisi. Per assicurarti di visualizzare tutti i risultati pertinenti alla tua ricerca, perfeziona la ricerca con i filtri.

Come esaminare un avviso

Per scoprire come utilizzare Grafico degli avvisi e Dettagli dell'avviso per esaminare un avviso, segui i passaggi descritti in Esaminare un avviso.

Utilizzare gli elenchi di riferimento nelle ricerche UDM

La procedura per l'applicazione degli elenchi di riferimento nelle regole può essere utilizzata anche nella ricerca. In una singola query di ricerca è possibile includere fino a sette elenchi. Sono supportati tutti i tipi di elenchi di riferimento (stringa, espressione regolare, CIDR).

Puoi creare elenchi per qualsiasi variabile da monitorare. Ad esempio, potresti creare un elenco di indirizzi IP sospetti:

// Field value exists in reference list
principal.ip IN %suspicious_ips

Puoi utilizzare più elenchi utilizzando AND o OR:

// multiple lists can be used with AND or OR
principal.ip IN %suspicious_ips AND
principal.hostname IN %suspicious_hostnames

Perfeziona i risultati di ricerca

Puoi utilizzare l'interfaccia utente di ricerca UDM per filtrare e perfezionare i risultati anziché modificare la ricerca UDM e ripetere la ricerca.

Grafico delle sequenze temporali

Il grafico a cronologia fornisce una rappresentazione grafica del numero di eventi e avvisi che si verificano ogni giorno e che vengono emersi dalla ricerca UDM corrente. Gli eventi e gli avvisi vengono visualizzati nello stesso grafico della cronologia, disponibile sia nella scheda Eventi sia nella scheda Avvisi.

La larghezza di ogni barra dipende dall'intervallo di tempo in cui viene effettuata la ricerca. Ad esempio, ogni barra rappresenta 10 minuti quando la ricerca comprende 24 ore di dati. Questo grafico viene aggiornato dinamicamente man mano che modifichi la ricerca UDM esistente.

Aggiustamento dell'intervallo di tempo

Puoi regolare l'intervallo di tempo del grafico spostando i controlli di scorrimento bianchi verso sinistra e verso destra per regolare l'intervallo di tempo e impostare lo stato attivo sul periodo di interesse. Man mano che regoli l'intervallo di tempo, le tabelle Campi, Valori ed Eventi UDM vengono aggiornate per riflettere la selezione corrente. Puoi anche fare clic su una singola barra del grafico per elencare solo gli eventi di quel periodo di tempo.

Dopo aver modificato l'intervallo di tempo, vengono visualizzate le caselle di controllo Eventi filtrati e Eventi di query, che ti consentono di limitare ulteriormente i tipi di eventi visualizzati.

Grafico della cronologia degli eventi con controlli intervallo di tempo

Figura 4. Grafico delle cronologie degli eventi con controlli dell'intervallo di tempo

Modifica la ricerca UDM con i filtri rapidi

Con i filtri rapidi puoi restringere ulteriormente la ricerca UDM. Puoi scorrere l'elenco dei campi UDM o cercare campi o valori UDM specifici utilizzando il campo di ricerca. I campi UDM elencati qui sono associati agli elenchi esistenti di eventi generati dalla ricerca UDM. Ogni campo UDM include il numero di eventi nella ricerca UDM corrente che includono anche questo dato. L'elenco dei campi UDM mostra il numero totale di valori univoci all'interno di un campo. Questa funzionalità ti consente di cercare tipi specifici di dati dei log che potrebbero essere di ulteriore interesse.

I campi UDM sono elencati nel seguente ordine:

  1. I campi con il numero di eventi più alto a quello più basso.
  2. I campi con un solo valore sono sempre gli ultimi.
  3. I campi con lo stesso identico numero di eventi sono in ordine alfabetico dalla A alla Z.

Filtri rapidi

Figura 5. Filtri rapidi

Modificare un filtro rapido

Se selezioni un valore di campo UDM nell'elenco Filtri rapidi e fai clic sull'icona del menu, puoi scegliere Mostra solo gli eventi che includono anche quel valore del campo UDM o Filtra quel valore del campo UDM. Se il campo UDM memorizza valori interi (ad es. target.port), vedrai anche le opzioni per filtrare in base a target.port. Le opzioni di filtro riducono l'elenco degli eventi visualizzati.

