Pesquisa de UDM

A função de pesquisa UDM permite encontrar eventos e alertas do modelo de dados unificado (UDM, na sigla em inglês) na sua instância do Google Security Operations. A pesquisa UDM inclui várias opções que ajudam você a navegar pelos dados do UDM. É possível pesquisar eventos de UDM individuais e grupos de eventos de UDM vinculados a termos de pesquisa compartilhados.

Em sistemas que usam o RBAC de dados, é possível ver apenas os dados que correspondem aos seus escopos. Para mais informações, consulte Impacto do RBAC de dados na Pesquisa.

Para os clientes das Operações de segurança do Google, os alertas também podem ser processados por connectors e webhooks. Você também pode usar a pesquisa UDM para encontrar esses alertas.

Para mais informações sobre o UDM, consulte Formatar dados de registro como UDM e Lista de campos do modelo de dados unificado.

Para acessar a pesquisa UDM do Google Security Operations, clique em Search na barra de navegação. Você também pode acessar a pesquisa UDM digitando um campo UDM válido em qualquer campo de pesquisa nas Operações de segurança do Google e pressionando CTRL+Enter.

Para uma lista de todos os campos de UDM válidos, consulte a Lista de campos do modelo de dados unificado.

Pesquisa de UDM

Figura 1. pesquisa do UDM

Pesquisa de UDM em branco

Figura 2. a janela de pesquisa do UDM que é aberta pressionando CTRL+Enter.

Conclua as etapas a seguir para inserir uma pesquisa do UDM no campo Pesquisa do UDM. Quando você terminar de digitar uma pesquisa UDM, clique em Executar pesquisa. A interface do usuário do Google Security Operations permite que você insira apenas uma expressão de pesquisa UDM válida. Você também pode ajustar o intervalo de dados a ser pesquisado abrindo a janela de período.

Se a pesquisa for muito ampla, o Google Security Operations retornará uma mensagem de aviso indicando que não é possível exibir todos os resultados da pesquisa. Reduza o escopo da pesquisa e execute-a novamente. Quando uma pesquisa é muito ampla, as Operações de segurança do Google retornam os resultados mais recentes até o limite de pesquisa (um milhão de eventos e mil alertas). É possível que haja muito mais eventos e alertas correspondentes, mas que não estão sendo exibidos no momento. Lembre-se disso ao analisar os resultados. O Google recomenda que você aplique filtros adicionais e execute a pesquisa original até ficar abaixo do limite. Em vez disso, aplique outros filtros e execute a pesquisa original novamente até ficar abaixo do limite.

Data e execução da pesquisa

Figura 3. Fazer a pesquisa

As consultas de UDM são baseadas em campos do UDM, que estão todos na lista de campos do Modelo de dados unificado. Também é possível visualizar campos UDM no contexto de pesquisas usando os filtros ou a pesquisa de registro bruto.

  1. Para pesquisar eventos, digite um nome de campo de UDM. A interface do usuário inclui preenchimento automático e exibe campos de UDM válidos com base no que você inseriu.

  2. Depois de inserir um campo de UDM válido, selecione um operador válido. A interface do usuário exibe os operadores válidos disponíveis com base no campo do UDM inserido. Os seguintes operadores são aceitos:

    • <, >
    • <=, >=
    • =, !=
    • nocase: compatível com strings

  3. Depois de inserir um operador e um campo de UDM válidos, insira os dados de registro correspondentes que você está procurando. Há suporte para os seguintes tipos de dados:

    • Valores enumerados:a interface do usuário exibe uma lista de valores enumerados válidos para um determinado campo de UDM.

      Por exemplo (use aspas duplas e todas em maiúsculas): metadata.event_type = "NETWORK_CONNECTION"

    • Valores adicionais: é possível usar "field[key] = value" para pesquisar outros campos e marcadores para eventos.

      Por exemplo: additional.fields["key"]="value"

    • Bools:use true ou false. Todos os caracteres diferenciam maiúsculas de minúsculas, e a palavra-chave não pode ficar entre aspas.

      Por exemplo: network.dns.response = true

    • Números inteiros

      Por exemplo: target.port = 443

    • Pontos flutuantes:para campos de UDM do tipo float, insira um pontuação flutuante, como 3.1. Também é possível inserir um número inteiro, como 3, que é o equivalente a inserir 3.0.

      Por exemplo: security_result.about.asset.vulnerabilities.cvss_base_score = 3.1 ou security_result.about.asset.vulnerabilities.cvss_base_score = 3

    • Expressões regulares: (a expressão regular precisa estar entre barras (/)).

