Búsqueda de UDM

La función de búsqueda de UDM te permite encontrar eventos y alertas del modelo de datos unificado (UDM) en tu instancia de Google Security Operations. La búsqueda de UDM incluye una variedad de opciones que te ayudan a navegar por tus datos de UDM. Puedes buscar eventos de UDM individuales y grupos de eventos de UDM vinculados a términos de búsqueda compartidos.

En los sistemas que usan el RBAC de datos, solo puedes ver los datos que coincidan con tus permisos. Para obtener más información, consulta Impacto del RBAC de datos en la Búsqueda.

Para los clientes de Google Security Operations, las alertas también se pueden transferir desde connectors y webhooks. También puedes usar la búsqueda de UDM para encontrar estas alertas.

Para obtener más información sobre UDM, consulta Cómo dar formato a los datos de registro como UDM y Lista de campos del modelo de datos unificado.

Para acceder a la búsqueda de UDM de Google Security Operations, haz clic en Search en la barra de navegación. También puedes acceder a la búsqueda de UDM si ingresas un campo de UDM válido desde cualquier campo de búsqueda en Google Security Operations y presionas CTRL+Intro.

Para obtener una lista de todos los campos de UDM válidos, consulta la Lista de campos del modelo de datos unificado.

Búsqueda de UDM

Figura 1: Búsqueda de UDM

Búsqueda de UDM en blanco

Figura 2. Ventana de búsqueda de UDM que se abre con CTRL + Intro

Completa los siguientes pasos para ingresar una búsqueda de UDM en el campo UDM Search. Cuando termines de ingresar una búsqueda de UDM, haz clic en Ejecutar búsqueda. La interfaz de usuario de Google Security Operations solo te permite ingresar una expresión de búsqueda de UDM válida. También puedes abrir la ventana del período para ajustar el intervalo de datos que deseas buscar.

Si tu búsqueda es demasiado amplia, Google Security Operations mostrará un mensaje de advertencia que indica que no puede mostrar todos los resultados de la búsqueda. Reduce el alcance de la búsqueda y vuelve a ejecutarla. Cuando una búsqueda es demasiado amplia, Google Security Operations devuelve los resultados más recientes hasta el límite de búsqueda (un millón de eventos y mil alertas). Es posible que haya muchos más eventos y alertas que coincidan, pero que no se muestran en este momento. Ten en cuenta esto cuando analices los resultados. Google recomienda aplicar filtros adicionales y ejecutar la búsqueda original hasta que estés por debajo del límite. En su lugar, aplica filtros adicionales y vuelve a ejecutar la búsqueda original hasta que estés por debajo del límite.

Fecha y ejecución de la búsqueda

Figura 3: Ejecuta la Búsqueda

Las consultas de UDM se basan en campos de UDM, que se enumeran en la lista de campos del modelo de datos unificado. También puedes ver los campos de UDM dentro del contexto de las búsquedas con Filtros o Búsqueda de registros sin procesar.

  1. Para buscar eventos, ingresa un nombre de campo de UDM en el campo de búsqueda. La interfaz de usuario incluye la función de autocompletar y muestra campos de UDM válidos según los datos que hayas ingresado.

  2. Una vez que hayas ingresado un campo de UDM válido, selecciona un operador válido. En la interfaz de usuario, se muestran los operadores válidos disponibles según el campo de UDM que ingresaste. Se admiten los operadores siguientes:

    • <, >
    • <=, >=
    • =, !=
    • nocase (compatible con cadenas)

  3. Una vez que hayas ingresado un campo y un operador de UDM válidos, ingresa los datos de registro correspondientes que estás buscando. Se admiten los siguientes tipos de datos:

    • Valores enumerados: La interfaz de usuario muestra una lista de valores enumerados válidos para un campo de UDM determinado.

      Por ejemplo (usa comillas dobles y mayúsculas): metadata.event_type = "NETWORK_CONNECTION"

    • Valores adicionales: Puedes usar "field[clave] = valor" para buscar campos adicionales y de etiquetas para los eventos.

      Por ejemplo: additional.fields["key"]="value".

    • Booleanos: Puedes usar true o false (todos los caracteres no distinguen mayúsculas de minúsculas y la palabra clave no se encierra entre comillas).

      Por ejemplo: network.dns.response = true.

    • Números enteros

      Por ejemplo: target.port = 443.

    • Números de punto flotante: Para los campos UDM del tipo float, ingresa un valor de punto flotante, como 3.1. También puedes ingresar un número entero, como 3, que es el equivalente a ingresar 3.0.

      Por ejemplo: security_result.about.asset.vulnerabilities.cvss_base_score = 3.1 o security_result.about.asset.vulnerabilities.cvss_base_score = 3.

    • Expresiones regulares: (la expresión regular debe estar entre caracteres de barra diagonal (/))

      Por ejemplo: principal.ip = /10.*/.