Puoi anche bloccare i campi (utilizzando l'icona a forma di puntina) in Filtro rapido per salvarli come preferiti. Vengono visualizzati nella parte superiore dell'elenco Filtri rapidi.

Mostra solo

Figura 6. Esempio: seleziona Mostra solo

Questi filtri UDM aggiuntivi vengono aggiunti anche al campo Eventi filtro. Il campo Eventi filtro ti consente di tenere traccia dei campi UDM aggiuntivi che hai aggiunto alla ricerca UDM. Puoi anche rimuovere rapidamente questi campi UDM aggiuntivi in base alle tue esigenze.

Filtra eventi

Figura 7. Filtrare gli eventi

Se fai clic sull'icona del menu Filtra eventi o su Aggiungi filtro a sinistra, si apre una finestra che ti consente di selezionare altri campi UDM.

Finestra Filtra eventi

Figura 8. Filtra la finestra degli eventi

Quando fai clic su APPLICA a Ricerca ed esecuzione, i campi UDM vengono aggiunti al campo Filtra eventi e gli eventi visualizzati vengono filtrati in base a questi filtri aggiuntivi. Puoi anche fare clic su Applica a ricerca ed esecuzione per aggiungerli al campo Ricerca UDM principale nella parte superiore della pagina. La ricerca viene eseguita di nuovo automaticamente utilizzando gli stessi parametri di data e ora. Google consiglia di restringere il più possibile la ricerca prima di fare clic su APPLICA a Ricerca ed esegui. In questo modo puoi migliorare l'accuratezza e ridurre i tempi di ricerca.

Visualizza gli eventi nella tabella Eventi

Tutti questi filtri e controlli aggiorneranno l'elenco di eventi visualizzato nella tabella Eventi. Fai clic su uno degli eventi elencati per aprire il visualizzatore log, dove puoi esaminare il log non elaborato e il record UDM per quell'evento. Se fai clic sul timestamp di un evento, puoi anche passare alla visualizzazione associata di risorsa, indirizzo IP, dominio, hash o utente. Puoi anche utilizzare il campo di ricerca nella parte superiore della tabella per trovare un evento specifico.

Visualizzare gli avvisi nella tabella Avvisi

Per visualizzare gli avvisi, fai clic sulla scheda Avvisi sul lato destro della scheda Eventi. Puoi utilizzare i filtri rapidi per ordinare gli avvisi in base a:

  • Richiesta
  • Nome
  • Priorità
  • Gravità
  • Stato
  • Verdetto

In questo modo puoi concentrarti sugli avvisi più importanti per te.

Gli avvisi vengono visualizzati nello stesso periodo di tempo degli eventi nella scheda Eventi. In questo modo puoi vedere la connessione tra eventi e avvisi.

Se vuoi saperne di più su un avviso specifico, fai clic sull'avviso per aprire la relativa pagina dei dettagli, che contiene informazioni più approfondite sull'avviso.

Visualizzare gli eventi in Visualizzatore eventi

Se tieni il puntatore su un evento nella tabella Eventi, sul lato destro dell'evento evidenziato viene visualizzata l'icona di apertura del visualizzatore eventi. Fai clic sul pulsante per aprire il visualizzatore eventi.

La finestra Log non elaborato mostra il segnale non elaborato originale in uno dei seguenti formati:

  • Dati
  • JSON
  • XML
  • CSV
  • Esadecimale/ASCII

La finestra UDM mostra il record UDM strutturato. Puoi tenere il puntatore del mouse su uno qualsiasi dei campi UDM per visualizzare la definizione di UDM. Selezionando la casella di controllo per i campi UDM, avrai a disposizione ulteriori opzioni:

  • Puoi copiare il record UDM. Seleziona uno o più campi UDM, quindi seleziona l'opzione Copia UDM dal menu a discesa Visualizza azioni. I campi e i valori UDM vengono copiati negli appunti di sistema.

