Búsqueda de UDM

Se admite en los siguientes países:

La función de búsqueda de UDM te permite encontrar alertas y eventos del modelo de datos unificados (UDM) dentro de tu instancia de Google Security Operations. La búsqueda de la AUA incluye una variedad de opciones de búsqueda que te ayudan a navegar por tus datos de la AUA. Puedes buscar eventos de la AUA individuales y grupos de eventos de la AUA vinculados a términos de búsqueda compartidos.

En los sistemas que usan el RBAC de datos, solo puedes ver los datos que coinciden con tus alcances. Para obtener más información, consulta el impacto del RBAC de datos en la Búsqueda.

En el caso de los clientes de Google Security Operations, las alertas también se pueden transferir desde conectores y webhooks. También puedes usar la búsqueda de la AUA para encontrar estas alertas.

Para obtener más información sobre el UDM, consulta Dar formato a los datos de registro como UDM y Lista de campos del modelo de datos unificado.

Para acceder a la búsqueda de la UDM de Google Security Operations, haz clic en Búsqueda en la barra de navegación. También puedes acceder a la búsqueda de UDM ingresando un campo de UDM válido desde cualquier campo de búsqueda en Google Security Operations y presionando Ctrl + Intro.

Para obtener una lista de todos los campos válidos del UDM, consulta Lista de campos del modelo de datos unificado.

Búsqueda de UDM

Figura 1: Búsqueda de UDM

Búsqueda de UDM en blanco

Figura 2. Ventana de búsqueda de la AUA que se abre con CTRL + Intro

Completa los siguientes pasos para ingresar una búsqueda de la AUA en el campo Búsqueda de la AUA. Cuando termines de ingresar una búsqueda de UDM, haz clic en Ejecutar búsqueda. La interfaz de usuario de Google Security Operations solo te permite ingresar una expresión de búsqueda de UDM válida. También puedes abrir la ventana del período para ajustar el rango de datos que se buscarán.

Si tu búsqueda es demasiado amplia, Google Security Operations muestra un mensaje de advertencia que indica que no puede mostrar todos los resultados de la búsqueda. Reduce el alcance de la búsqueda y vuelve a ejecutarla. Cuando una búsqueda es demasiado amplia, Google Security Operations muestra los resultados más recientes hasta el límite de búsqueda (un millón de eventos y mil alertas). Es posible que haya muchos más eventos y alertas que coincidan, pero que no se muestren en este momento. Ten esto en cuenta cuando analices los resultados. Google recomienda aplicar filtros adicionales y ejecutar la búsqueda original hasta que estés por debajo del límite.

En la página de resultados de la búsqueda de la AUA, se muestran los diez mil resultados más recientes. Puedes filtrar y definir mejor los resultados de la búsqueda para mostrar los resultados más antiguos, como alternativa a modificar la búsqueda de la AUA y volver a ejecutarla.

Búsqueda de fecha y ejecución

Figura 3: Ejecutar búsqueda

Las consultas de UDM se basan en campos de UDM, que se enumeran en la lista de campos del modelo de datos unificados. También puedes ver los campos de la AUA en el contexto de las búsquedas con los filtros o la búsqueda de registros sin procesar.

  1. Para buscar eventos, ingresa un nombre de campo de la AUA en el campo de búsqueda. La interfaz de usuario incluye el autocompletado y muestra campos de la UDM válidos según lo que hayas ingresado.

  2. Una vez que hayas ingresado un campo de UDM válido, selecciona un operador válido. La interfaz de usuario muestra los operadores válidos disponibles según el campo de la UDM que ingresaste. Se admiten los operadores siguientes:

    • <, >
    • <=, >=
    • =, !=
    • nocase: Se admite para cadenas.

  3. Una vez que hayas ingresado un operador y un campo de la AUA válidos, ingresa los datos de registro correspondientes que buscas. Se admiten los siguientes tipos de datos:

    • Valores enumerados: La interfaz de usuario muestra una lista de valores enumerados válidos para un campo de la AUA determinado.

      Por ejemplo (usa comillas dobles y mayúsculas): metadata.event_type = "NETWORK_CONNECTION"

    • Valores adicionales: Puedes usar "field[key] = value" para buscar eventos en campos adicionales y de etiquetas.

      Por ejemplo: additional.fields["key"]="value"

    • Booleanos: Puedes usar true o false (todos los caracteres no distinguen mayúsculas de minúsculas y la palabra clave no está entre comillas).

      Por ejemplo: network.dns.response = true

    • Números enteros

      Por ejemplo: target.port = 443

    • Números de punto flotante: Para los campos de UDM del tipo float, ingresa un valor de punto flotante, como 3.1. También puedes ingresar un número entero, como 3, que equivale a ingresar 3.0.

      Por ejemplo, security_result.about.asset.vulnerabilities.cvss_base_score = 3.1 o security_result.about.asset.vulnerabilities.cvss_base_score = 3.

