Pesquisa do UDM

Compatível com:

A função de pesquisa do UDM permite encontrar eventos e alertas do modelo de dados unificado (UDM, na sigla em inglês) na sua instância do Google Security Operations. A pesquisa da UDM inclui várias opções de pesquisa que ajudam você a navegar pelos dados da UDM. É possível pesquisar eventos individuais e grupos de eventos da UDM vinculados a termos de pesquisa compartilhados.

Em sistemas que usam o RBAC de dados, só é possível acessar dados que correspondem aos seus escopos. Para mais informações, consulte Impacto do RBAC de dados na Pesquisa.

Para clientes do Google Security Operations, os alertas também podem ser processados por conectores e webhooks. Você também pode usar a pesquisa do UDM para encontrar esses alertas.

Para mais informações sobre o UDM, consulte Formatar dados de registro como UDM e Lista de campos do modelo de dados unificado.

Para acessar a pesquisa de UDM do Google Security Operations, clique em Pesquisar na barra de navegação. Você também pode acessar a pesquisa UDM inserindo um campo válido de UDM em qualquer campo de pesquisa no Google Security Operations e pressionando CTRL + Enter.

Para conferir uma lista de todos os campos válidos do UDM, consulte Lista de campos do modelo de dados unificado.

Pesquisa do UDM

Figura 1. Pesquisa do UDM

Pesquisa em branco do UDM

Figura 2. Janela de pesquisa do UDM que é aberta com CTRL+Enter

Siga as etapas abaixo para inserir uma pesquisa de UDM no campo Pesquisa de UDM. Quando terminar de inserir uma pesquisa da UDM, clique em Executar pesquisa. A interface do usuário do Google Security Operations permite apenas a entrada de uma expressão de pesquisa válida da UDM. Também é possível ajustar o intervalo de dados para pesquisa abrindo a janela de período.

Se a pesquisa for muito ampla, as Operações de segurança do Google vão retornar uma mensagem de aviso indicando que não é possível mostrar todos os resultados da pesquisa. Reduza o escopo da pesquisa e execute-a novamente. Quando uma pesquisa é muito ampla, o Google Security Operations retorna os resultados mais recentes até o limite de pesquisa (um milhão de eventos e mil alertas). Talvez haja muitos outros eventos e alertas que correspondem, mas não estão sendo mostrados no momento. Tenha isso em mente ao analisar os resultados. O Google recomenda aplicar outros filtros e executar a pesquisa original até que você esteja abaixo do limite.

A página de resultados da pesquisa do UDM mostra os dez mil resultados mais recentes. É possível filtrar e refinar os resultados da pesquisa para mostrar os resultados mais antigos, como uma alternativa para modificar a pesquisa da UDM e executá-la novamente.

Data e pesquisa de execução

Figura 3. Executar pesquisa

As consultas do UDM são baseadas em campos do UDM, que estão todos listados na lista de campos do modelo de dados unificado. Você também pode conferir os campos do UDM no contexto das pesquisas usando filtros ou a pesquisa de registro bruto.

  1. Para pesquisar eventos, insira um nome de campo do UDM no campo de pesquisa. A interface do usuário inclui a conclusão automática e mostra campos UDM válidos com base no que você inseriu.

  2. Depois de inserir um campo válido do UDM, selecione um operador válido. A interface do usuário mostra os operadores válidos disponíveis com base no campo do UDM que você inseriu. Os seguintes operadores são aceitos:

    • <, >
    • <=, >=
    • =, !=
    • nocase: compatível com strings

  3. Depois de inserir um campo e um operador válidos do UDM, insira os dados de registro correspondentes que você está procurando. Os seguintes tipos de dados são aceitos:

    • Valores enumerados:a interface do usuário mostra uma lista de valores enumerados válidos para um determinado campo do UDM.

      Por exemplo (use aspas duplas e letras maiúsculas): metadata.event_type = "NETWORK_CONNECTION"

    • Valores adicionais:use "field[key] = value" para pesquisar campos adicionais e rótulos em eventos.

      Por exemplo: additional.fields["key"]="value"

    • Valores booleanos:use true ou false. Todos os caracteres são sem distinção entre maiúsculas e minúsculas, e a palavra-chave não precisa estar entre aspas.

      Por exemplo: network.dns.response = true

    • Números inteiros

      Por exemplo: target.port = 443

    • Números flutuantes:para campos do UDM do tipo float, insira um valor de ponto flutuante, como 3.1. Também é possível inserir um número inteiro, como 3, que é equivalente a 3.0.

      Por exemplo: security_result.about.asset.vulnerabilities.cvss_base_score = 3.1 ou security_result.about.asset.vulnerabilities.cvss_base_score = 3

    • Expressões regulares:a expressão regular precisa estar entre caracteres de barra (/).

      Por exemplo: principal.ip = /10.*/

      Para mais informações sobre expressões regulares, consulte a página Expressões regulares.