      Por exemplo: principal.ip = /10.*/

      Para mais informações sobre expressões regulares, consulte a página de expressões regulares.

    • Strings

      Por exemplo (é preciso usar aspas duplas): metadata.product_name = "Google Cloud VPC Flow Logs"

  4. Você pode usar o operador nocase para pesquisar qualquer combinação de versões em letras maiúsculas e minúsculas de uma determinada string:

    • principal.hostname != "http-server" nocase
    • principal.hostname = "JDoe" nocase
    • principal.hostname = /dns-server-[0-9]+/ nocase

  5. Barras invertidas e aspas duplas nas strings precisam ser escapadas usando um caractere de barra invertida. Exemplo:

    • principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
    • target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""

  6. Você pode usar expressões booleanas para restringir ainda mais o possível intervalo de dados exibidos. Os exemplos a seguir ilustram alguns tipos de expressões booleanas compatíveis (é possível usar os operadores booleanos AND, OR e NOT):

    • A AND B
    • A OR B
    • (A OR B) AND (B OR C) AND (C OR NOT D)

    Os exemplos a seguir ilustram como a sintaxe real pode aparecer:

    Eventos de login no servidor de finanças: 

    metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"

    Exemplo de uso de uma expressão regular para pesquisar a execução da ferramenta psexec.exe no Windows. 

    target.process.command_line = /\bpsexec(.exe)?\b/ nocase

    Exemplo de uso do operador "mais que" (>) para pesquisar conexões com mais de 10 MB de dados enviados. 

    metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000

    Exemplo de uso de várias condições para pesquisar o Winword iniciando cmd.exe ou powershell.exe. 

        metadata.event_type = "PROCESS_LAUNCH" and
    principal.process.file.full_path = /winword/ and
    (target.process.file.full_path = /cmd.exe/ or
    target.process.file.full_path = /powershell.exe/)

  7. Também é possível usar a pesquisa UDM para pesquisar pares de chave-valor específicos nos campos "Extra" e "Rótulo".

    Os campos Adicional e Rótulo são usados como um "pega tudo" personalizável para dados de eventos que não se encaixam em um campo de UDM padrão. Os campos adicionais podem conter vários pares de chave-valor. Os campos de rótulo só podem conter um par de chave-valor. No entanto, cada instância do campo contém somente uma chave e um valor. A chave precisa estar dentro dos colchetes e o valor precisa estar no lado direito.

    Os exemplos a seguir mostram como pesquisar eventos que contenham pares de chave-valor especificados: 

        additional.fields["pod_name"] = "kube-scheduler"
    metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"
    O exemplo a seguir mostra como usar o operador AND com as pesquisas de par de chave-valor: 
        additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"

    Você pode usar a seguinte sintaxe para pesquisar todos os eventos que contêm a chave especificada (independentemente do valor) 

        additional.fields["pod_name"] != ""
    Você também pode usar expressões regulares e o operador nocase: 
        additional.fields["pod_name"] = /br/
    additional.fields["pod_name"] = bar nocase

  8. Também é possível usar comentários em bloco e de linha única.

    O exemplo a seguir mostra como usar um comentário em bloco: 

        additional.fields["pod_name"] = "kube-scheduler"
    /*
    Block comments can span
    multiple lines.
    */
    AND additional.fields["pod_name1"] = "kube-scheduler1"

    O exemplo abaixo mostra como usar um comentário de linha única: 

        additional.fields["pod_name"] != "" // my single-line comment

  9. Clique em Executar pesquisa para fazer a pesquisa de UDM e mostrar os resultados.

  10. Os eventos são exibidos na página Pesquisa do UDM na tabela da linha do tempo de eventos. É possível restringir ainda mais os resultados adicionando outros campos UDM manualmente ou usando a interface.

Pesquisar campos agrupados

Os campos agrupados são aliases de grupos de campos UDM relacionados. É possível usá-los para consultar vários campos do UDM ao mesmo tempo, sem digitar cada campo individualmente.

O exemplo a seguir mostra como inserir uma consulta para corresponder aos campos de UDM comuns que podem conter o endereço IP especificado: 

    ip = "1.2.3.4"

Para fazer a correspondência de um campo agrupado, use uma expressão regular e o operador nocase. Também há suporte para listas de referência. Os campos agrupados também podem ser usados com campos UDM normais, como mostrado no exemplo a seguir: 

    ip = "5.6.7.8" AND metadata.event_type = "NETWORK_CONNECTION"

Os campos agrupados têm uma seção separada nos Filtros rápidos.