      Para obtener más información sobre las expresiones regulares, consulta la página Expresiones regulares.

    • Cadenas

      Por ejemplo (debes usar comillas dobles): metadata.product_name = "Google Cloud VPC Flow Logs"

  4. Puedes usar el operador nocase para buscar cualquier combinación de versiones en mayúsculas y minúsculas de una cadena determinada:

    • principal.hostname != "http-server" nocase
    • principal.hostname = "JDoe" nocase
    • principal.hostname = /dns-server-[0-9]+/ nocase

  5. Las barras inversas y las comillas dobles en las cadenas deben escaparse con un carácter de barra inversa. Por ejemplo:

    • principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
    • target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""

  6. Puedes utilizar expresiones booleanas para reducir aún más el rango posible de los datos que se muestran. En los siguientes ejemplos, se muestran algunos tipos de expresiones booleanas admitidas (se pueden usar operadores booleanos AND, OR y NOT):

    • A AND B
    • A OR B
    • (A OR B) AND (B OR C) AND (C OR NOT D)

    En los siguientes ejemplos, se muestra cómo podría aparecer la sintaxis real:

    Eventos de acceso al servidor de finanzas: 

    metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"

    Ejemplo de uso de una expresión regular para buscar la ejecución de la herramienta psexec.exe en Windows. 

    target.process.command_line = /\bpsexec(.exe)?\b/ nocase

    Ejemplo del uso del operador “más que” (>) para buscar conexiones en las que se enviaron más de 10 MB de datos. 

    metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000

    Ejemplo que usa varias condiciones para buscar Winword inicia cmd.exe o powershell.exe. 

        metadata.event_type = "PROCESS_LAUNCH" and
    principal.process.file.full_path = /winword/ and
    (target.process.file.full_path = /cmd.exe/ or
    target.process.file.full_path = /powershell.exe/)

  7. También puedes usar la búsqueda de UDM para buscar pares clave-valor específicos en los campos Adicionales y Etiqueta.

    Los campos Adicionales y Etiqueta se usan como una “captura completa” personalizable para los datos de eventos que no caben en un campo de UDM estándar. Los campos adicionales pueden contener varios pares clave-valor. Los campos de etiqueta solo pueden contener un único par clave-valor. Sin embargo, cada instancia del campo contiene solo una clave y un único valor. La clave debe ir dentro de los corchetes y el valor debe estar en el lado derecho.

    En los siguientes ejemplos, se muestra cómo buscar eventos que contienen pares clave-valor especificados: 

        additional.fields["pod_name"] = "kube-scheduler"
    metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"
    En el siguiente ejemplo, se muestra cómo usar el operador AND en búsquedas de pares clave-valor: 
        additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"

    Puedes usar la siguiente sintaxis para buscar todos los eventos que contengan la clave especificada (sin importar el valor): 

        additional.fields["pod_name"] != ""
    También puedes usar expresiones regulares y el operador nocase: 
        additional.fields["pod_name"] = /br/
    additional.fields["pod_name"] = bar nocase

  8. También puedes usar comentarios de bloqueo y de una sola línea.

    En el siguiente ejemplo, se muestra cómo usar un comentario de bloqueo: 

        additional.fields["pod_name"] = "kube-scheduler"
    /*
    Block comments can span
    multiple lines.
    */
    AND additional.fields["pod_name1"] = "kube-scheduler1"

    En el siguiente ejemplo, se muestra cómo usar un comentario de una sola línea: 

        additional.fields["pod_name"] != "" // my single-line comment

  9. Haz clic en Run Search para ejecutar tu búsqueda de UDM y mostrar los resultados.

  10. Los eventos se muestran en la página Búsqueda de UDM, en la tabla del cronograma de eventos. Puedes acotar los resultados aún más agregando campos UDM adicionales de forma manual o usando la interfaz.

Buscar campos agrupados

Los campos agrupados son alias para grupos de campos UDM relacionados. Puedes usarlas para consultar varios campos de UDM al mismo tiempo sin tener que escribir cada campo de forma individual.

En el siguiente ejemplo, se muestra cómo ingresar una consulta para que coincida con los campos de UDM comunes que podrían contener la dirección IP especificada: 

    ip = "1.2.3.4"

Puedes hacer coincidir un campo agrupado mediante una expresión regular y el operador nocase. También se admiten listas de referencia. Los campos agrupados también se pueden usar en combinación con campos UDM normales, como se muestra en el siguiente ejemplo: 

    ip = "5.6.7.8" AND metadata.event_type = "NETWORK_CONNECTION"

Los campos agrupados tienen una sección separada en Filtros rápidos.