    • Strings

      Por exemplo (é necessário usar aspas duplas): metadata.product_name = "Google Cloud VPC Flow Logs"

  4. Você pode usar o operador nocase para pesquisar qualquer combinação de versões maiúsculas e minúsculas de uma determinada string:

    • principal.hostname != "http-server" nocase
    • principal.hostname = "JDoe" nocase
    • principal.hostname = /dns-server-[0-9]+/ nocase

  5. As barras invertidas e as aspas duplas em strings precisam ser ignoradas usando um caractere de barra invertida. Exemplo:

    • principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
    • target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""

  6. Você pode usar expressões booleanas para restringir ainda mais o possível intervalo de dados exibidos. Os exemplos a seguir ilustram alguns tipos de expressões booleanas compatíveis (os operadores booleanos AND, OR e NOT podem ser usados):

    • A AND B
    • A OR B
    • (A OR B) AND (B OR C) AND (C OR NOT D)

    Os exemplos a seguir ilustram como a sintaxe pode aparecer:

    Eventos de login no servidor de finanças: 

    metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"

    Exemplo de uso de uma expressão regular para pesquisar a execução da ferramenta psexec.exe no Windows. 

    target.process.command_line = /\bpsexec(.exe)?\b/ nocase

    Exemplo de uso do operador "maior que" (>) para pesquisar conexões em que mais de 10 MB de dados foram enviados. 

    metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000

    Exemplo de uso de várias condições para pesquisar o cmd.exe ou o powershell.exe de inicialização do Winword. 

        metadata.event_type = "PROCESS_LAUNCH" and
    principal.process.file.full_path = /winword/ and
    (target.process.file.full_path = /cmd.exe/ or
    target.process.file.full_path = /powershell.exe/)

  7. Também é possível usar a pesquisa da UDM para procurar pares de chave-valor específicos nos campos "Outros" e "Rótulo".

    Os campos "Outros" e "Rótulo" são usados como um "catch-all" personalizável para dados de eventos que não se encaixam em um campo padrão do UDM. Os campos adicionais podem conter vários pares de chave-valor. Os campos de rótulo só podem conter um único par de chave-valor. No entanto, cada instância do campo contém apenas uma chave e um valor. A chave precisa estar dentro dos colchetes, e o valor precisa estar no lado direito.

    Os exemplos a seguir mostram como pesquisar eventos com pares de chave-valor especificados: 

        additional.fields["pod_name"] = "kube-scheduler"
    metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"
     O exemplo a seguir mostra como usar o operador AND com pesquisas de pares de chave-valor: 
        additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"

    Você pode usar a sintaxe a seguir para procurar todos os eventos que contêm a chave especificada (independentemente do valor): 

        additional.fields["pod_name"] != ""
     Também é possível usar expressões regulares e o operador nocase: 
        additional.fields["pod_name"] = /br/
    additional.fields["pod_name"] = bar nocase

  8. Também é possível usar comentários de bloco e de uma linha.

    O exemplo a seguir mostra como usar um comentário de bloco: 

        additional.fields["pod_name"] = "kube-scheduler"
    /*
    Block comments can span
    multiple lines.
    */
    AND additional.fields["pod_name1"] = "kube-scheduler1"

    O exemplo a seguir mostra como usar um comentário de uma linha: 

        additional.fields["pod_name"] != "" // my single-line comment

  9. Clique em Executar pesquisa para executar a pesquisa da UDM e mostrar os resultados.

  10. Os eventos são mostrados na página Pesquisa de UDM na tabela da linha do tempo dos eventos. Para restringir ainda mais os resultados, adicione outros campos de UDM manualmente ou use a interface.

Configurações de pesquisa

É possível definir o número máximo de resultados da pesquisa nas Configurações de pesquisa do UDM. Essas configurações são específicas para cada usuário.

  1. Selecione e clique em Configurações de pesquisa no menu ao lado de Executar pesquisa.

  2. Selecione Número máximo de resultados a serem retornados. As opções são 1K, 10K, 100K, 1M e custom, que podem receber valores entre 1 e 1M. O valor padrão é 1M. As consultas geralmente são executadas mais rapidamente quando você escolhe um tamanho de conjunto de resultados menor.

Pesquisar campos agrupados

Os campos agrupados são aliases para grupos de campos UDM relacionados. Você pode usá-las para consultar vários campos do UDM ao mesmo tempo sem digitar cada campo individualmente.

O exemplo a seguir mostra como inserir uma consulta para corresponder aos campos comuns do UDM que podem conter o endereço IP especificado: 

    ip = "1.2.3.4"

É possível corresponder a um campo agrupado usando uma expressão regular e o operador nocase. As listas de referência também são aceitas. Os campos agrupados também podem ser usados em combinação com campos UDM normais, conforme mostrado no exemplo a seguir: 

    ip = "5.6.7.8" AND metadata.event_type = "NETWORK_CONNECTION"

Os campos agrupados têm uma seção separada em Agregações.