    • Expresiones regulares: (la expresión regular debe estar entre caracteres de barra diagonal (/))

      Por ejemplo: principal.ip = /10.*/

      Para obtener más información sobre las expresiones regulares, consulta la página de expresiones regulares.

    • Cadena

      Por ejemplo (se deben usar comillas dobles): metadata.product_name = "Google Cloud VPC Flow Logs"

  4. Puedes usar el operador nocase para buscar cualquier combinación de versiones en mayúsculas y minúsculas de una cadena determinada:

    • principal.hostname != "http-server" nocase
    • principal.hostname = "JDoe" nocase
    • principal.hostname = /dns-server-[0-9]+/ nocase

  5. Las barras inversas y las comillas dobles en las cadenas deben escaparse con un carácter de barra inversa. Por ejemplo:

    • principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
    • target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""

  6. Puedes usar expresiones booleanas para acotar aún más el posible rango de datos que se muestran. En los siguientes ejemplos, se ilustran algunos tipos de expresiones booleanas admitidas (se pueden usar los operadores booleanos AND, OR y NOT):

    • A AND B
    • A OR B
    • (A OR B) AND (B OR C) AND (C OR NOT D)

    En los siguientes ejemplos, se muestra cómo podría aparecer la sintaxis real:

    Eventos de acceso al servidor de finanzas: 

    metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"

    Ejemplo de uso de una expresión regular para buscar la ejecución de la herramienta psexec.exe en Windows. 

    target.process.command_line = /\bpsexec(.exe)?\b/ nocase

    Ejemplo del uso del operador mayor que (>) para buscar conexiones en las que se enviaron más de 10 MB de datos. 

    metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000

    Ejemplo de uso de varias condiciones para buscar Winword que inicia cmd.exe o powershell.exe. 

        metadata.event_type = "PROCESS_LAUNCH" and
    principal.process.file.full_path = /winword/ and
    (target.process.file.full_path = /cmd.exe/ or
    target.process.file.full_path = /powershell.exe/)

  7. También puedes usar la Búsqueda de UDM para buscar pares clave-valor específicos en los campos Adicional y Etiqueta.

    Los campos Adicional y Etiqueta se usan como un "todo incluido" personalizable para los datos de eventos que no se ajustan a un campo de la AUA estándar. Los campos adicionales pueden contener varios pares clave-valor. Los campos de etiqueta solo pueden contener un solo par clave-valor. Sin embargo, cada instancia del campo contiene solo una clave y un valor. La clave debe ir dentro de los corchetes y el valor debe estar a la derecha.

    En los siguientes ejemplos, se muestra cómo buscar eventos que contengan pares clave-valor especificados: 

        additional.fields["pod_name"] = "kube-scheduler"
    metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"
     En el siguiente ejemplo, se muestra cómo usar el operador Y con búsquedas de pares clave-valor: 
        additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"

    Puedes usar la siguiente sintaxis para buscar todos los eventos que contengan la clave especificada (independientemente del valor). 

        additional.fields["pod_name"] != ""
     También puedes usar expresiones regulares y el operador nocase: 
        additional.fields["pod_name"] = /br/
    additional.fields["pod_name"] = bar nocase

  8. También puedes usar comentarios de bloque y de una sola línea.

    En el siguiente ejemplo, se muestra cómo usar un comentario de bloque: 

        additional.fields["pod_name"] = "kube-scheduler"
    /*
    Block comments can span
    multiple lines.
    */
    AND additional.fields["pod_name1"] = "kube-scheduler1"

    En el siguiente ejemplo, se muestra cómo usar un comentario de una sola línea: 

        additional.fields["pod_name"] != "" // my single-line comment

  9. Haz clic en Run Search para ejecutar la búsqueda de la AUA y mostrar los resultados.

  10. Los eventos se muestran en la página Búsqueda de la AUA en la tabla de línea de tiempo de eventos. Para acotar aún más los resultados, agrega campos de UDM adicionales de forma manual o con la interfaz.

Buscar campos agrupados

Los campos agrupados son alias para grupos de campos de la AUA relacionados. Puedes usarlos para consultar varios campos de la AUA al mismo tiempo sin escribir cada campo de forma individual.

En el siguiente ejemplo, se muestra cómo ingresar una consulta para que coincida con los campos de la AUA comunes que podrían contener la dirección IP especificada: 

    ip = "1.2.3.4"

Puedes hacer coincidir un campo agrupado con una expresión regular y con el operador nocase. También se admiten listas de referencias. Los campos agrupados también se pueden usar en combinación con campos de la AUA normales, como se muestra en el siguiente ejemplo: 

    ip = "5.6.7.8" AND metadata.event_type = "NETWORK_CONNECTION"

Los campos agrupados tienen una sección independiente en Agrupaciones.