Tipos de campos UDM agrupados

Puedes buscar en todos los siguientes campos de UDM agrupados:

Nombre del campo agrupado Campos de UDM asociados
dominio about.administrative_domain
about.asset.network_domain
network.dns.questions.name
network.dns_domain
principal.administrative_domain
principal.asset.network_domain
target.administrative_domain
target.asset.hostname
target.asset.network_domain
target.hostname
correo electrónico intermediario.user.email_addresses
network.email.from
network.email.to
principal.user.email_addresses
security_result.about.user.email_addresses
target.user.email_addresses
file_path principal.file.full_path
principal.process.file.full_path
principal.process.parent_process.file.full_path
target.file.full_path
target.process.file.full_path
target.process.parent_process.file.full_path
hash about.file.md5
about.file.sha1
about.file.sha256
principal.process.file.md5
principal.process.file.sha1
principal.process.file.sha256
security_result.about.file.sha256
target.file.md5
target.file.file.file.file.shad.file.file.shad
target.file.md5
target.file.file.file.file.file.file.file.file.file.file.file.file.file.file.file.file.
Nombre de host intermediario.hostname
observer.hostname
principal.asset.hostname
principal.hostname
src.asset.hostname
src.hostname
target.asset.hostname
target.hostname
ip intermediario.ip
observer.ip
principal.artifact.ip
principal.asset.ip
principal.ip
src.artifact.ip
src.asset.ip
src.ip
target.artifact.ip
target.asset.ip
target.ip
espacio de nombres principal.namespace
src.namespace
target.namespace
process_id principal.process.parent_process.pid
principal.process.parent_process.product_specific_process_id
principal.process.pid
principal.process.product_specific_process_id
target.process.parent_process.pid
target.process.parent_process.product_specific_process_id
target.process.pid
target.process_specific.
usuario about.user.userid
observer.user.userid
principal.user.user_display_name
principal.user.userid
principal.user.windows_sid
src.user.userid
target.user.user_display_name
target.user.userid
target.user.windows_sid

Busca un campo de UDM para la búsqueda

Cuando escribes una consulta de búsqueda de UDM, es posible que no sepas qué campo de UDM incluir. UDM Lookup te permite encontrar rápidamente un nombre de campo de UDM que contenga una cadena de texto en el nombre o que almacene un valor de cadena específico. No está diseñada para usarse para buscar otros tipos de datos, como bytes, booleanos o numéricos. Selecciona uno o más resultados que muestra UDM Lookup como punto de partida para una consulta de búsqueda de UDM.

Para utilizar UDM Lookup, realiza lo siguiente:

  1. En la página Búsqueda de UDM, ingresa una cadena de texto en el campo Buscar campos de UDM por valor y, luego, haz clic en Búsqueda de UDM.

  2. En el diálogo UDM Lookup, selecciona una o más de las siguientes opciones para especificar el alcance de los datos que se buscarán:

    • Campos de UDM: Busca texto en nombres de campo de UDM, por ejemplo, network.dns.questions.name o principal.ip.
    • Valores: Busca texto en los valores asignados a campos UDM, por ejemplo, dns o google.com.

  3. Ingresa o modifica la cadena en el campo de búsqueda. A medida que escribes, aparecerán los resultados de la búsqueda en el diálogo.

    Los resultados son ligeramente diferentes cuando se busca en Campos de UDM frente a Valores. Cuando buscas texto en Valores, los resultados aparecen de la siguiente manera:

    • Si la cadena se encuentra al principio o al final del valor, se destaca en el resultado, junto con el nombre del campo de UDM y la hora en que se transfirió el registro.
    • Si la cadena de texto se encuentra en otra parte del valor, el resultado muestra el nombre del campo de UDM y el texto Posible coincidencia de valor.

    Buscar dentro de los valores

    Buscar dentro de los valores de UDM Lookup

    • Cuando se busca una cadena de texto en nombres de campo UDM, la búsqueda de UDM muestra una coincidencia exacta en cualquier ubicación del nombre.

    Buscar en los campos de UDM

    Cómo buscar en los campos de UDM en UDM Lookup

  4. En la lista de resultados, puedes hacer lo siguiente:

    • Haz clic en el nombre de un campo de UDM para ver una descripción de ese campo.

    • Selecciona uno o más resultados haciendo clic en la casilla de verificación a la izquierda del nombre de cada campo de UDM.

    • Haz clic en el botón Restablecer para anular la selección de todos los campos en la lista de resultados.

  5. Para agregar los resultados seleccionados al campo Búsqueda de UDM, haz clic en el botón Agregar a la búsqueda.

    También puedes copiar el resultado seleccionado con el botón Copiar UDM y, luego, cerrar el diálogo Búsqueda de UDM y pegar la cadena de consulta de búsqueda en el campo Búsqueda de UDM.

    Google Security Operations convierte el resultado seleccionado en una cadena de consulta de búsqueda de UDM como el nombre del campo de UDM o un par nombre-valor. Si agregas varios resultados, cada resultado se agrega al final de una consulta existente en el campo de búsqueda de UDM mediante el operador OR.