Tipos de campos agrupados do UDM

É possível pesquisar em todos os seguintes campos agrupados do UDM:

Nome do campo agrupado Campos do UDM associados
domínio about.administrative_domain
about.asset.network_domain
network.dns.questions.name
network.dns_domain
principal.administrative_domain
principal.asset.network_domain
target.administrative_domain
target.asset.hostname
target.asset.network_domain
target.hostname
e-mail intermediary.user.email_addresses
network.email.from
network.email.to
principal.user.email_addresses
security_result.about.user.email_addresses
target.user.email_addresses
file_path principal.file.full_path
principal.process.file.full_path
principal.process.parent_process.file.full_path
target.file.full_path
target.process.file.full_path
target.process.parent_process.file.full_path
jogo da velha about.file.md5
about.file.sha1
about.file.sha256
principal.process.file.md5
principal.process.file.sha1
principal.process.file.sha256
security_result.about.file.sha256
target.file.md5
target.file.sha1
target.file.sha256
target.process.file.md5
target.process.file.sha1
target.process.file.sha256
nome do host intermediary.hostname
observer.hostname
principal.asset.hostname
principal.hostname
src.asset.hostname
src.hostname
target.asset.hostname
target.hostname
ip intermediary.ip
observer.ip
principal.artifact.ip
principal.asset.ip
principal.ip
src.artifact.ip
src.asset.ip
src.ip
target.artifact.ip
target.asset.ip
target.ip
namespace principal.namespace
src.namespace
target.namespace
process_id principal.process.parent_process.pid
principal.process.parent_process.product_specific_process_id
principal.process.pid
principal.process.product_specific_process_id
target.process.parent_process.pid
target.process.parent_process.product_specific_process_id
target.process.pid
target.process.product_specific_process_id
usuário about.user.userid
observer.user.userid
principal.user.user_display_name
principal.user.userid
principal.user.windows_sid
src.user.userid
target.user.user_display_name
target.user.userid
target.user.windows_sid

Encontrar um campo do UDM para a consulta de pesquisa

Ao escrever uma consulta de pesquisa de UDM, talvez você não saiba qual campo de UDM incluir. A pesquisa de UDM permite encontrar rapidamente um nome de campo de UDM que contém uma string de texto no nome ou armazena um valor de string específico. Ele não é destinado a pesquisar outros tipos de dados, como bytes, booleanos ou numéricos. Você seleciona um ou mais resultados retornados pela pesquisa do UDM como ponto de partida para uma consulta de pesquisa do UDM.

Para usar a pesquisa de UDM, faça o seguinte:

  1. Na página Pesquisa de UDM, insira uma string de texto no campo Pesquisar campos do UDM por valor e clique em Consulta de UDM.

  2. Na caixa de diálogo UDM Lookup, selecione uma ou mais das seguintes opções para especificar o escopo dos dados a serem pesquisados:

    • Campos do UDM: pesquise texto nos nomes de campos do UDM, por exemplo, network.dns.questions.name ou principal.ip.
    • Valores: pesquise texto nos valores atribuídos aos campos do UDM, por exemplo, dns ou google.com.

  3. Insira ou modifique a string no campo de pesquisa. Conforme você digita, os resultados da pesquisa aparecem na caixa de diálogo.

    Os resultados são um pouco diferentes quando você pesquisa em Campos de UDM em vez de Valores. Ao pesquisar texto em Valores, os resultados aparecem da seguinte forma:

    • Se a string for encontrada no início ou no fim do valor, ela será destacada no resultado, junto com o nome do campo do UDM e o horário em que o registro foi transferido.
    • Se a string de texto for encontrada em outro lugar no valor, o resultado vai mostrar o nome do campo da UDM e o texto Possível correspondência de valor.

    Pesquisar em valores

    Pesquisar valores na pesquisa do UDM

    • Ao pesquisar uma string de texto nos nomes de campos do UDM, a pesquisa do UDM retorna uma correspondência exata encontrada em qualquer local do nome.

    Pesquisar em campos do UDM

    Pesquisar em campos do UDM na pesquisa do UDM

  4. Na lista de resultados, é possível fazer o seguinte:

    • Clique no nome de um campo do UDM para conferir a descrição dele.

    • Selecione um ou mais resultados clicando na caixa de seleção à esquerda de cada nome de campo do UDM.

    • Clique no botão Redefinir para desmarcar todos os campos selecionados na lista de resultados.

  5. Para anexar os resultados selecionados ao campo Pesquisa de UDM, clique no botão Anexar à pesquisa.

    Você também pode copiar o resultado selecionado usando o botão Copiar UDM, fechar a caixa de diálogo UDM Lookup e colar a string de consulta de pesquisa no campo UDM Search.