Tipos de campos de UDM agrupados

Puedes realizar búsquedas en todos los siguientes campos de la AUA agrupados:

Nombre del campo agrupado Campos de UDM asociados
dominio about.administrative_domain
about.asset.network_domain
network.dns.questions.name
network.dns_domain
principal.administrative_domain
principal.asset.network_domain
target.administrative_domain
target.asset.hostname
target.asset.network_domain
target.hostname
correo electrónico intermediary.user.email_addresses
network.email.from
network.email.to
principal.user.email_addresses
security_result.about.user.email_addresses
target.user.email_addresses
file_path principal.file.full_path
principal.process.file.full_path
principal.process.parent_process.file.full_path
target.file.full_path
target.process.file.full_path
target.process.parent_process.file.full_path
hash about.file.md5
about.file.sha1
about.file.sha256
principal.process.file.md5
principal.process.file.sha1
principal.process.file.sha256
security_result.about.file.sha256
target.file.md5
target.file.sha1
target.file.sha256
target.process.file.md5
target.process.file.sha1
target.process.file.sha256
Nombre de host intermediary.hostname
observer.hostname
principal.asset.hostname
principal.hostname
src.asset.hostname
src.hostname
target.asset.hostname
target.hostname
ip intermediary.ip
observer.ip
principal.artifact.ip
principal.asset.ip
principal.ip
src.artifact.ip
src.asset.ip
src.ip
target.artifact.ip
target.asset.ip
target.ip
espacio de nombres principal.namespace
src.namespace
target.namespace
process_id principal.process.parent_process.pid
principal.process.parent_process.product_specific_process_id
principal.process.pid
principal.process.product_specific_process_id
target.process.parent_process.pid
target.process.parent_process.product_specific_process_id
target.process.pid
target.process.product_specific_process_id
usuario about.user.userid
observer.user.userid
principal.user.user_display_name
principal.user.userid
principal.user.windows_sid
src.user.userid
target.user.user_display_name
target.user.userid
target.user.windows_sid

Cómo encontrar un campo de UDM para la búsqueda

Cuando escribas una consulta de búsqueda de la AUA, es posible que no sepas qué campo de la AUA incluir. La Búsqueda de UDM te permite encontrar rápidamente un nombre de campo de UDM que contenga una cadena de texto en el nombre o que almacene un valor de cadena específico. No está diseñado para buscar otros tipos de datos, como bytes, booleanos o numéricos. Seleccionas uno o más resultados que muestra la Búsqueda de UDM como punto de partida para una consulta de Búsqueda de UDM.

Para usar la Búsqueda de UDM, haz lo siguiente:

  1. En la página Búsqueda de UDM, ingresa una cadena de texto en el campo Buscar campos de UDM por valor y, luego, haz clic en Búsqueda de UDM.

  2. En el diálogo Búsqueda de UDM, selecciona una o más de las siguientes opciones para especificar el alcance de los datos que se buscarán:

    • Campos de UDM: Busca texto en los nombres de los campos de UDM, por ejemplo, network.dns.questions.name o principal.ip.
    • Valores: Busca texto en los valores asignados a los campos de la AUA, por ejemplo, dns o google.com.

  3. Ingresa o modifica la cadena en el campo de búsqueda. A medida que escribes, los resultados de la búsqueda aparecen en el diálogo.

    Los resultados son ligeramente diferentes cuando se realiza una búsqueda en Campos de UDM en comparación con Valores. Cuando buscas texto en Valores, los resultados aparecen de la siguiente manera:

    • Si la cadena se encuentra al principio o al final del valor, se destaca en el resultado, junto con el nombre del campo de la UDM y la hora en que se transfirió el registro.
    • Si la cadena de texto se encuentra en otra parte del valor, el resultado muestra el nombre del campo de la UDM y el texto Posible coincidencia de valor.

    Buscar en valores

    Cómo buscar dentro de los valores en la Búsqueda de UDM

    • Cuando se busca una cadena de texto en los nombres de campos de la UDM, la Búsqueda de la UDM muestra una coincidencia exacta que se encuentra en cualquier ubicación del nombre.

    Cómo buscar en campos de UDM

    Cómo realizar búsquedas en campos de la Búsqueda de UDM

  4. En la lista de resultados, puedes hacer lo siguiente:

    • Haz clic en el nombre de un campo de la AUA para ver una descripción de ese campo.

    • Para seleccionar uno o más resultados, haz clic en la casilla de verificación que se encuentra a la izquierda de cada nombre de campo de la AUA.

    • Haz clic en el botón Restablecer para anular la selección de todos los campos seleccionados en la lista de resultados.

  5. Para agregar los resultados seleccionados al campo Búsqueda de la AUA, haz clic en el botón Agregar a la búsqueda.

    También puedes copiar el resultado seleccionado con el botón Copy UDM y, luego, cerrar el diálogo UDM Lookup y pegar la cadena de búsqueda en el campo UDM Search.

    Google Security Operations convierte el resultado seleccionado en una cadena de consulta de búsqueda de la AUA como el nombre del campo de la AUA o un par nombre-valor. Si agregas varios resultados, cada uno se agregará al final de una consulta existente en el campo de búsqueda de la AUA con el operador OR.

    La cadena de consulta adjunta es diferente según el tipo de coincidencia que devuelve la búsqueda de UDM.