    La cadena de consulta agregada es diferente según el tipo de coincidencia que muestra UDM Lookup.

    • Si el resultado coincide con una string de texto en un nombre de campo UDM, el nombre completo del campo UDM se agrega a la consulta. A continuación, se muestra un ejemplo:

      principal.artifact.network.dhcp.client_hostname

    • Si el resultado coincide con una string de texto al principio o al final de un valor, el par nombre-valor contiene el nombre del campo de UDM y el valor completo del resultado. Estos son algunos ejemplos:

      metadata.log_type = "PCAP_DNS"

      network.dns.answers.name = "dns-A901F3j.hat.example.com"

    • Si el resultado incluye el texto Posible coincidencia de valores, el par nombre-valor contiene el nombre del campo de UDM y una expresión regular que contiene el término de búsqueda. A continuación, se muestra un ejemplo:

      principal.process.file.full_path = /google/ NOCASE

  6. Edita la búsqueda de UDM para que se adapte a tu caso de uso. La cadena de consulta que generó UDM Lookup es un punto de partida para escribir una consulta de búsqueda de UDM completa.

Resumen del comportamiento de la búsqueda de UDM

En esta sección, se proporcionan más detalles sobre las capacidades de UDM Lookup.

  • UDM Lookup busca datos transferidos después del 10 de agosto de 2023. Los datos transferidos antes no se buscan. Devuelve los resultados encontrados en campos de UDM sin enriquecer. No muestra coincidencias con campos enriquecidos. Para obtener información sobre los campos enriquecidos y no enriquecidos, consulta Visualiza eventos en el Visor de eventos.
  • Las búsquedas que utilizan UDM Lookup no distinguen mayúsculas de minúsculas. El término hostname muestra el mismo resultado que HostName.
  • Los guiones (-) y los guiones bajos (_) en una cadena de texto de consulta se ignoran cuando se buscan Valores. Las cadenas de texto dns-l y dnsl muestran el valor dns-l.

  • Cuando se busca Values, UDM Lookup no muestra coincidencias en los siguientes casos:

    Coincidencias en los siguientes campos de UDM:
    • metadata.product_log_id
    • network.session_id
    • security_result.rule_id
    • network.parent_session_id
    Coincidencias en los campos UDM con una ruta de acceso completa que termina en uno de los siguientes valores:
    • .pid
      Por ejemplo: target.process.pid.
    • .asset_id
      Por ejemplo: principal.asset_id.
    • .product_specific_process_id
      Por ejemplo: principal.process.product_specific_process_id.
    • .resource.id
      Por ejemplo: principal.resource.id.

  • Cuando buscas Values, UDM Lookup muestra el mensaje Posible coincidencia de valor en el resultado cuando se encuentra una coincidencia en los siguientes casos:

    Coincidencias en los siguientes campos de UDM:
    • metadata.description
    • security_result.description
    • security_result.detection_fields.value
    • security_result.summary
    • network.http.user_agent
    Coincide en campos con una ruta de acceso completa que termina en uno de los siguientes valores:
    • .command_line
      Por ejemplo: principal.process.command_line.
    • .file.full_path
      Por ejemplo: principal.process.file.full_path.
    • .labels.value
      Por ejemplo: src.labels.value.
    • .registry.registry_key
      Por ejemplo: principal.registry.registry_key.
    • .url
      Por ejemplo: principal.url.
    Coincide con los campos con una ruta de acceso completa que comienza con los siguientes valores: additional.fields.value.
    Por ejemplo: additional.fields.value.null_value.

Para ver las alertas, haz clic en la pestaña Alertas a la derecha de la pestaña Eventos en la esquina superior derecha de la página Búsqueda de UDM.

Cómo aparecen las alertas

Google Security Operations evalúa los eventos que se muestran en la búsqueda de UDM en comparación con los eventos que existen para las alertas en el entorno del cliente. Cuando un evento de consulta de búsqueda coincide con un evento presente en una alerta, se muestra en el cronograma de alertas y en la tabla de alertas resultante.

Definición de eventos y alertas

Un evento se genera a partir de una fuente de registro sin procesar que se transfiere a Google Security Operations y se procesa mediante el proceso de transferencia y normalización de esta plataforma. Se pueden generar múltiples eventos a partir de un único registro fuente de registro sin procesar. Un evento representa un conjunto de datos relevantes para la seguridad que se generan a partir de ese registro sin procesar.

En una búsqueda de UDM, una alerta se define como una detección de reglas YARA-L con alertas habilitadas. Consulta cómo ejecutar una regla con datos en tiempo real para obtener más información.

Se pueden transferir otras fuentes de datos a Google Security Operations en forma de alertas, como las alertas de Crowdstrike Falcon. Estas alertas no aparecen en la búsqueda de UDM, a menos que las procese el motor de detección de Google Security Operations como una regla YARA-L.