    O Google Security Operations converte o resultado selecionado em uma string de consulta de pesquisa do UDM como o nome do campo do UDM ou um par de nome-valor. Se você anexar vários resultados, cada um deles será adicionado ao final de uma consulta existente no campo de pesquisa da UDM usando o operador OR.

    A string de consulta anexada é diferente dependendo do tipo de correspondência retornado pela busca de UDM.

    • Se o resultado corresponder a uma string de texto em um nome de campo do UDM, o nome completo do campo do UDM será anexado à consulta. Veja um exemplo abaixo.

      principal.artifact.network.dhcp.client_hostname

    • Se o resultado corresponder a uma string de texto no início ou no final de um valor, o par de nome-valor conterá o nome do campo UDM e o valor completo no resultado. Confira alguns exemplos:

      metadata.log_type = "PCAP_DNS"

      network.dns.answers.name = "dns-A901F3j.hat.example.com"

    • Se o resultado incluir o texto Possible value match, o par de nome-valor terá o nome do campo UDM e uma expressão regular com o termo de pesquisa. Veja um exemplo abaixo.

      principal.process.file.full_path = /google/ NOCASE

  6. Edite a consulta de pesquisa do UDM para atender ao seu caso de uso. A string de consulta gerada pela pesquisa de UDM é um ponto de partida para escrever uma consulta de pesquisa completa da UDM.

Resumo do comportamento da pesquisa do UDM

Esta seção fornece mais detalhes sobre os recursos de pesquisa de UDM.

  • A pesquisa do UDM procura dados ingeridos após 10 de agosto de 2023. Os dados ingeridos antes disso não são pesquisados. Ele retorna resultados encontrados em campos de UDM não enriquecidos. Ele não retorna correspondências para campos enriquecidos. Para saber a diferença entre campos enriquecidos e não enriquecidos, consulte Conferir eventos no Visualizador de eventos.
  • As pesquisas que usam a pesquisa do UDM não diferenciam maiúsculas de minúsculas. O termo hostname retorna o mesmo resultado que HostName.
  • Hifens (-) e sublinhados (_) em uma string de texto de consulta são ignorados ao procurar Valores. A string de texto dns-l e dnsl retornam o valor dns-l.

  • Ao pesquisar Valores, a pesquisa do UDM não retorna correspondências nos seguintes casos:

    Corresponde aos seguintes campos do UDM:
    • metadata.product_log_id
    • network.session_id
    • security_result.rule_id
    • network.parent_session_id
    Corresponde a campos de UDM com um caminho completo que termina em um dos seguintes valores:
    • .pid
      Por exemplo, target.process.pid.
    • .asset_id
      Por exemplo, principal.asset_id.
    • .product_specific_process_id
      Por exemplo, principal.process.product_specific_process_id.
    • .resource.id
      Por exemplo, principal.resource.id.

  • Ao pesquisar Valores, a consulta do UDM mostra a mensagem Possível correspondência de valor no resultado quando uma correspondência é encontrada nos seguintes casos:

    Corresponde aos seguintes campos do UDM:
    • metadata.description
    • security_result.description
    • security_result.detection_fields.value
    • security_result.summary
    • network.http.user_agent
    Corresponde a campos com um caminho completo que termina em um dos seguintes valores:
    • .command_line
      Por exemplo, principal.process.command_line.
    • .file.full_path
      Por exemplo, principal.process.file.full_path.
    • .labels.value
      Por exemplo, src.labels.value.
    • .registry.registry_key
      Por exemplo, principal.registry.registry_key.
    • .url
      Por exemplo, principal.url.
    Corresponde a campos com um caminho completo que começa com os seguintes valores: additional.fields.value.
    Por exemplo, additional.fields.value.null_value.

Para conferir os alertas, clique na guia Alertas à direita da guia Eventos no canto superior direito da página Pesquisa do UDM.

Como os alertas são exibidos

O Google Security Operations avalia os eventos retornados na pesquisa do UDM em relação aos eventos que existem para alertas no ambiente do cliente. Quando um evento de consulta de pesquisa corresponde a um evento presente em um alerta, ele é exibido na linha do tempo e na tabela de alertas resultante.

Definição de eventos e alertas

Um evento é gerado a partir de uma fonte de registro bruto que é processada no Google Security Operations e processada pelo processo de ingestão e normalização do Google Security Operations. Vários eventos podem ser gerados a partir de um único registro de origem de registro bruto. Um evento representa um conjunto de pontos de dados relevantes para a segurança gerados a partir desse registro bruto.

Em uma pesquisa UDM, um alerta é definido como uma detecção de regra YARA-L com alertas ativados. Consulte Como executar uma regra com base em dados em tempo real para saber mais.