    • Si el resultado coincide con una cadena de texto en un nombre de campo de la UDM, el nombre completo del campo de la UDM se agrega a la búsqueda. A continuación, se muestra un ejemplo:

      principal.artifact.network.dhcp.client_hostname

    • Si el resultado coincide con una cadena de texto al principio o al final de un valor, el par nombre-valor contiene el nombre del campo de la AUA y el valor completo en el resultado. Los siguientes son ejemplos:

      metadata.log_type = "PCAP_DNS"

      network.dns.answers.name = "dns-A901F3j.hat.example.com"

    • Si el resultado incluye el texto Posible coincidencia de valor, el par nombre-valor contiene el nombre del campo de la AUA y una expresión regular que contiene el término de búsqueda. A continuación, se muestra un ejemplo:

      principal.process.file.full_path = /google/ NOCASE

  6. Edita la búsqueda de la AUA para que se adapte a tu caso de uso. La cadena de consulta que genera la Búsqueda de UDM es un punto de partida para escribir una consulta de Búsqueda de UDM completa.

Resumen del comportamiento de la búsqueda de UDM

En esta sección, se proporcionan más detalles sobre las funciones de Búsqueda de UDM.

  • La Búsqueda de UDM busca datos transferidos después del 10 de agosto de 2023. No se buscarán los datos transferidos antes de esta fecha. Muestra los resultados que se encuentran en los campos de la AUA no enriquecidos. No muestra coincidencias en los campos enriquecidos. Para obtener información sobre los campos enriquecidos y no enriquecidos, consulta Cómo ver eventos en el Visor de eventos.
  • Las búsquedas que usan la Búsqueda de UDM no distinguen mayúsculas de minúsculas. El término hostname muestra el mismo resultado que HostName.
  • Los guiones (-) y los guiones bajos (_) en una cadena de texto de consulta se ignoran cuando se busca en Valores. Las cadenas de texto dns-l y dnsl muestran el valor dns-l.

  • Cuando buscas Valores, la Búsqueda de UDM no muestra coincidencias en los siguientes casos:

    Coincide con los siguientes campos de la AUA:
    • metadata.product_log_id
    • network.session_id
    • security_result.rule_id
    • network.parent_session_id
    Coincidencias en campos de UDM con una ruta de acceso completa que finaliza en uno de los siguientes valores:
    • .pid
      Por ejemplo, target.process.pid.
    • .asset_id
      Por ejemplo, principal.asset_id.
    • .product_specific_process_id
      Por ejemplo, principal.process.product_specific_process_id.
    • .resource.id
      Por ejemplo, principal.resource.id.

  • Cuando buscas Valores, la Búsqueda de UDM muestra el mensaje Posible coincidencia de valor en el resultado cuando se encuentra una coincidencia en los siguientes casos:

    Coincide con los siguientes campos de la AUA:
    • metadata.description
    • security_result.description
    • security_result.detection_fields.value
    • security_result.summary
    • network.http.user_agent
    Coincide en campos con una ruta de acceso completa que termina en uno de los siguientes valores:
    • .command_line
      Por ejemplo, principal.process.command_line.
    • .file.full_path
      Por ejemplo, principal.process.file.full_path.
    • .labels.value
      Por ejemplo, src.labels.value.
    • .registry.registry_key
      Por ejemplo, principal.registry.registry_key.
    • .url
      Por ejemplo, principal.url.
    Coincide en campos con una ruta de acceso completa que comienza con los siguientes valores: additional.fields.value.
    Por ejemplo, additional.fields.value.null_value.

Para ver las alertas, haz clic en la pestaña Alertas que se encuentra a la derecha de la pestaña Eventos, en la esquina superior derecha de la página Búsqueda de la AUA.

Cómo se muestran las alertas

Google Security Operations evalúa los eventos que se muestran en la búsqueda de la AUA en función de los eventos que existen para las alertas en el entorno del cliente. Cuando un evento de búsqueda coincide con un evento presente en una alerta, se muestra en el cronograma de alertas y en la tabla de alertas resultante.

Definición de eventos y alertas

Un evento se genera a partir de una fuente de registro sin procesar que se transfiere a Google Security Operations y que se procesa mediante el proceso de transferencia y normalización de Google Security Operations. Se pueden generar varios eventos a partir de un solo registro de fuente de registro sin procesar. Un evento representa un conjunto de datos relevantes para la seguridad que se generan a partir de ese registro sin procesar.

En una búsqueda de UDM, una alerta se define como una detección de reglas YARA-L con alertas habilitadas. Consulta Cómo ejecutar una regla en relación con datos en vivo para obtener más información.

Otras fuentes de datos se pueden transferir a Google Security Operations como alertas, como las alertas de Crowdstrike Falcon. Estas alertas no aparecen en la búsqueda de la UDM, a menos que el motor de detección de Google Security Operations las procese como una regla YARA-L.