Tipos de campos UDM agrupados

É possível pesquisar em todos os seguintes campos de UDM agrupados:

Nome do campo agrupado Campos de UDM associados
domínio sobre.admin_domain
about.asset.network_domain
network.dns.questions.name
network.dns_domain
principal.dominio_administrativo
principal.asset.network_domain
target.dominio_administrativo
target.asset.hostname
target.asset.network_domain
target.hostname
email intermediary.user.email_address
network.email.from
network.email.to
principal.user.email_address
security_result.about.user.email_address
file_path principal.file.full_path
principal.process.file.full_path
principal.process.parent_process.file.full_path
target.file.full_path
target.process.file.full_path
target.process.parent_process.file.full_path
jogo da velha about.file.md5
about.file.sha1
about.file.sha256
principal.process.file.md5
principal.process.file.sha1
principal.process.file.sha256
security_result.about.file.sha256
target.file.sha256
target.file.sha256
target.file.sha256
nome do host intermediary.hostname
observer.hostname
principal.asset.hostname
principal.hostname
src.asset.hostname
src.hostname
target.asset.hostname
target.hostname
ip intermediário.ip
observer.ip
principal.artifact.ip
principal.asset.ip
principal.ip
src.artifact.ip
src.asset.ip
src.ip
target.artifact.ip
target.asset.ip
target.ip
namespace principal.namespace
src.namespace
target.namespace
process_id principal.process.parent_process.pid
principal.process.parent_process.product_specific_process_id
principal.process.pid
principal.process.product_specific_process_id
target.process.parent_process.product_specific_process_id
target.process.pid
usuário about.user.userid
observer.user.userid
principal.user.user_display_name
principal.user.userid
principal.user.windows_sid
src.user.userid
target.user.user_display_name
target.user.userid
target.user.windows_sid

Encontrar um campo de UDM para a consulta de pesquisa

Ao escrever uma consulta de pesquisa do UDM, talvez você não saiba qual campo de UDM incluir. A Pesquisa UDM permite encontrar rapidamente um nome de campo do UDM que contenha uma string de texto no nome ou que armazene um valor de string específico. Ele não é usado para pesquisar outros tipos de dados, como bytes, booleanos ou numéricos. Selecione um ou mais resultados retornados pela pesquisa do UDM como ponto de partida para uma consulta de pesquisa do UDM.

Para usar a pesquisa UDM, faça o seguinte:

  1. Na página Pesquisa de UDM, insira uma string de texto no campo Pesquisar campos de UDM por valor e clique em Pesquisa de UDM.

  2. Na caixa de diálogo Pesquisa de UDM, selecione uma ou mais das seguintes opções para especificar o escopo de dados a serem pesquisados:

    • Campos UDM: pesquise texto em nomes de campos do UDM, por exemplo, network.dns.questions.name ou principal.ip.
    • Valores: pesquise texto nos valores atribuídos aos campos do UDM, como dns ou google.com.

  3. Insira ou modifique a string no campo de pesquisa. Conforme você digita, os resultados da pesquisa aparecem na caixa de diálogo.

    Os resultados serão um pouco diferentes quando você pesquisar em Campos UDM em comparação com Valores. Ao pesquisar texto em Valores, os resultados aparecem da seguinte forma:

    • Se a string for encontrada no início ou no fim do valor, ela será destacada no resultado, com o nome do campo do UDM e a hora em que o registro foi ingerido.
    • Se a string de texto for encontrada em outro lugar no valor, o resultado exibirá o nome do campo do UDM e o texto Possível correspondência de valor.

    Pesquisar nos valores

    Pesquisar valores na pesquisa UDM

    • Ao pesquisar uma string de texto em nomes de campo do UDM, a pesquisa do UDM retorna uma correspondência exata encontrada em qualquer local no nome.

    Pesquisar nos campos do UDM

    Pesquisar nos campos do UDM da pesquisa do UDM

  4. Na lista de resultados, faça o seguinte:

    • Clique no nome de um campo do UDM para conferir a descrição dele.

    • Selecione um ou mais resultados clicando na caixa de seleção à esquerda do nome de cada campo do UDM.

    • Clique no botão Redefinir para desmarcar todos os campos selecionados na lista de resultados.

  5. Para anexar os resultados selecionados ao campo Pesquisa UDM, clique no botão Anexar à pesquisa.

    Você também pode copiar o resultado selecionado usando o botão Copiar UDM, fechar a caixa de diálogo Pesquisa UDM e colar a string de consulta no campo Pesquisa UDM.