  • Puoi aggiungere i campi UDM come colonne nella tabella Eventi selezionando l'opzione Aggiungi colonne dal menu a discesa Visualizza azioni.

Ogni campo UDM è etichettato con un'icona che indica se il campo contiene di dati arricchiti o non arricchiti. Le etichette delle icone sono le seguenti:

  • U: i campi non arricchiti contengono valori completati durante il processo di normalizzazione. utilizzando i dati del log non elaborato originale.
  • E: i campi arricchiti contengono valori che Google Security Operations compila per fornire un contesto aggiuntivo sugli elementi in un ambiente del cliente. Per ulteriori informazioni, consulta In che modo Google Security Operations arricchisce i dati su eventi ed entità.

    Campi UDM con informazioni aggiuntive e senza informazioni aggiuntive

Figura 9. Campi UDM nel Visualizzatore eventi

Utilizza l'opzione Colonne per modificare le colonne di informazioni visualizzate nella tabella Eventi. Viene visualizzato il menu Colonne. Le opzioni disponibili variano a seconda dei tipi di eventi restituiti dalla ricerca UDM.

Se vuoi, puoi salvare il set di colonne selezionato qui facendo clic su Salva. Assegna un nome al gruppo di colonne selezionate e fai di nuovo clic su Salva. Puoi caricare un insieme di colonne salvate facendo clic su Carica e selezionando l'insieme di colonne salvate dall'elenco.

Puoi anche scaricare gli eventi visualizzati facendo clic sul menu con tre puntini e selezionando Scarica in formato CSV. Verranno scaricati tutti i risultati di ricerca fino a un milione di eventi. Nell'interfaccia utente verrà indicato il numero di eventi che verranno scaricati.

Colonne di ricerca UDM

Figura 10. Colonne di ricerca UDM

Utilizzare la tabella pivot per analizzare gli eventi

La tabella pivot ti consente di analizzare gli eventi utilizzando espressioni e funzioni in base ai risultati della ricerca UDM.

Per aprire e configurare la tabella pivot:

  1. Esegui una ricerca UDM.

  2. Fai clic sulla scheda Pivot per aprire la tabella pivot.

  3. Specifica un valore Raggruppa per per raggruppare gli eventi in base a un campo UDM specifico. Puoi visualizzare i risultati utilizzando le lettere maiuscole predefinite o solo minuscolo selezionando minuscolo dal menu. Questa opzione è disponibile solo per i campi di stringa. Puoi specificare fino a cinque valori Raggruppa per facendo clic su Aggiungi campo.

    Se il valore Raggruppa per è uno dei campi del nome host, sono disponibili ulteriori opzioni di trasformazione:

    • Dominio di livello N principale: scegli il livello del dominio da visualizzare. Ad esempio, se utilizzi un valore pari a 1, viene visualizzato solo il dominio di primo livello (ad esempio com, gov o edu). Se utilizzi un valore pari a 3, vengono visualizzati i due livelli successivi dei nomi di dominio (ad esempio google.co.uk).
    • Ottieni dominio registrato: mostra solo il dominio registrato (ad esempio google.com, nytimes.com e youtube.com).

    Se il valore Raggruppa per è uno dei campi IP, hai a disposizione altre opzioni di trasformazione:

    • (IP) Lunghezza del prefisso CIDR in bit: puoi specificare da 1 a 32 per gli indirizzi IPv4. Per gli indirizzi IPv6, puoi specificare valori fino a 128.

    Se il valore Raggruppa per include un timestamp, avrai a disposizione ulteriori opzioni di trasformazione:

    • (Tempo) Risoluzione in millisecondi
    • (Tempo) Risoluzione in secondi
    • (Tempo) Risoluzione in minuti
    • (Tempo) Risoluzione in ore
    • (Tempo) Risoluzione in giorni
  4. Specifica un valore per il pivot dall'elenco dei campi nei risultati. Puoi specificare fino a 5 valori. Dopo aver specificato un campo, devi selezionare l'opzione Riassumi. Puoi riepilogare i dati in base alle seguenti opzioni:

    • sum
    • count
    • conteggio distinto
    • media
    • stddev
    • min
    • max

    Specifica il valore Event Count (Conteggio eventi) per restituire il numero di eventi identificati per questa ricerca UDM e tabella pivot specifici.