Los eventos asociados con una o más alertas se marcan con un chip de alerta en el Cronograma de eventos. Si hay varias alertas asociadas con el cronograma, el chip muestra la cantidad de alertas asociadas.

En la línea de tiempo, se muestran las 1,000 alertas más recientes recuperadas de los resultados de la búsqueda. Cuando se alcanza el límite de 1,000, no se recuperan más alertas. Para asegurarte de ver todos los resultados relevantes para tu búsqueda, define mejor la búsqueda con filtros.

Cómo investigar una alerta

Para obtener información sobre cómo usar el gráfico de alertas y los detalles de las alertas para investigar una alerta, sigue los pasos que se describen en Cómo investigar una alerta.

Usa listas de referencia en las búsquedas de la AUA

El proceso para aplicar listas de referencia en las reglas también se puede usar en la búsqueda. Se pueden incluir hasta siete listas en una sola búsqueda. Se admiten todos los tipos de listas de referencias (cadena, expresión regular, CIDR).

Puedes crear listas de cualquier variable de la que desees hacer un seguimiento. Por ejemplo, puedes crear una lista de direcciones IP sospechosas: 

// Field value exists in reference list
principal.ip IN %suspicious_ips

Además, puedes usar varias listas con AND o OR:

// multiple lists can be used with AND or OR
principal.ip IN %suspicious_ips AND
principal.hostname IN %suspicious_hostnames

Define mejor los resultados de la búsqueda

Puedes usar la interfaz de usuario de la búsqueda de la AUA para filtrar y definir mejor los resultados como alternativa a modificar la búsqueda de la AUA y volver a ejecutarla.

Gráfico de cronogramas

El gráfico de cronogramas proporciona una representación gráfica de la cantidad de eventos y alertas que se producen cada día y que muestra la búsqueda actual de la AUA. Los eventos y las alertas se muestran en el mismo gráfico de cronograma, que está disponible en las pestañas Eventos y Alertas.

El ancho de cada barra depende del intervalo de tiempo que se busca. Por ejemplo, cada barra representa 10 minutos cuando la búsqueda abarca 24 horas de datos. Este gráfico se actualiza de forma dinámica a medida que modificas la búsqueda de la AUA existente.

Ajuste del intervalo de tiempo

Para ajustar el período del gráfico, mueve los controles deslizantes blancos hacia la izquierda y la derecha para enfocarte en el período que te interesa. A medida que ajustas el intervalo de tiempo, las tablas Campos y valores de la AUA y Eventos se actualizan para reflejar la selección actual. También puedes hacer clic en una sola barra del gráfico para mostrar solo los eventos de ese período.

Una vez que hayas ajustado el intervalo de tiempo, aparecerán las casillas de verificación Eventos filtrados y Consultar eventos, lo que te permitirá limitar aún más los tipos de eventos que se muestran.

Gráfico de cronogramas de eventos con controles de intervalo de tiempo

Figura 4: Gráfico de cronogramas de eventos con controles de intervalo de tiempo

Modifica la búsqueda de UDM con agregaciones

Con las agregaciones, puedes acotar aún más tu búsqueda de UDM. Puedes desplazarte por la lista de campos de UDM o buscar campos o valores de UDM específicos con el campo de búsqueda. Los campos de la AUA que se enumeran aquí están asociados con las listas existentes de eventos que genera tu búsqueda de la AUA. Cada campo de la AUA incluye la cantidad de eventos de tu búsqueda actual de la AUA que también incluyen este dato. La lista de campos de la AUA muestra la cantidad total de valores únicos dentro de un campo. Esta función te permite buscar tipos particulares de datos de registro que podrían ser de mayor interés.

Los campos de la UDM se enumeran en el siguiente orden:

  1. De los campos con la mayor cantidad de eventos a los que tienen la menor cantidad.
  2. Los campos con solo 1 valor siempre son los últimos.
  3. Los campos con el mismo total de recuento de eventos se ordenan alfabéticamente de la A a la Z.

Datos recopilados

Figura 5: Agregaciones

Modifica las agregaciones

Si seleccionas un valor de campo de la AUA en la lista Agrupaciones y haces clic en el ícono de menú, verás la opción para mostrar solo los eventos que también incluyen ese valor de campo de la AUA o para filtrar ese valor de campo de la AUA. Si el campo de la AUA almacena valores enteros (por ejemplo, target.port), también verás opciones para filtrar por <,>,<=,>=. Las opciones de filtro acortan la lista de eventos que se muestran.

También puedes fijar campos (con el ícono de fijar) en Agrupaciones para guardarlos como favoritos. Aparecen en la parte superior de la lista Agrupaciones.

Solo mostrar

Figura 6: Ejemplo: Selecciona Mostrar solo

Estos filtros adicionales del UDM también se agregan al campo de eventos de filtro. El campo de eventos de filtro te ayuda a hacer un seguimiento de los campos de UDM adicionales que agregaste a la búsqueda de UDM. También puedes quitar rápidamente estos campos adicionales del UDM según sea necesario.