    O Google Security Operations converte o resultado selecionado em uma string de consulta de pesquisa de UDM como o nome do campo de UDM ou um par de nome-valor. Se você anexar vários resultados, cada resultado será adicionado ao final de uma consulta no campo de pesquisa do UDM usando o operador OR.

    A string de consulta anexada é diferente, dependendo do tipo de correspondência retornado pela pesquisa de UDM.

    • Se o resultado corresponder a uma string de texto em um nome de campo do UDM, o nome completo do campo do UDM será anexado à consulta. Veja um exemplo abaixo.

      principal.artifact.network.dhcp.client_hostname

    • Se o resultado corresponder a uma string de texto no início ou no fim de um valor, o par nome-valor conterá o nome do campo do UDM e o valor completo no resultado. Confira alguns exemplos:

      metadata.log_type = "PCAP_DNS"

      network.dns.answers.name = "dns-A901F3j.hat.example.com"

    • Se o resultado incluir o texto Possível correspondência de valor, o par de nome-valor conterá o nome do campo do UDM e uma expressão regular contendo o termo de pesquisa. Veja um exemplo abaixo.

      principal.process.file.full_path = /google/ NOCASE

  6. Edite a consulta de pesquisa do UDM para corresponder ao seu caso de uso. A string de consulta gerada pela pesquisa do UDM é um ponto de partida para escrever uma consulta de pesquisa do UDM completa.

Resumo do comportamento de pesquisa de UDM

Esta seção fornece mais detalhes sobre os recursos de pesquisa do UDM.

  • Dados de pesquisas de UDM Lookup ingeridos após 10 de agosto de 2023. Os dados ingeridos antes disso não são pesquisados. Ela retorna resultados encontrados em campos de UDM não enriquecidos. Ele não retorna correspondências para campos enriquecidos. Para mais informações sobre campos aprimorados e não enriquecidos, consulte Visualizar eventos no Visualizador de eventos.
  • As pesquisas que utilizam UDM não diferenciam maiúsculas de minúsculas. O termo hostname retorna o mesmo resultado que HostName.
  • Os hifens (-) e os sublinhados (_) em uma string de texto de consulta são ignorados ao pesquisar Valores. As strings de texto dns-l e dnsl retornam o valor dns-l.

  • Ao pesquisar Valores, a Pesquisa de UDM não retorna correspondências nos seguintes casos:

    Correspondências nos seguintes campos de UDM:
    • metadata.product_log_id
    • network.session_id
    • security_result.rule_id
    • network.parent_session_id
    Correspondências em campos UDM com um caminho completo que termina em um dos seguintes valores:
    • .pid
      Por exemplo, target.process.pid.
    • .asset_id
      Por exemplo, principal.asset_id.
    • .product_specific_process_id
      Por exemplo, principal.process.product_specific_process_id.
    • .resource.id
      Por exemplo, principal.resource.id.

  • Ao pesquisar Valores, a Pesquisa UDM exibe a mensagem Possível correspondência de valor no resultado quando uma correspondência é encontrada nos seguintes casos:

    Correspondências nos seguintes campos de UDM:
    • metadata.description
    • security_result.description
    • security_result.detection_fields.value
    • security_result.summary
    • network.http.user_agent
    Corresponde a campos com um caminho completo que termina em um dos seguintes valores:
    • .command_line
      Por exemplo, principal.process.command_line.
    • .file.full_path
      Por exemplo, principal.process.file.full_path.
    • .labels.value
      Por exemplo, src.labels.value.
    • .registry.registry_key
      Por exemplo, principal.registry.registry_key.
    • .url
      Por exemplo, principal.url.
    Corresponde a campos com um caminho completo que começa com os seguintes valores: additional.fields.value.
    Por exemplo, additional.fields.value.null_value.

Para isso, clique na guia Alertas à direita da guia Eventos, no canto superior direito da página Pesquisa do UDM.

Como os alertas são exibidos

O Google Security Operations avalia os eventos retornados na pesquisa do UDM em relação aos eventos existentes para alertas no ambiente do cliente. Quando um evento de consulta de pesquisa corresponde a um evento presente em um alerta, ele é exibido na linha do tempo do alerta e na tabela de alertas resultante.

Definição de eventos e alertas

Um evento é gerado a partir de uma origem de registro bruta que é ingerida pelas Google Security Operations e processada pelo processo de ingestão e normalização desse serviço. Vários eventos podem ser gerados a partir de um único registro de origem de registro bruto. Um evento representa um conjunto de pontos de dados relevantes para a segurança que são gerados a partir desse registro bruto.