Los eventos que están asociados con una o más alertas se marcan con un chip de alerta en el Cronograma de eventos. Si hay varias alertas asociadas con el cronograma, el chip mostrará las cantidades de alertas asociadas.

La línea de tiempo muestra las 1,000 alertas más recientes recuperadas de los resultados de la búsqueda. Cuando se alcanza el límite de 1,000, no se recuperan más alertas. Define mejor la búsqueda con filtros para asegurarte de ver todos los resultados relevantes.

Cómo investigar una alerta

Si quieres aprender a usar el Gráfico de alertas y los Detalles de la alerta para investigar una alerta, sigue los pasos descritos en Investiga una alerta.

Cómo usar listas de referencia en las búsquedas de UDM

El proceso para aplicar listas de referencia en Reglas también se puede utilizar en la búsqueda. Se pueden incluir hasta siete listas en una sola consulta de búsqueda. Se admiten todos los tipos de listas de referencia (cadenas, expresiones regulares, CIDR).

Puedes crear listas de cualquier variable a la que quieras hacer un seguimiento. Por ejemplo, puedes crear una lista de direcciones IP sospechosas:

// Field value exists in reference list
principal.ip IN %suspicious_ips
.

Además, puedes usar varias listas con AND o OR:

// multiple lists can be used with AND or OR
principal.ip IN %suspicious_ips AND
principal.hostname IN %suspicious_hostnames

Definir mejor los resultados de la búsqueda

Puedes usar la interfaz de usuario de búsqueda de UDM para filtrar y definir mejor los resultados, como alternativa a modificar la búsqueda de UDM y volver a ejecutarla.

Gráfico de cronogramas

El gráfico de cronogramas proporciona una representación gráfica de la cantidad de eventos y alertas que ocurren cada día y que aparecen en la búsqueda de UDM actual. Los eventos y las alertas se muestran en el mismo gráfico de cronograma, que está disponible en las pestañas Eventos y Alertas.

El ancho de cada barra depende del intervalo de tiempo de la búsqueda. Por ejemplo, cada barra representa 10 minutos cuando la búsqueda abarca 24 horas de datos. Este gráfico se actualiza de forma dinámica a medida que modificas la búsqueda de UDM existente.

Ajuste de intervalo de tiempo

Para ajustar el intervalo de tiempo del gráfico, mueve los controles deslizantes blancos de izquierda a derecha para ajustar el intervalo de tiempo y enfocarte en el período de interés. A medida que ajustas el intervalo de tiempo, las tablas de campos, valores y eventos de UDM se actualizan para reflejar la selección actual. También puedes hacer clic en una sola barra del gráfico para que se muestren solo los eventos de ese período de tiempo.

Cuando hayas ajustado el intervalo de tiempo, aparecerán las casillas de verificación Eventos filtrados y Eventos de la consulta, lo que te permitirá limitar aún más los tipos de eventos que se muestran.

Gráfico de cronogramas de eventos con controles de intervalo de tiempo

Figura 4: Gráfico de cronogramas de eventos con controles de intervalo de tiempo

Cómo modificar la búsqueda de UDM con filtros rápidos

Con los filtros rápidos, puedes acotar aún más tu búsqueda de UDM. Puedes desplazarte por la lista de campos de UDM o buscar campos o valores de UDM específicos con el campo de búsqueda. Los campos de UDM que se enumeran aquí están asociados con las listas de eventos existentes que genera tu búsqueda de UDM. Cada campo de UDM incluye la cantidad de eventos dentro de tu búsqueda de UDM actual que también incluyen este dato. La lista de campos de UDM muestra la cantidad total de valores únicos dentro de un campo. Esta función te permite buscar tipos particulares de datos de registro que podrían ser de mayor interés.

Los campos de UDM se enumeran en el siguiente orden:

  1. Campos con los recuentos de eventos más altos a los recuentos de eventos más bajos
  2. Los campos con un solo valor son siempre últimos.
  3. Los campos con exactamente el mismo recuento total de eventos se ordenan alfabéticamente de la A a la Z.

Filtros rápidos

Figura 5: Filtros rápidos

Cómo modificar un filtro rápido

Si seleccionas un valor de campo de UDM en la lista de Filtros rápidos y haces clic en el ícono de menú, tendrás la opción de Mostrar solo eventos que también incluyan ese valor de campo de UDM o Filtrar ese valor de campo de UDM. Si el campo UDM almacena valores de números enteros (por ejemplo: target.port), también verás opciones para filtrar por <,>,<=,>=. Las opciones de filtro acortan la lista de eventos que se muestran.

También puedes fijar campos (con el ícono de fijar) en Filtro rápido para guardarlos como favoritos. Aparecen en la parte superior de la lista de Filtros rápidos.