Filtrar eventos

Figura 7. Cómo filtrar eventos

Si haces clic en el ícono del menú Filtrar eventos o en Agregar filtro a la izquierda, se abrirá una ventana que te permitirá seleccionar campos de la AUA adicionales.

Ventana Filtrar eventos

Figura 8. Ventana Filtrar eventos

Cuando haces clic en APPLY to Search and Run, los campos del UDM se agregan al campo Filter events y los eventos que se muestran se filtran en función de esos filtros adicionales. También puedes hacer clic en Aplicar a la búsqueda y la ejecución para agregarlos al campo de búsqueda principal de la UDM en la parte superior de la página. La búsqueda se vuelve a ejecutar automáticamente con los mismos parámetros de fecha y hora. Google recomienda acotar la búsqueda tanto como sea posible antes de hacer clic en APPLY to Search and Run. Esto ayuda a mejorar la precisión y reduce los tiempos de búsqueda.

Cómo ver eventos en la tabla Eventos

Todos estos filtros y controles actualizarán la lista de eventos que se muestran en la tabla Eventos. Haz clic en cualquiera de los eventos de la lista para abrir el Visor de registros, en el que puedes examinar el registro sin procesar y el registro de la AUA de ese evento. Si haces clic en la marca de tiempo de un evento, también puedes navegar a la vista asociada del recurso, la dirección IP, el dominio, el hash o el usuario. También puedes usar el campo de búsqueda que se encuentra en la parte superior de la tabla para encontrar un evento específico.

Cómo ver alertas en la tabla Alertas

Para ver las alertas, haz clic en la pestaña Alertas, ubicada a la derecha de la pestaña Eventos. Puedes usar las agregaciones para ordenar las alertas según los siguientes criterios:

  • Caso
  • Nombre
  • Prioridad
  • Gravedad
  • Estado
  • Veredicto

Esto te ayuda a enfocarte en las alertas que son más importantes para ti.

Las alertas se muestran en el mismo período que los eventos en la pestaña Eventos. Esto te permite ver la conexión entre los eventos y las alertas.

Si quieres obtener más información sobre una alerta específica, haz clic en ella para abrir una página de detalles individual que contiene información más detallada.

Cómo ver eventos en el Visor de eventos

Si colocas el puntero sobre un evento en la tabla Eventos, aparecerá el ícono del visor de eventos abierto en el lado derecho del evento destacado. Haz clic en él para abrir el Visor de eventos.

La ventana Registro sin procesar muestra el signo sin procesar original en cualquiera de los siguientes formatos:

  • Sin procesar
  • JSON
  • XML
  • CSV
  • Hexadecimal/ASCII

La ventana de la UDM muestra el registro estructurado de la UDM. Puedes mantener el puntero sobre cualquiera de los campos de la UDM para ver su definición. Si seleccionas la casilla de verificación de los campos de la AUA, obtendrás opciones adicionales:

  • Puedes copiar el registro de la UDM. Selecciona uno o más campos de la UDM y, luego, selecciona la opción Copiar UDM en el menú desplegable Ver acciones. Los campos y los valores de la UDM se copian en el portapapeles del sistema.

  • Para agregar los campos de la AUA como columnas en la tabla Eventos, selecciona la opción Agregar columnas en el menú desplegable Ver acciones.

Cada campo de la AUA está etiquetado con un ícono que indica si el campo contiene datos enriquecidos o no enriquecidos. Las etiquetas de los íconos son las siguientes:

  • U: Los campos no enriquecidos contienen valores propagados durante el proceso de normalización con datos del registro sin procesar original.

  • E: Los campos enriquecidos contienen valores que Google Security Operations propaga para proporcionar contexto adicional sobre los artefactos en un entorno de cliente. Para obtener más información, consulta Cómo Google Security Operations enriquece los datos de eventos y entidades.

    Campos del UDM enriquecidos y no enriquecidos

Figura 9. Campos de la AUA en el Visualizador de eventos

Usa la opción Columnas para ajustar qué columnas de información se muestran en la tabla Eventos. Aparecerá el menú Columnas. Las opciones disponibles varían según los tipos de eventos que muestra la búsqueda de la AUA.

De forma opcional, puedes guardar el conjunto de columnas que seleccionaste aquí haciendo clic en Guardar. Asigna un nombre al conjunto de columnas seleccionadas y vuelve a hacer clic en Guardar. Para cargar un conjunto de columnas guardadas, haz clic en Cargar y selecciona el conjunto de columnas guardadas de la lista.

También puedes descargar los eventos que se muestran. Para ello, haz clic en el menú de tres puntos y selecciona Descargar como CSV. Se descargarán todos los resultados de la búsqueda hasta un millón de eventos. La interfaz de usuario indicará la cantidad de eventos que descargará.

Columnas de búsqueda de UDM

Figura 10. Columnas de búsqueda de UDM

Usa la tabla dinámica para analizar eventos

La tabla dinámica te permite analizar eventos con expresiones y funciones en función de los resultados de la Búsqueda de UDM.