Em uma pesquisa UDM, um alerta é definido como uma detecção de regra YARA-L com alertas ativados. Consulte como executar uma regra contra dados ativos para saber mais.

Outras fontes de dados podem ser ingeridas pelas operações de segurança do Google como alertas, por exemplo, dos alertas Crowdstrike Falcon. Esses alertas não aparecem na pesquisa do UDM, a menos que sejam processados pelo Mecanismo de detecção de operações de segurança do Google como uma regra YARA-L.

Os eventos associados a um ou mais alertas são marcados com um ícone de alerta na linha do tempo de eventos. Se houver vários alertas associados à linha do tempo, o ícone exibirá o número de alertas associados.

A linha do tempo exibe os 1.000 alertas mais recentes recuperados dos resultados da pesquisa. Quando o limite de mil é atingido, nenhum outro alerta é recuperado. Para garantir que você veja todos os resultados relevantes para sua pesquisa, refine a pesquisa com filtros.

Como investigar um alerta

Se quiser saber como usar o gráfico de alertas e os Detalhes do alerta para investigar um alerta, siga as etapas em Investigar um alerta.

Use listas de referência em pesquisas de UDM

O processo para aplicar listas de referência em Regras também pode ser usado na pesquisa. Até sete listas podem ser incluídas em uma única consulta de pesquisa. Todos os tipos de listas de referência (string, expressão regular, CIDR) são compatíveis.

É possível criar listas com qualquer variável que quiser rastrear. Por exemplo, você pode criar uma lista de endereços IP suspeitos: 

// Field value exists in reference list
principal.ip IN %suspicious_ips

E você pode usar várias listas com AND ou OR:

// multiple lists can be used with AND or OR
principal.ip IN %suspicious_ips AND
principal.hostname IN %suspicious_hostnames

Refinar os resultados da pesquisa

É possível usar a interface do usuário da pesquisa UDM para filtrar e refinar resultados como uma alternativa à modificação da pesquisa UDM e à nova execução.

Gráfico de linhas do tempo

O gráfico de linhas do tempo oferece uma representação gráfica do número de eventos e alertas que ocorrem a cada dia e que são exibidos pela pesquisa atual do UDM. Os eventos e alertas são mostrados no mesmo gráfico de linha do tempo, que está disponível nas guias Eventos e Alertas.

A largura de cada barra depende do intervalo de tempo pesquisado. Por exemplo, cada barra representa 10 minutos quando a pesquisa abrange 24 horas de dados. Esse gráfico é atualizado dinamicamente conforme você modifica a pesquisa UDM atual.

Ajuste de período

Ajuste o intervalo de tempo do gráfico movendo os controles deslizantes brancos para a esquerda e direita, ajustando o intervalo de tempo e se concentre no período de interesse. À medida que você ajusta o período, as tabelas "Campos", "Valores" e "Eventos" do UDM são atualizadas para refletir a seleção atual. Você também pode clicar em uma única barra no gráfico para listar apenas os eventos desse período.

Depois que você ajustar o período, as caixas de seleção Eventos filtrados e Eventos de consulta serão exibidas, permitindo limitar ainda mais os tipos de eventos exibidos.

Gráfico de linha do tempo de eventos com controles de período

Figura 4. Gráfico de linha do tempo de eventos com controles de período

Modificar a pesquisa de UDM com filtros rápidos

Com os filtros rápidos, é possível restringir ainda mais sua pesquisa de UDM. Você pode rolar pela lista de campos do UDM ou pesquisar campos ou valores específicos do UDM usando o campo "Pesquisar". Os campos do UDM listados aqui estão associados às listas de eventos geradas pela sua pesquisa do UDM. Cada campo do UDM inclui o número de eventos na sua pesquisa do UDM atual que também incluem esse dado. A lista de campos de UDM exibe o número exclusivo total de valores dentro de um campo. Esse recurso permite encontrar tipos específicos de dados de registro que possam ser ainda mais interessantes.

Os campos do UDM são listados na seguinte ordem:

  1. Campos com as contagens mais altas de eventos para as contagens mais baixas de eventos.
  2. Campos com apenas um valor são sempre os últimos.
  3. Os campos com o mesmo total de eventos estão em ordem alfabética de A a Z.

Filtros rápidos

Figura 5. filtros rápidos

Modificar um Filtro rápido

Se você selecionar um valor de campo de UDM na lista "Filtros rápidos" e clicar no ícone de menu, terá a opção de Mostrar apenas eventos que também incluem o valor do campo de UDM ou Filtrar o valor desse campo. Se o campo de UDM armazenar valores inteiros (exemplo: target.port), você também verá opções para filtrar por <,>,<=,>=. As opções de filtro reduzem a lista de eventos exibidos.