Outras fontes de dados podem ser ingeridas nas operações de segurança do Google como alertas, como os alertas do Crowdstrike Falcon. Esses alertas não aparecem na pesquisa do UDM, a menos que sejam processados pelo mecanismo de detecção das Operações de segurança do Google como uma regra YARA-L.

Os eventos associados a um ou mais alertas são marcados com um ícone de alerta na linha do tempo do evento. Se houver vários alertas associados à linha do tempo, o ícone vai mostrar o número de alertas associados.

A linha do tempo mostra os mil alertas mais recentes recuperados dos resultados da pesquisa. Quando o limite de 1.000 é atingido, nenhum alerta é mais recuperado. Para mostrar todos os resultados relevantes, refine sua pesquisa com filtros.

Como investigar um alerta

Para saber como usar o Gráfico de alertas e os Detalhes do alerta para investigar um alerta, siga as etapas descritas em Investigar um alerta.

Usar listas de referência nas pesquisas da UDM

O processo de aplicação de listas de referência em regras também pode ser usado na pesquisa. É possível incluir até sete listas em uma única consulta de pesquisa. Todos os tipos de listas de referência (string, expressão regular, CIDR) são aceitos.

É possível criar listas de qualquer variável que você queira acompanhar. Por exemplo, você pode criar uma lista de endereços IP suspeitos: 

// Field value exists in reference list
principal.ip IN %suspicious_ips

Você pode usar várias listas usando AND ou OR:

// multiple lists can be used with AND or OR
principal.ip IN %suspicious_ips AND
principal.hostname IN %suspicious_hostnames

Refinar os resultados da pesquisa

Você pode usar a interface do usuário da pesquisa do UDM para filtrar e refinar os resultados como uma alternativa para modificar a pesquisa do UDM e executar novamente.

Gráfico de linhas do tempo

O gráfico de linhas do tempo mostra uma representação gráfica do número de eventos e alertas que ocorrem a cada dia e que estão sendo mostrados pela pesquisa atual da UDM. Os eventos e alertas aparecem no mesmo gráfico de linha do tempo, que está disponível nas guias Eventos e Alertas.

A largura de cada barra depende do intervalo de tempo pesquisado. Por exemplo, cada barra representa 10 minutos quando a pesquisa abrange 24 horas de dados. Esse gráfico é atualizado dinamicamente conforme você modifica a pesquisa UDM atual.

Ajuste do período

Para ajustar o período do gráfico, mova os controles deslizantes brancos para a esquerda e para a direita. Ao ajustar o período, as tabelas de campos, valores e eventos da UDM são atualizadas para refletir a seleção atual. Também é possível clicar em uma única barra no gráfico para listar apenas os eventos nesse período.

Depois de ajustar o período, as caixas de seleção Eventos filtrados e Eventos de consulta vão aparecer, permitindo que você limite ainda mais os tipos de eventos exibidos.

Gráfico de cronogramas de eventos com controles de período

Figura 4. Gráfico de linhas do tempo de eventos com controles de período

Modificar a pesquisa do UDM com agregações

Com as agregações, você pode restringir ainda mais sua pesquisa de UDM. Você pode rolar pela lista de campos do UDM ou pesquisar campos ou valores específicos do UDM usando o campo "Pesquisar". Os campos da UDM listados aqui estão associados às listas de eventos geradas pela sua pesquisa da UDM. Cada campo do UDM inclui o número de eventos na sua pesquisa atual do UDM que também inclui esses dados. A lista de campos da UDM mostra o número total de valores exclusivos em um campo. Esse recurso permite procurar tipos específicos de dados de registro que podem ser de seu interesse.

Os campos do UDM são listados na seguinte ordem:

  1. Campos com as contagens de eventos mais altas e mais baixas.
  2. Os campos com apenas um valor são sempre os últimos.
  3. Os campos com o mesmo total de eventos são ordenados em ordem alfabética de A a Z.

Agregações

Figura 5. Agregações

Modificar agregações

Se você selecionar um valor de campo da UDM na lista "Agregações" e clicar no ícone de menu, vai ter a opção de mostrar apenas eventos que também incluem esse valor de campo da UDM ou filtrar esse valor de campo da UDM. Se o campo do UDM armazenar valores inteiros (por exemplo, target.port), você também vai encontrar opções para filtrar por <,>,<=,>=. As opções de filtro encurtam a lista de eventos exibidos.

Você também pode fixar campos (usando o ícone de alfinete) nas agregações para salvar como favorito. Elas aparecem na parte de cima da lista "Agregações".

Mostrar somente

Figura 6. Exemplo: selecionar "Mostrar apenas"

Esses outros filtros do UDM também são adicionados ao campo de eventos do filtro. O campo "Filtrar eventos" ajuda a acompanhar os campos UDM adicionais que você adicionou à pesquisa do UDM. Você também pode remover rapidamente esses outros campos do UDM conforme necessário.