    Le opzioni Riassumi non sono universalmente compatibili con i campi Raggruppa per. Ad esempio, le opzioni sum, average, stddev, min e max possono essere applicate solo ai campi numerici. Se tenti di associare un'opzione Riassumi non compatibile a un campo Raggruppa per, riceverai un messaggio di errore.

  5. Specifica uno o più campi UDM e seleziona uno o più ordinamenti utilizzando l'opzione Ordina per.

  6. Al termine, fai clic su Applica. I risultati vengono visualizzati nella tabella pivot.

  7. (Facoltativo) Per scaricare la tabella pivot, fai clic su e seleziona Scarica in formato CSV. Se non hai selezionato un pivot, questa opzione è disattivata.

Eseguire una ricerca in Ricerche rapide

  1. Fai clic su Ricerche rapide per aprire la finestra Ricerche rapide. In questa finestra vengono visualizzate le ricerche e la cronologia delle ricerche salvate.

  2. Fai clic su una delle ricerche elencate per caricarla nel campo di ricerca UDM.

  3. Quando è tutto pronto, fai clic su Esegui ricerca.

Le ricerche elencate vengono salvate nel tuo account Google Security Operations. Se devi modificare una qualsiasi delle tue ricerche salvate (ad esempio, rinominare una ricerca esistente), eliminare ricerche salvate o eliminare ricerche dalla cronologia delle ricerche, apri Gestione ricerche facendo clic su Mostra tutte le ricerche.

Panoramica delle ricerche salvate e della cronologia delle ricerche

Utilizza Gestione ricerca per recuperare le ricerche salvate e visualizzare la cronologia delle ricerche facendo clic su Gestione ricerca. Le ricerche salvate e la cronologia delle ricerche vengono entrambe archiviate nel tuo account Google Security Operations. Solo il singolo utente può visualizzare e accedere alle ricerche salvate e alla cronologia delle ricerche, a meno che non utilizzi la funzionalità Condividi una ricerca per condividere la ricerca con l'organizzazione. Seleziona una ricerca salvata per visualizzare ulteriori informazioni, inclusi il titolo e la descrizione.

Per salvare una ricerca:

  1. Nella pagina Ricerca UDM, fai clic su Salva per salvare la ricerca UDM per utilizzarla in un secondo momento. Si apre Search Manager. Google ti consiglia di assegnare alla ricerca salvata un nome significativo e una descrizione di ciò che stai cercando. Puoi anche creare una nuova ricerca UDM da Gestione ricerca facendo clic su . Qui sono disponibili anche gli strumenti standard di modifica e completamento dei moduli UDM.

  2. (Facoltativo) Specifica le variabili segnaposto nel formato ${<variable name>} utilizzando lo stesso formato utilizzato per le variabili in YARA-L. Se aggiungi una variabile a una ricerca UDM, devi includere anche un prompt per aiutare l'utente a capire quali informazioni deve inserire prima di eseguire la ricerca. Tutte le variabili devono essere compilate con i valori prima di eseguire una ricerca.

    Ad esempio, potresti aggiungere metadata.vendor_name = ${vendor_name} alla ricerca UDM. Per ${vendor_name}, devi aggiungere un prompt per gli utenti futuri, ad esempio "Inserisci il nome del fornitore per la tua ricerca". Ogni volta che un utente carica questa ricerca in futuro, gli verrà chiesto di inserire il nome del fornitore prima di poter eseguire la ricerca.

  3. Al termine, fai clic su Salva modifiche.

  4. Per visualizzare le ricerche salvate, fai clic su Gestione ricerche e poi sulla scheda Salvati.

Per recuperare ed eseguire una ricerca salvata:

  1. In Search Manager, fai clic sulla scheda Salvati.

  2. Seleziona una ricerca salvata dall'elenco. Queste ricerche salvate vengono salvate nel tuo account Google Security Operations. Puoi eliminare una ricerca facendo clic su e selezionando Elimina ricerca.