Também é possível fixar campos (usando o ícone de fixação) no Filtro rápido para salvá-los como favoritos. Eles aparecem na parte superior da lista "Filtros rápidos".

Apenas mostrar

Figura 6. Exemplo: selecionar "Mostrar apenas"

Esses filtros adicionais de UDM também são adicionados ao campo de eventos de filtro. O campo de eventos de filtro ajuda a acompanhar os campos adicionais do UDM que você adicionou à pesquisa do UDM. Também é possível remover rapidamente esses campos adicionais de UDM, conforme necessário.

Filtrar eventos

Figura 7. filtrar eventos

Se você clicar no ícone do menu "Filtrar eventos" ou em Adicionar filtro à esquerda, será aberta uma janela para você selecionar outros campos de UDM.

Janela &quot;Filtrar eventos&quot;

Figura 8. Filtrar janela de eventos

Quando você clica em APLICAR na pesquisa e execução, os campos de UDM são adicionados ao campo "Filtrar eventos", e os eventos exibidos são filtrados com base nesses filtros adicionais. Também é possível clicar em Apply to Search and Run para adicioná-las ao campo principal de pesquisa do UDM, na parte de cima da página. A pesquisa é executada de novo automaticamente usando os mesmos parâmetros de data e hora. O Google recomenda restringir o máximo possível sua pesquisa antes de clicar em APLICAR na pesquisa e execução. Isso aumenta a precisão e reduz o tempo de pesquisa.

Mostrar eventos na tabela "Eventos"

Todos esses filtros e controles atualizam a lista de eventos exibida na tabela "Eventos". Clique em qualquer um dos eventos listados para abrir o Visualizador de registros, onde é possível examinar o registro bruto e o registro UDM desse evento. Se você clicar no carimbo de data/hora de um evento, também poderá navegar para a visualização "Recurso", "Endereço IP", "Domínio", "Hash" ou "Usuário" associado. Você também pode usar o campo de pesquisa na parte superior da tabela para encontrar um evento específico.

Conferir alertas na tabela "Alertas"

Para visualizar os alertas, clique na guia Alertas no lado direito da guia Eventos. Use os filtros rápidos para classificar os alertas por:

  • Caso
  • Nome
  • Prioridade
  • Gravidade
  • Status
  • Veredito

Isso ajuda você a se concentrar nos alertas mais importantes.

Os alertas são exibidos no mesmo período em que os eventos estão na guia "Eventos". Isso ajuda a ver a conexão entre eventos e alertas.

Se quiser saber mais sobre um alerta específico, clique nele para abrir uma página de detalhes com informações mais detalhadas.

Visualizar eventos no Visualizador de eventos

Se você mantiver o ponteiro sobre um evento na tabela "Eventos", o ícone "Abrir o visualizador de eventos" aparecerá à direita do evento destacado. Clique nele para abrir o Visualizador de eventos.

A janela "Registro bruto" exibe o sinal bruto original em um dos seguintes formatos:

  • Dados
  • JSON
  • XML
  • CSV
  • Hex/ASCII

A janela UDM exibe o registro de UDM estruturado. Você pode manter o ponteiro do mouse sobre qualquer um dos campos do UDM para ver a definição do UDM. Marque a caixa de seleção dos campos de UDM para ter mais opções:

  • Você pode copiar o registro UDM. Selecione um ou mais campos de UDM e selecione a opção Copy UDM no menu suspenso View Actions. Os campos e os valores do UDM são copiados para a área de transferência do sistema.

  • Para adicionar os campos de UDM como colunas na tabela "Eventos", selecione a opção Adicionar colunas no menu suspenso Ver ações.

Cada campo do UDM é rotulado com um ícone que indica se ele contém dados enriquecidos ou não. Os rótulos dos ícones são os seguintes:

Figura 9. Campos de UDM no Visualizador de eventos

Use a opção Colunas para ajustar quais colunas de informações são exibidas na tabela "Eventos". O menu Colunas é exibido. As opções disponíveis variam de acordo com os tipos de eventos retornados pela pesquisa do UDM.

Você pode salvar o conjunto de colunas selecionado aqui clicando em Salvar. Atribua um nome ao conjunto de colunas selecionadas e clique em Salvar novamente. Para carregar um conjunto de colunas salvas, clique em Carregar e selecione o conjunto de colunas salvas na lista.

Também é possível fazer o download dos eventos exibidos clicando no menu de três pontos e selecionando Fazer o download como CSV. Isso fará o download de todos os resultados da pesquisa até um milhão de eventos. A interface do usuário vai indicar o número de eventos para download.