Filtrar eventos

Figura 7. Filtrar eventos

Se você clicar no ícone do menu "Filtrar eventos" ou em Adicionar filtro à esquerda, uma janela será aberta para selecionar outros campos do UDM.

Janela &quot;Filtrar eventos&quot;

Figura 8. Janela "Filtrar eventos"

Quando você clica em APLICAR para pesquisar e executar, os campos do UDM são adicionados ao campo "Filtrar eventos", e os eventos exibidos são filtrados com base nesses filtros adicionais. Você também pode clicar em Aplicar à pesquisa e executar para adicionar essas informações ao campo principal de pesquisa da UDM na parte de cima da página. A pesquisa é executada automaticamente novamente usando os mesmos parâmetros de data e hora. O Google recomenda restringir sua pesquisa o máximo possível antes de clicar em APLICAR para pesquisar e executar. Isso ajuda a melhorar a precisão e reduz o tempo de pesquisa.

Conferir eventos na tabela "Eventos"

Todos esses filtros e controles atualizam a lista de eventos exibidos na tabela "Eventos". Clique em qualquer um dos eventos listados para abrir o Visualizador de registros, onde você pode examinar o registro bruto e o registro do UDM para esse evento. Se você clicar no carimbo de data/hora de um evento, também poderá navegar até a visualização associada de recurso, endereço IP, domínio, hash ou usuário. Também é possível usar o campo "Pesquisar" na parte de cima da tabela para encontrar um evento específico.

Conferir alertas na tabela "Alerts"

Para conferir os alertas, clique na guia Alertas no lado direito da guia Eventos. Você pode usar as agregações para classificar os alertas por:

  • Caso
  • Nome
  • Prioridade
  • Gravidade
  • Status
  • Veredito

Isso ajuda você a se concentrar nos alertas mais importantes.

Os alertas aparecem no mesmo período que os eventos na guia "Eventos". Isso ajuda a entender a conexão entre eventos e alertas.

Se quiser saber mais sobre um alerta específico, clique nele. Uma página de detalhes individual vai abrir com informações mais detalhadas.

Conferir eventos no Visualizador de eventos

Se você mantiver o cursor sobre um evento na tabela "Eventos", o ícone do visualizador de eventos aberto vai aparecer no lado direito do evento destacado. Clique nele para abrir o Visualizador de eventos.

A janela "Raw Log" mostra a assinatura bruta original em qualquer um dos seguintes formatos:

  • Dados brutos
  • JSON
  • XML
  • CSV
  • Hex/ASCII

A janela do UDM mostra o registro estruturado do UDM. Mantenha o cursor sobre qualquer um dos campos da UDM para conferir a definição. Ao marcar a caixa de seleção dos campos do UDM, você tem mais opções:

  • Você pode copiar o registro do UDM. Selecione um ou mais campos do UDM e selecione a opção Copiar UDM no menu Ações de visualização. Os campos e valores do UDM são copiados para a área de transferência do sistema.

  • Para adicionar os campos do UDM como colunas na tabela "Eventos", selecione a opção Adicionar colunas no menu Ações de visualização.

Cada campo do UDM é marcado com um ícone indicando se o campo contém dados enriquecidos ou não. Os rótulos dos ícones são os seguintes:

  • U: os campos não enriquecidos contêm valores preenchidos durante o processo de normalização usando dados do registro bruto original.

  • E: os campos enriquecidos contêm valores que o Google Security Operations preenche para fornecer mais contexto sobre artefatos em um ambiente do cliente. Para mais informações, consulte Como o Google Security Operations enriquece dados de eventos e entidades.

    Campos do UDM enriquecidos e não enriquecidos

Figura 9. Campos do UDM no Visualizador de eventos

Use a opção Colunas para ajustar quais colunas de informações são exibidas na tabela "Eventos". O menu "Colunas" vai aparecer. As opções disponíveis variam de acordo com os tipos de eventos retornados pela pesquisa da UDM.

Você pode salvar o conjunto de colunas selecionado aqui clicando em Salvar. Dê um nome ao conjunto de colunas selecionadas e clique em Salvar novamente. Para carregar um conjunto de colunas salvas, clique em Carregar e selecione o conjunto de colunas salvas na lista.

Também é possível fazer o download dos eventos exibidos clicando no menu de três pontos e selecionando Fazer o download como CSV. Isso vai fazer o download de todos os resultados da pesquisa até um milhão de eventos. A interface do usuário vai indicar o número de eventos que serão transferidos por download.

Colunas de pesquisa do UDM

Figura 10. Colunas de pesquisa do UDM

Usar a tabela dinâmica para analisar eventos

Com a tabela dinâmica, você pode analisar eventos usando expressões e funções em relação aos resultados da pesquisa da UDM.