Solo el programa

Figura 6: Ejemplo: Seleccionar solo el programa

Estos filtros de UDM adicionales también se agregan al campo de filtros de eventos. El campo de eventos de filtro te ayuda a hacer un seguimiento de los campos de UDM adicionales que agregaste a la búsqueda de UDM. También puedes quitar rápidamente estos campos UDM adicionales según sea necesario.

Filtrar eventos

Figura 7: Filtra eventos

Si haces clic en el ícono del menú Filter events o Add Filter a la izquierda, se abrirá una ventana que te permitirá seleccionar campos de UDM adicionales.

Ventana de filtrar eventos

Figura 8: Ventana de filtrar eventos

Cuando haces clic en APPLY to Search and Run, los campos de UDM se agregan al campo Filter events, y los eventos que se muestran se filtran en función de esos filtros adicionales. También puedes hacer clic en Apply to Search and Run para agregarlas al campo principal de búsqueda de UDM en la parte superior de la página. La búsqueda se vuelve a ejecutar automáticamente con los mismos parámetros de fecha y hora. Google recomienda reducir la búsqueda tanto como sea posible antes de hacer clic en APLICAR a Búsqueda y ejecución. Esto ayuda a mejorar la precisión y reduce los tiempos de búsqueda.

Ver eventos en la tabla Eventos

Todos estos filtros y controles actualizarán la lista de eventos que se muestra en la tabla Eventos. Haz clic en cualquiera de los eventos de la lista para abrir el Visor de registros, donde puedes examinar el registro sin procesar y el registro UDM de ese evento. Si haces clic en la marca de tiempo de un evento, también puedes navegar a la vista asociada de activo, dirección IP, dominio, hash o usuario. También puedes usar el campo de búsqueda en la parte superior de la tabla para buscar un evento específico.

Ver alertas en la tabla Alertas

Para ver las alertas, haz clic en la pestaña Alertas en el lado derecho de la pestaña Eventos. Puedes usar Filtros rápidos para ordenar las alertas por:

  • Caso
  • Nombre
  • Prioridad
  • Gravedad
  • Estado
  • Veredicto

Esto te ayuda a concentrarte en las alertas que más te importan.

Las alertas se muestran en el mismo período que los eventos en la pestaña Eventos. Esto te ayuda a ver la conexión entre los eventos y las alertas.

Si deseas obtener más información sobre una alerta específica, haz clic en ella y se abrirá una página individual de detalles de la alerta con información más detallada sobre ella.

Cómo ver eventos en el Visor de eventos

Si mantienes el puntero sobre un evento en la tabla Eventos, aparecerá el ícono de visualización de eventos abierto en el lado derecho del evento destacado. Haz clic en él para abrir el Visor de eventos.

La ventana Registro sin procesar muestra el signo sin procesar original en cualquiera de los siguientes formatos:

  • Datos
  • JSON
  • XML
  • CSV
  • Hexadecimal/ASCII

La ventana de UDM muestra el registro de UDM estructurado. Puedes mantener el puntero sobre cualquiera de los campos de UDM para ver la definición de UDM. Si seleccionas la casilla de verificación de los campos de UDM, obtendrás las siguientes opciones:

  • Puedes copiar el registro de UDM. Selecciona uno o más campos de UDM y, luego, la opción Copiar UDM del menú desplegable Ver acciones. Los campos y los valores de UDM se copian en el portapapeles del sistema.

  • Puedes agregar los campos de UDM como columnas en la tabla Eventos. Para ello, selecciona la opción Agregar columnas del menú desplegable Ver acciones.

Cada campo de UDM está etiquetado con un ícono que indica si contiene datos enriquecidos o sin enriquecer. Las etiquetas de los íconos son las siguientes:

  • U: Los campos sin enriquecer contienen valores propagados durante el proceso de normalización con datos del registro original sin procesar.

  • E: Los campos enriquecidos contienen valores que Google Security Operations propaga para proporcionar contexto adicional sobre los artefactos en el entorno de un cliente. Para obtener más información, consulta Cómo Google Security Operations enriquece los datos de eventos y entidades.

    Campos UDM enriquecidos y no enriquecidos

Figura 9: Campos de UDM en el Visor de eventos

Usa la opción Columnas para ajustar las columnas de información que se muestran en la tabla Eventos. Se muestra el menú Columnas. Las opciones disponibles varían según los tipos de eventos que muestra la Búsqueda de UDM.

De manera opcional, puedes hacer clic en Guardar para guardar el conjunto de columnas que seleccionaste aquí. Asígnale un nombre al conjunto de columnas seleccionadas y vuelve a hacer clic en Guardar. Para cargar un conjunto de columnas guardadas, haz clic en Load y selecciona el conjunto de columnas guardadas de la lista.