Colunas de pesquisa do UDM

Figura 10. colunas de pesquisa do UDM

Usar a tabela dinâmica para analisar eventos

A tabela dinâmica permite analisar eventos usando expressões e funções em relação aos resultados da pesquisa do UDM.

Conclua as etapas a seguir para abrir e configurar a tabela dinâmica:

  1. Faça uma pesquisa UDM.

  2. Clique na guia Pivot para abrir a tabela dinâmica.

  3. Especifique um valor de Agrupar por para agrupar os eventos por um campo de UDM específico. Você pode exibir os resultados usando a capitalização padrão ou somente as letras minúsculas selecionando letras minúsculas no menu. Essa opção está disponível apenas para campos de string. É possível especificar até cinco valores de Agrupar por clicando em Adicionar campo.

    Se o valor de Agrupar por for um dos campos do nome do host, você terá outras opções de transformação:

    • Domínio de nível N superior: escolha o nível do domínio que será exibido. Por exemplo, o uso de um valor 1 exibe apenas o domínio de nível superior (como com, gov ou edu). O uso de um valor de 3 exibe os próximos dois níveis dos nomes de domínio (como google.co.uk).
    • Get Registered Domain: mostra apenas o nome de domínio registrado (como google.com, nytimes.com e youtube.com).

    Se o valor de Agrupar por for um dos campos de IP, você terá outras opções de transformação:

    • Tamanho do prefixo CIDR(IP) CIDR em bits: é possível especificar de 1 a 32 para endereços IPv4. Para endereços IPv6, é possível especificar valores de até 128.

    Se o valor de Agrupar por incluir um carimbo de data/hora, você terá outras opções de transformação:

    • (Tempo) Resolução em milissegundos
    • (Tempo) Resolução em segundos
    • (Tempo) Resolução em minutos
    • (Tempo) Resolução em horas
    • (Tempo) Resolução em dias

  4. Especifique um valor para sua tabela dinâmica na lista de campos em seus resultados. É possível especificar até cinco valores. Depois de especificar um campo, selecione a opção Resumir. Você pode resumir com as seguintes opções:

    • ponderada
    • count
    • contar diferentes
    • média
    • stddev
    • min
    • max

    Especifique um valor de Contagem de eventos para retornar simplesmente o número de eventos identificados para essa pesquisa de UDM e Tabela dinâmica específicos.

    As opções Resumir não são universalmente compatíveis com os campos Agrupar por. Por exemplo, as opções sum, average, stddev, min e max só podem ser aplicadas a campos numéricos. Se você tentar associar uma opção Resumir incompatível a um campo Agrupar por, vai receber uma mensagem de erro.

  5. Especifique um ou mais campos de UDM e selecione uma ou mais classificações usando a opção Ordenar por.

  6. Clique em Aplicar quando tudo estiver pronto. Os resultados são exibidos na tabela dinâmica.

  7. (Opcional) Para fazer o download da tabela dinâmica, clique em e selecione Fazer o download como CSV. Se você não tiver selecionado uma tabela dinâmica, esta opção estará desativada.

Fazer uma pesquisa em pesquisas rápidas

  1. Clique em Pesquisas rápidas para abrir a janela "Pesquisas rápidas". Essa janela exibe as pesquisas salvas e o histórico de pesquisas.

  2. Clique em qualquer uma das pesquisas listadas para carregá-la no campo de pesquisa do UDM.

  3. Clique em Executar pesquisa quando estiver tudo pronto.

As pesquisas listadas são salvas na sua conta de Operações de segurança do Google. Se você precisar modificar alguma pesquisa salva (por exemplo, renomear uma pesquisa existente), excluir pesquisas salvas ou excluir pesquisas do histórico de pesquisa, abra o Gerenciador de pesquisa clicando em Ver todas as pesquisas.

Visão geral das pesquisas salvas e do histórico de pesquisa

Use o Gerenciador de pesquisa para recuperar pesquisas salvas e ver seu histórico de pesquisa clicando em Gerenciador de pesquisa. As pesquisas salvas e o histórico de pesquisa são armazenados na sua conta das Operações de segurança do Google. As pesquisas salvas e o histórico de pesquisa só podem ser vistos e acessados pelo usuário individual, a menos que você use o recurso Compartilhar uma pesquisa para compartilhar a pesquisa com sua organização. Selecione uma pesquisa salva para conferir mais informações, incluindo o título e a descrição.