Siga estas etapas para abrir e configurar a tabela dinâmica:

  1. Execute uma pesquisa do UDM.

  2. Clique na guia Dinâmica para abrir a tabela dinâmica.

  3. Especifique um valor de Agrupar por para agrupar os eventos por um campo específico do UDM. Você pode mostrar os resultados usando a formatação maiúsculas/minúsculas padrão ou apenas letras minúsculas, selecionando letras minúsculas no menu. Essa opção está disponível apenas para campos de string. É possível especificar até cinco valores de Agrupar por clicando em Adicionar campo.

    Se o valor Agrupar por for um dos campos de nome de host, você terá outras opções de transformação:

    • Domínio de nível N principal: escolha o nível do domínio a ser exibido. Por exemplo, usar um valor de 1 mostra apenas o domínio de nível superior (como com, gov ou edu). Usar um valor de 3 mostra os próximos dois níveis dos nomes de domínio (como google.co.uk).
    • Get Registered Domain: mostra apenas o nome do domínio registrado (como google.com, nytimes.com e youtube.com).

    Se o valor Agrupar por for um dos campos de IP, você terá outras opções de transformação:

    • (IP) Tamanho do prefixo CIDR em bits: é possível especificar de 1 a 32 para endereços IPv4. Para endereços IPv6, é possível especificar valores de até 128.

    Se o valor Agrupar por incluir um carimbo de data/hora, você terá outras opções de transformação:

    • (Time) Resolution in milliseconds
    • (Tempo) Resolução em segundos
    • (Time) Resolução em minutos
    • (Tempo) Resolução em horas
    • (Tempo) Resolução em dias

  4. Especifique um valor para o pivot na lista de campos nos resultados. É possível especificar até cinco valores. Depois de especificar um campo, selecione uma opção Resumo. Você pode resumir usando as seguintes opções:

    • ponderada
    • count
    • count distinct
    • média
    • stddev
    • min
    • max

    Especifique um valor de Contagem de eventos para retornar o número de eventos identificados para essa pesquisa e tabela dinâmica específica da UDM.

    As opções Resumo não são universalmente compatíveis com os campos Agrupar por. Por exemplo, as opções soma, média, desvio padrão, mínimo e máximo só podem ser aplicadas a campos numéricos. Se você tentar associar uma opção de Resumo incompatível com um campo Agrupar por, vai receber uma mensagem de erro.

  5. Especifique um ou mais campos do UDM e selecione uma ou mais ordenações usando a opção Ordenar por.

  6. Clique em Aplicar quando estiver tudo pronto. Os resultados são mostrados na tabela dinâmica.

  7. (Opcional) Para fazer o download da tabela dinâmica, clique em e selecione Fazer o download como CSV. Se você não selecionou um eixo, essa opção fica desativada.

Fazer uma pesquisa nas pesquisas rápidas

  1. Clique em Pesquisas rápidas para abrir a janela de pesquisas rápidas. Essa janela mostra suas pesquisas salvas e o histórico de pesquisa.

  2. Clique em qualquer uma das pesquisas listadas para carregar no campo de pesquisa do UDM.

  3. Clique em Executar pesquisa quando estiver tudo pronto.

As pesquisas listadas são salvas na sua conta do Google Security Operations. Se você precisar modificar uma das suas pesquisas salvas (por exemplo, renomear uma pesquisa existente), excluir pesquisas salvas ou excluir pesquisas do seu histórico de pesquisa, abra o Gerenciador de pesquisa clicando em Ver todas as pesquisas.

Visão geral das pesquisas salvas e do histórico de pesquisa

Use o Gerenciador de pesquisa para recuperar pesquisas salvas e conferir seu histórico de pesquisa clicando em Gerenciador de pesquisa. As pesquisas salvas e o histórico de pesquisa são armazenados na sua conta de operações de segurança do Google. As pesquisas salvas e o histórico de pesquisa só podem ser acessados pelo usuário individual, a menos que você use o recurso Compartilhar uma pesquisa para compartilhar a pesquisa com sua organização. Selecione uma pesquisa salva para conferir mais informações, incluindo o título e a descrição.

Para salvar uma pesquisa:

  1. Na página de pesquisa da UDM, clique em Salvar para salvar a pesquisa para mais tarde. O Gerenciador de pesquisa é aberto. O Google recomenda que você dê um nome significativo à pesquisa salva e uma descrição em texto simples do que está procurando. Também é possível criar uma nova pesquisa UDM no Gerenciador de pesquisa clicando em . As ferramentas padrão de edição e conclusão do UDM também estão disponíveis aqui.

  2. (Opcional) Especifique variáveis de marcador de posição no formato ${<variable name>} usando o mesmo formato usado para variáveis no YARA-L. Se você adicionar uma variável a uma pesquisa da UDM, também precisará incluir um comando para ajudar o usuário a entender quais informações ele precisa inserir antes de executar a pesquisa. Todas as variáveis precisam ser preenchidas com valores antes da execução de uma pesquisa.