También puedes descargar los eventos que se muestran. Para ello, haz clic en el menú de tres puntos y selecciona Descargar como CSV. Se descargarán todos los resultados de la búsqueda hasta un millón de eventos. La interfaz de usuario indicará la cantidad de eventos que se descargarán.

Columnas de búsqueda de UDM

Figura 10: Columnas de búsqueda de UDM

Cómo usar la tabla dinámica para analizar eventos

La tabla dinámica te permite analizar eventos utilizando expresiones y funciones con respecto a los resultados de la búsqueda de UDM.

Completa los siguientes pasos para abrir y configurar la tabla dinámica:

  1. Ejecutar una búsqueda de UDM

  2. Haz clic en la pestaña Tabla dinámica para abrir la tabla dinámica.

  3. Especifica un valor de Agrupar por (Group By) para agrupar los eventos según un campo de UDM específico. Puedes mostrar los resultados con las mayúsculas predeterminadas o solo con minúsculas seleccionando minúsculas en el menú. Esta opción solo está disponible para campos de cadenas. Puedes especificar hasta 5 valores en Agrupar por haciendo clic en Agregar campo.

    Si tu valor Agrupar por es uno de los campos de nombre de host, tendrás opciones de transformación adicionales:

    • Dominio de nivel N superior: Elija el nivel del dominio que desea mostrar. Por ejemplo, si usas un valor de 1, se muestra solo el dominio de nivel superior (como com, gov o edu). Si usas un valor de 3, se muestran los siguientes dos niveles de los nombres de dominio (como google.co.uk).
    • Obtener dominio registrado: Muestra solo el nombre de dominio registrado (como google.com, nytimes.com y youtube.com).

    Si tu valor Agrupar por es uno de los campos IP, tienes opciones de transformación adicionales:

    • Longitud del prefijo de CIDR(IP) en bits: Puedes especificar de 1 a 32 para las direcciones IPv4. Para las direcciones IPv6, puedes especificar valores de hasta 128.

    Si tu valor Agrupar por incluye una marca de tiempo, tendrás opciones de transformación adicionales:

    • Resolución(Tiempo) en milisegundos
    • Resolución(tiempo) en segundos
    • Resolución(tiempo) en minutos
    • Resolución(tiempo) en horas
    • Resolución(Tiempo) en días

  4. Especifica un valor para tu tabla dinámica de la lista de Campos de los resultados. Puedes especificar hasta 5 valores. Después de especificar un campo, debes seleccionar la opción Resumir. Para resumir, puedes usar las siguientes opciones:

    • ponderada
    • count
    • count distinto
    • promedio
    • stddev
    • min
    • max

    Especifica un valor de Event Count para que simplemente muestre el número de eventos identificados para esta búsqueda de UDM y esta tabla dinámica en particular.

    Las opciones Resumir no son universalmente compatibles con los campos Agrupar por. Por ejemplo, las opciones sum, average, stddev, min y max solo se pueden aplicar a campos numéricos. Si intentas asociar una opción Resumir incompatible con un campo Agrupar por, recibirás un mensaje de error.

  5. Especifica uno o más campos de UDM y selecciona uno o más ordenamientos con la opción Order By.

  6. Cuando esté todo listo, haz clic en Aplicar. Los resultados se muestran en la tabla dinámica.

  7. Para descargar la tabla dinámica, haz clic en y selecciona Descargar como CSV (opcional). Si no seleccionaste un elemento dinámico, esta opción se inhabilitará.

Cómo ejecutar una búsqueda en las búsquedas rápidas

  1. Haz clic en Búsquedas rápidas para abrir la ventana Búsquedas rápidas. En esta ventana, se muestran las búsquedas guardadas y el historial de búsqueda.

  2. Haz clic en cualquiera de las búsquedas de la lista para cargarla en el campo de búsqueda de UDM.

  3. Haz clic en Ejecutar búsqueda cuando estés listo.

Las búsquedas que se muestran se guardan en tu cuenta de Google Security Operations. Si necesitas modificar alguna de las búsquedas guardadas (por ejemplo, cambiar el nombre de una búsqueda existente), eliminar búsquedas guardadas o eliminar búsquedas del historial de búsqueda, abre el Administrador de búsquedas. Para ello, haz clic en Ver todas las búsquedas.

Descripción general del historial de búsqueda y las búsquedas guardadas

Utiliza el administrador de búsqueda para recuperar las búsquedas guardadas y ver el historial de búsqueda con un clic en Administrador de búsqueda. Las búsquedas guardadas y el historial de búsqueda se almacenan en tu cuenta de Google Security Operations. Solo el usuario individual puede ver y acceder a las búsquedas guardadas y el historial de búsqueda, a menos que uses la función Compartir una búsqueda para compartirla con tu organización. Selecciona una búsqueda guardada para ver información adicional, incluidos el título y la descripción.