Para salvar uma pesquisa:

  1. Na página de pesquisa do UDM, clique em Salvar para salvar sua pesquisa do UDM para mais tarde. O Gerenciador de pesquisa será aberto. O Google recomenda que a pesquisa salva tenha um nome significativo e uma descrição em texto simples do que você está procurando. Também é possível criar uma nova pesquisa de UDM no Gerenciador de pesquisa clicando em . As ferramentas padrão de edição e conclusão do UDM também estão disponíveis aqui.

  2. (Opcional) Especifique as variáveis de marcador de posição no formato ${<variable name>}, usando o mesmo formato usado para variáveis em YARA-L. Se você adicionar uma variável a uma pesquisa UDM, também precisará incluir um comando para ajudar o usuário a entender quais informações ele precisa inserir antes de fazer a pesquisa. Todas as variáveis precisam ser preenchidas com valores antes da execução de uma pesquisa.

    Por exemplo, você pode adicionar metadata.vendor_name = ${vendor_name} à sua pesquisa de UDM. Para ${vendor_name}, é necessário adicionar um comando para futuros usuários, como "Insira o nome do fornecedor para sua pesquisa". Sempre que um usuário carregar essa pesquisa no futuro, ele terá que inserir o nome do fornecedor para poder executá-la.

  3. Clique em Salvar edições quando terminar.

  4. Para acessar as pesquisas salvas, clique em Gerenciador de pesquisa e depois na guia Salvas.

Para recuperar e executar uma pesquisa salva:

  1. No Gerenciador de pesquisa, clique na guia Salvos.

  2. Selecione uma pesquisa salva na lista. Essas pesquisas salvas são salvas na sua conta das Operações de segurança do Google. Para excluir uma pesquisa, clique em e selecione Excluir pesquisa.

  3. É possível mudar o nome e a descrição da pesquisa. Clique em Salvar edições quando terminar.

  4. Clique em Load Search. A pesquisa é carregada no campo principal de pesquisa do UDM.

  5. Clique em Executar pesquisa para ver os eventos associados a ela.

Recuperar uma pesquisa do seu histórico

Para recuperar e realizar uma pesquisa do seu histórico:

  1. No Gerenciador de pesquisa, clique em Histórico.

  2. Selecione uma pesquisa no histórico. O histórico de pesquisa é salvo na sua conta das Operações de segurança do Google. Para excluir uma pesquisa, clique em

  3. Clique em Load Search. A pesquisa é carregada no campo principal de pesquisa do UDM.

  4. Clique em Executar pesquisa para ver os eventos associados a ela.

Limpar, desativar ou ativar o histórico de pesquisa

Para limpar, desativar ou ativar o histórico de pesquisa:

  1. No Gerenciador de pesquisa, clique na guia Histórico.

  2. Clique em .

  3. Selecione Limpar histórico para limpar o histórico de pesquisa.

  4. Clique em Desativar histórico para desativar o histórico de pesquisa. Você tem as seguintes opções:

    • Somente desativar: desative o histórico de pesquisa.

    • Desativar e limpar: desative o histórico de pesquisa e exclua o histórico de pesquisa salvo.

  5. Se você desativou o histórico de pesquisa anteriormente, ative-o novamente clicando em Ativar histórico de pesquisa.

  6. Clique em Fechar para sair do Gerenciador de pesquisa.

Compartilhar uma pesquisa

As pesquisas compartilhadas permitem que você compartilhe pesquisas com o restante da sua equipe. Na guia Salvos, você pode compartilhar ou excluir pesquisas. Também é possível filtrar suas pesquisas clicando no ícone de filtro ao lado da barra de pesquisa e ordenando as buscas por Mostrar tudo, Definido pelo Google SecOps, Criado por mim ou Compartilhado.

Não é possível editar uma pesquisa compartilhada que não seja sua.

  1. Clique em Salvos.
  2. Clique na pesquisa que você quer compartilhar.
  3. Clique em no lado direito da pesquisa. Uma caixa de diálogo com a opção de compartilhar sua pesquisa é exibida.
  4. Clique em Share With Your Organization.
  5. Será exibida uma caixa de diálogo informando que o compartilhamento da sua pesquisa ficará visível para as pessoas na sua organização. Você quer mesmo compartilhar? Clique em Compartilhar.

Se você quiser que a pesquisa fique visível apenas para você, clique em e em Parar compartilhamento. Se interromper o compartilhamento, só você vai poder usar essa pesquisa.

A seguir

Para saber como usar dados enriquecidos com contexto na pesquisa do UDM, consulte Usar dados enriquecidos pelo contexto na pesquisa do UDM.