    Por exemplo, você pode adicionar metadata.vendor_name = ${vendor_name} à pesquisa do UDM. Para ${vendor_name}, você precisa adicionar uma solicitação para futuros usuários, como "Digite o nome do fornecedor para sua pesquisa". Sempre que um usuário carregar essa pesquisa no futuro, ele vai precisar digitar o nome do fornecedor antes de executar a pesquisa.

  3. Clique em Salvar edições quando terminar.

  4. Para conferir as pesquisas salvas, clique em Gerenciador de pesquisa e na guia Salvas.

Para recuperar e executar uma pesquisa salva, faça o seguinte:

  1. No Gerenciador de pesquisa, clique na guia Salvos.

  2. Selecione uma pesquisa salva na lista. Essas pesquisas são salvas na sua conta de Operações de segurança do Google. Para excluir uma pesquisa, clique em e selecione Excluir pesquisa.

  3. Você pode mudar o nome da pesquisa e a descrição. Clique em Salvar edições quando terminar.

  4. Clique em Carregar pesquisa. A pesquisa é carregada no campo principal de pesquisa do UDM.

  5. Clique em Executar pesquisa para conferir os eventos associados a essa pesquisa.

Recuperar uma pesquisa do seu histórico

Para recuperar e executar uma pesquisa no histórico de pesquisa:

  1. No Gerenciador de pesquisa, clique em Histórico.

  2. Selecione uma pesquisa do seu histórico. O histórico de pesquisa é salvo na sua conta do Google Security Operations. É possível excluir uma pesquisa clicando em

  3. Clique em Carregar pesquisa. A pesquisa é carregada no campo principal de pesquisa do UDM.

  4. Clique em Executar pesquisa para conferir os eventos associados a essa pesquisa.

Limpar, desativar ou ativar o histórico de pesquisa

Para limpar, desativar ou ativar o histórico de pesquisa:

  1. No Gerenciador de pesquisa, clique na guia Histórico.

  2. Clique em .

  3. Selecione Limpar histórico para limpar o histórico de pesquisa.

  4. Clique em Desativar histórico para desativar o histórico de pesquisa. Você tem as seguintes opções:

    • Somente desativar: desative o histórico de pesquisa.

    • Desativar e limpar: desative o histórico de pesquisa e exclua o histórico de pesquisa salvo.

  5. Se você tiver desativado o histórico de pesquisa, clique em Ativar histórico de pesquisa para reativá-lo.

  6. Clique em Fechar para sair do Gerenciador de pesquisa.

Compartilhar uma pesquisa

Com as pesquisas compartilhadas, você pode compartilhar pesquisas com o restante da equipe. Na guia Salvas, é possível compartilhar ou excluir pesquisas. Também é possível filtrar as pesquisas clicando no ícone de filtro ao lado da barra de pesquisa e classificar as pesquisas por Mostrar tudo, Google SecOps definido, Criado por mim ou Compartilhado.

Não é possível editar uma pesquisa compartilhada que não é sua.

  1. Clique em Salvo.
  2. Clique na pesquisa que você quer compartilhar.
  3. Clique em no lado direito da pesquisa. Uma caixa de diálogo com a opção de compartilhar sua pesquisa vai aparecer.
  4. Clique em Compartilhar com sua organização.
  5. Uma caixa de diálogo vai aparecer informando que o compartilhamento da pesquisa vai ficar visível para as pessoas na sua organização. Você quer mesmo compartilhar? Clique em Compartilhar.

Se você quiser que a pesquisa seja visível apenas para você, clique em e em Parar de compartilhar. Se você parar de compartilhar, só você poderá usar essa pesquisa.

Campos da UDM que podem ou não ser transferidos para CSV na plataforma

Os campos UDM compatíveis e não compatíveis para download são mostrados nas subseções a seguir.

Campos aceitos

É possível fazer o download dos seguintes campos para um arquivo CSV na plataforma:

  • usuário

  • nome do host

  • nome do processo

  • tipo de evento

  • timestamp

  • Registro bruto (válido apenas quando os registros brutos estão ativados para o cliente)

  • Todos os campos que começam com "udm.additional"

Tipos de campo válidos

É possível fazer o download dos seguintes tipos de campo para um arquivo CSV:

  • double

  • float

  • int32

  • uint32

  • int64

  • uint64

  • bool

  • string

  • enum

  • bytes

  • google.protobuf.Timestamp

  • google.protobuf.Duration

Campos sem suporte

Os campos que começam com "udm" (não udm.additional) e atendem a uma das seguintes condições não podem ser transferidos para CSV:

  • O aninhamento do campo tem mais de 10 níveis no proto do UDM.

  • O tipo de dados é "Mensagem" ou "Grupo".

A seguir

Para saber como usar dados enriquecidos com contexto na pesquisa da UDM, consulte Usar dados enriquecidos com contexto na pesquisa da UDM.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.