Completa los siguientes pasos para abrir y configurar la tabla dinámica:

  1. Ejecuta una búsqueda de UDM.

  2. Haz clic en la pestaña Tabla dinámica para abrirla.

  3. Especifica un valor de Agrupar por para agrupar los eventos por un campo de la AUA específico. Para mostrar los resultados con mayúsculas predeterminadas o solo en minúsculas, selecciona minúsculas en el menú. Esta opción solo está disponible para los campos de cadena. Para especificar hasta 5 valores de Agrupar por, haz clic en Agregar campo.

    Si el valor de Agrupar por es uno de los campos de nombre de host, tendrás opciones de transformación adicionales:

    • Dominio de nivel N principal: Elige qué nivel del dominio quieres mostrar. Por ejemplo, si usas un valor de 1, solo se muestra el dominio de nivel superior (como com, gov o edu). Si usas un valor de 3, se muestran los siguientes dos niveles de los nombres de dominio (como google.co.uk).
    • Obtener dominio registrado: Muestra solo el nombre del dominio registrado (como google.com, nytimes.com y youtube.com).

    Si el valor de Agrupar por es uno de los campos de IP, tienes opciones de transformación adicionales:

    • Longitud del prefijo CIDR(IP) en bits: Puedes especificar de 1 a 32 para las direcciones IPv4. Para las direcciones IPv6, puedes especificar valores de hasta 128.

    Si el valor de Agrupar por incluye una marca de tiempo, tendrás opciones de transformación adicionales:

    • Resolución(tiempo) en milisegundos
    • Resolución(tiempo) en segundos
    • (Tiempo) Resolución en minutos
    • (Tiempo) Resolución en horas
    • (Tiempo) Resolución en días

  4. Especifica un valor para tu eje de pivote en la lista de campos de los resultados. Puedes especificar hasta 5 valores. Después de especificar un campo, debes seleccionar una opción de Resumen. Puedes usar las siguientes opciones para hacer resúmenes:

    • ponderada
    • count
    • count distinct
    • promedio
    • stddev
    • min
    • max

    Especifica un valor de Cantidad de eventos para mostrar la cantidad de eventos identificados para esta búsqueda de la AUA y la tabla dinámica en particular.

    Las opciones de Resumen no son compatibles de forma universal con los campos Agrupar por. Por ejemplo, las opciones sum, average, stddev, min y max solo se pueden aplicar a campos numéricos. Si intentas asociar una opción de Resumen incompatible con un campo Agrupar por, recibirás un mensaje de error.

  5. Especifica uno o más campos de la AUA y selecciona uno o más ordenes con la opción Ordenar por.

  6. Haz clic en Aplicar cuando tengas todo listo. Los resultados se muestran en la tabla dinámica.

  7. (Opcional) Para descargar la tabla dinámica, haz clic en y selecciona Descargar como CSV. Si no seleccionaste un eje, esta opción estará inhabilitada.

Ejecuta una búsqueda en Búsquedas rápidas

  1. Haz clic en Búsquedas rápidas para abrir la ventana Búsquedas rápidas. En esta ventana, se muestran tus búsquedas guardadas y el historial de búsqueda.

  2. Haz clic en cualquiera de las búsquedas que aparecen en la lista para cargarla en el campo de búsqueda de la AUA.

  3. Cuando esté todo listo, haz clic en Run Search.

Las búsquedas que se muestran se guardan en tu cuenta de Operaciones de seguridad de Google. Si necesitas modificar alguna de tus búsquedas guardadas (por ejemplo, cambiar el nombre de una búsqueda existente), borrar búsquedas guardadas o borrar búsquedas del historial de búsqueda, abre el Administrador de búsquedas haciendo clic en Ver todas las búsquedas.

Descripción general de las búsquedas guardadas y el historial de búsqueda

Haz clic en Administrador de búsqueda para usar el Administrador de búsqueda y recuperar las búsquedas guardadas y ver tu historial de búsqueda. Las búsquedas guardadas y el historial de búsqueda se almacenan en tu cuenta de Operaciones de seguridad de Google. Solo el usuario individual puede ver y acceder a las búsquedas guardadas y al historial de búsqueda, a menos que uses la función Compartir una búsqueda para compartirla con tu organización. Selecciona una búsqueda guardada para ver información adicional, como el título y la descripción.

Para guardar una búsqueda, sigue estos pasos:

  1. En la página de búsqueda de la AUA, haz clic en Guardar para guardar tu búsqueda de la AUA para más adelante. Se abrirá el Administrador de Búsqueda. Google recomienda que le des a tu búsqueda guardada un nombre significativo y una descripción en texto sin formato de lo que buscas. También puedes crear una nueva búsqueda de UDM desde el Administrador de búsquedas haciendo clic en . Las herramientas de edición y finalización estándar de la UDM también están disponibles aquí.

  2. (Opcional) Especifica las variables de marcador de posición en el formato ${<variable name>} con el mismo formato que se usa para las variables en YARA-L. Si agregas una variable a una búsqueda de la UDM, también debes incluir un mensaje para ayudar al usuario a comprender qué información debe ingresar antes de ejecutar la búsqueda. Todas las variables deben propagarse con valores antes de que se ejecute una búsqueda.