  3. Puoi modificare il nome della ricerca e la descrizione. Al termine, fai clic su Salva modifiche.

  4. Fai clic su Carica ricerca. La ricerca viene caricata nel campo di ricerca UDM principale.

  5. Fai clic su Esegui ricerca per visualizzare gli eventi associati a questa ricerca.

Recuperare una ricerca dalla cronologia delle ricerche

Per recuperare ed eseguire una ricerca dalla cronologia delle ricerche:

  1. In Gestione ricerche, fai clic su Cronologia.

  2. Seleziona una ricerca dalla cronologia delle ricerche. La cronologia delle ricerche viene salvata nel tuo account Google Security Operations. Puoi eliminare una ricerca facendo clic su

  3. Fai clic su Carica ricerca. La ricerca viene caricata nel campo di ricerca principale di UDM.

  4. Fai clic su Esegui ricerca per visualizzare gli eventi associati a questa ricerca.

Cancellare, disattivare o attivare la cronologia delle ricerche

Per cancellare, disattivare o attivare la cronologia delle ricerche:

  1. In Gestione ricerche, fai clic sulla scheda Cronologia.

  2. Fai clic su .

  3. Seleziona Cancella cronologia per cancellare la cronologia delle ricerche.

  4. Fai clic su Disattiva cronologia per disattivare la cronologia delle ricerche. Puoi scegliere di:

    • Solo disattivazione: disattiva la cronologia delle ricerche.

    • Disattiva e cancella: disattiva la cronologia delle ricerche ed elimina quella salvata.

  5. Se in precedenza hai disattivato la cronologia delle ricerche, puoi riattivarla facendo clic su Attiva cronologia delle ricerche.

  6. Fai clic su Chiudi per uscire da Gestione delle ricerche.

Condividere una ricerca

Le ricerche condivise ti consentono di condividere le ricerche con il resto del team. Nella scheda Salvati puoi condividere o eliminare le ricerche. Puoi anche filtrare le ricerche facendo clic sull'icona del filtro accanto alla barra di ricerca e ordinare le ricerche in base a Mostra tutto, Definito da Google SecOps, Creato da me o Condivise.

Non puoi modificare una ricerca condivisa che non è tua.

  1. Fai clic su Salvati.
  2. Fai clic sulla ricerca che vuoi condividere.
  3. Fai clic su sul lato destro della ricerca. Viene visualizzata una finestra di dialogo con l'opzione per condividere la ricerca.
  4. Fai clic su Condividi con la tua organizzazione.
  5. Viene visualizzata una finestra di dialogo che indica che la condivisione della ricerca sarà visibile agli utenti della tua organizzazione. Vuoi condividere? Fai clic su Condividi.

Se vuoi che la ricerca sia visibile solo a te, fai clic su e poi su Interrompi condivisione. Se interrompi la condivisione, solo tu potrai utilizzare questa ricerca.

Campi UDM che possono o non possono essere scaricati in formato CSV dalla piattaforma

I campi UDM supportati e non supportati per il download sono mostrati di seguito sottosezioni.

Campi supportati

Puoi scaricare i seguenti campi in un file CSV dalla piattaforma:

  • utente

  • nome host

  • nome del processo

  • tipo di evento

  • timestamp

  • log non elaborati (valido solo se i log non elaborati sono abilitati per il cliente)

  • Tutti i campi che iniziano con "udm.additional"

Tipi di campi validi

Puoi scaricare i seguenti tipi di campi in un file CSV:

  • double

  • float

  • int32

  • uint32

  • int64

  • uint64

  • bool

  • string

  • enum

  • byte

  • google.protobuf.Timestamp

  • google.protobuf.Duration

Campi non supportati

Campi che iniziano con "udm" (non udm.additional) e che soddisfino una delle seguenti condizioni non può essere scaricato in formato CSV:

  • La nidificazione del campo supera i 10 gradi di profondità in protocollo udm.

  • Il tipo di dati è Messaggio o Gruppo.

Passaggi successivi

Per informazioni su come utilizzare i dati arricchiti dal contesto nella ricerca UDM, consulta Utilizzare i dati arricchiti dal contesto nella ricerca UDM.