Para guardar una búsqueda, sigue estos pasos:

  1. En la página Búsqueda de UDM, haz clic en Guardar para guardar tu búsqueda de UDM para más adelante. Se abrirá el Administrador de búsqueda. Google recomienda asignarle a tu búsqueda guardada un nombre significativo y una descripción de texto sin formato de lo que estás buscando. También puedes crear una nueva búsqueda de UDM desde Search Manager haciendo clic en . Las herramientas estándar de edición y finalización de UDM también están disponibles aquí.

  2. Especifica las variables de marcador de posición en el formato ${<variable name>} con el mismo formato que se usa para las variables en YARA-L (opcional). Si agregas una variable a una búsqueda de UDM, también debes incluir una instrucción para ayudar al usuario a comprender qué información debe ingresar antes de realizar la búsqueda. Todas las variables deben completarse con valores antes de que se ejecute una búsqueda.

    Por ejemplo, puedes agregar metadata.vendor_name = ${vendor_name} a tu búsqueda de UDM. En el caso de ${vendor_name}, debes agregar un mensaje para los usuarios futuros, como "Ingresa el nombre del proveedor para tu búsqueda". Cada vez que un usuario cargue esta búsqueda en el futuro, se le pedirá que ingrese el nombre del proveedor para poder realizar la búsqueda.

  3. Haz clic en Guardar cambios cuando hayas terminado.

  4. Para ver las búsquedas guardadas, haz clic en Administrador de búsqueda y, luego, en la pestaña Guardadas.

Para recuperar y ejecutar una búsqueda guardada:

  1. En el Administrador de búsqueda, haz clic en la pestaña Guardado.

  2. Selecciona una búsqueda guardada de la lista. Estas búsquedas guardadas se guardan en tu cuenta de Google Security Operations. Para borrar una búsqueda, haz clic en y selecciona Borrar búsqueda.

  3. Puedes cambiar el nombre de la búsqueda y la descripción. Haz clic en Guardar cambios cuando hayas terminado.

  4. Haz clic en Load Search. La búsqueda se carga en el campo de búsqueda principal de UDM.

  5. Haz clic en Ejecutar búsqueda para ver los eventos asociados con esta búsqueda.

Cómo recuperar una búsqueda de tu historial de búsqueda

Para recuperar y ejecutar una búsqueda desde tu historial de búsqueda, haz lo siguiente:

  1. En el Administrador de búsqueda, haz clic en Historial.

  2. Selecciona una búsqueda de tu historial de búsqueda. El historial de búsqueda se guarda en tu cuenta de Google Security Operations. Para borrar una búsqueda, haz clic en

  3. Haz clic en Load Search. La búsqueda se carga en el campo de búsqueda principal de UDM.

  4. Haz clic en Ejecutar búsqueda para ver los eventos asociados con esta búsqueda.

Cómo borrar, inhabilitar o habilitar el historial de búsqueda

Para borrar, inhabilitar o habilitar el historial de búsqueda, haz lo siguiente:

  1. En el Administrador de búsqueda, haz clic en la pestaña Historial.

  2. Haz clic en .

  3. Selecciona Borrar historial para borrar el historial de búsqueda.

  4. Haz clic en Inhabilitar historial para inhabilitar el historial de búsqueda. Tienes las siguientes opciones:

    • Opt-Out Only: Se inhabilita el historial de búsqueda.

    • Inhabilitar y borrar: Inhabilita el historial de búsqueda y borra el historial de búsqueda guardado.

  5. Si inhabilitaste el historial de búsqueda, puedes volver a habilitarlo haciendo clic en Habilitar el historial de búsquedas.

  6. Haz clic en Cerrar para salir del Administrador de búsqueda.

Compartir una búsqueda

Las búsquedas compartidas le permiten compartir búsquedas con el resto de su equipo. En la pestaña Guardados, puedes compartir o borrar búsquedas. También puedes filtrar tus búsquedas haciendo clic en el ícono de filtro junto a la barra de búsqueda y ordenarlas por Mostrar todo, Definidas por Google SecOps, Creado por mí o Compartido.

No puedes editar una búsqueda compartida que no sea tuya.

  1. Haz clic en Guardado.
  2. Haz clic en la búsqueda que quieres compartir.
  3. Haz clic en en el lado derecho de la búsqueda. Aparecerá un cuadro de diálogo con la opción de compartir la búsqueda.
  4. Haz clic en Compartir con la organización.
  5. Aparecerá un diálogo que indica que las personas de tu organización podrán ver la opción Compartir búsqueda. ¿Confirmas que quieres compartirlo? Haz clic en Compartir

Si quieres que solo tú puedas ver la búsqueda, haz clic en y, luego, en Dejar de compartir. Si dejas de compartir, solo tú podrás usar esta búsqueda.

¿Qué sigue?

Para obtener información sobre cómo usar datos enriquecidos en contexto en la Búsqueda de UDM, consulta Usa datos enriquecidos para UDM.