    Por ejemplo, puedes agregar metadata.vendor_name = ${vendor_name} a tu búsqueda de UDM. Para ${vendor_name}, debes agregar una instrucción para los usuarios futuros, como "Ingresa el nombre del proveedor para tu búsqueda". Cada vez que un usuario cargue esta búsqueda en el futuro, se le pedirá que ingrese el nombre del proveedor para poder ejecutarla.

  3. Haz clic en Guardar cambios cuando termines.

  4. Para ver las búsquedas guardadas, haz clic en Administrador de búsquedas y, luego, en la pestaña Guardadas.

Para recuperar y ejecutar una búsqueda guardada, haz lo siguiente:

  1. En el Administrador de búsqueda, haz clic en la pestaña Guardado.

  2. Selecciona una búsqueda guardada de la lista. Estas búsquedas guardadas se guardan en tu cuenta de Operaciones de seguridad de Google. Para borrar una búsqueda, haz clic en y selecciona Borrar búsqueda.

  3. Puedes cambiar el nombre de la búsqueda y la descripción. Haz clic en Guardar cambios cuando termines.

  4. Haz clic en Cargar búsqueda. La búsqueda se carga en el campo de búsqueda principal del UDM.

  5. Haz clic en Run Search para ver los eventos asociados con esta búsqueda.

Cómo recuperar una búsqueda de tu historial de búsqueda

Para recuperar y ejecutar una búsqueda desde tu historial de búsqueda, sigue estos pasos:

  1. En el Administrador de búsqueda, haz clic en Historial.

  2. Selecciona una búsqueda de tu historial de búsqueda. El historial de búsqueda se guarda en tu cuenta de Operaciones de seguridad de Google. Para borrar una búsqueda, haz clic en .

  3. Haz clic en Cargar búsqueda. La búsqueda se carga en el campo de búsqueda principal del UDM.

  4. Haz clic en Run Search para ver los eventos asociados con esta búsqueda.

Borra, inhabilita o habilita el historial de búsqueda

Para borrar, inhabilitar o habilitar el historial de búsqueda, haz lo siguiente:

  1. En el Administrador de búsqueda, haz clic en la pestaña Historial.

  2. Haz clic en .

  3. Selecciona Borrar historial para borrar el historial de búsqueda.

  4. Haz clic en Inhabilitar historial para inhabilitar el historial de búsqueda. Tienes las siguientes opciones:

    • Solo inhabilitar: Inhabilita el historial de búsqueda.

    • Inhabilitar y borrar: Inhabilita el historial de búsqueda y borra el historial de búsqueda guardado.

  5. Si inhabilitaste el historial de búsqueda anteriormente, puedes volver a habilitarlo haciendo clic en Habilitar el historial de búsqueda.

  6. Haz clic en Cerrar para salir del Administrador de Búsqueda.

Cómo compartir una búsqueda

Las búsquedas compartidas te permiten compartir búsquedas con el resto de tu equipo. En la pestaña Guardadas, puedes compartir o borrar búsquedas. También puedes filtrar tus búsquedas haciendo clic en el ícono de filtro junto a la barra de búsqueda y ordenarlas por Mostrar todo, Definido por Google SecOps, De mi autoría o Compartido.

No puedes editar una búsqueda compartida que no sea tuya.

  1. Haz clic en Guardado.
  2. Haz clic en la búsqueda que quieres compartir.
  3. Haz clic en en el lado derecho de la búsqueda. Aparecerá un diálogo con la opción para compartir tu búsqueda.
  4. Haz clic en Compartir con tu organización.
  5. Aparecerá un diálogo que indica que las personas de tu organización podrán ver la búsqueda que compartas. ¿Seguro que quieres compartir? Haz clic en Compartir

Si quieres que solo tú puedas ver la búsqueda, haz clic en y, luego, en Dejar de compartir. Si dejas de compartirla, solo tú podrás usar esta búsqueda.

Campos de la AUA que se pueden o no descargar en CSV desde la plataforma

En las siguientes sub secciones, se muestran los campos de la UDM compatibles y no compatibles para la descarga.

Campos disponibles

Puedes descargar los siguientes campos en un archivo CSV desde la plataforma:

  • usuario

  • Nombre de host

  • nombre del proceso

  • tipo de evento

  • timestamp

  • registro sin procesar (solo es válido cuando los registros sin procesar están habilitados para el cliente)

  • Todos los campos que comienzan con "udm.additional"

Tipos de campos válidos

Puedes descargar los siguientes tipos de campos en un archivo CSV:

  • double

  • float

  • int32

  • uint32

  • int64

  • uint64

  • bool

  • string

  • enum

  • bytes

  • google.protobuf.Timestamp

  • google.protobuf.Duration

Campos no compatibles

Los campos que comienzan con "udm" (no udm.additional) y cumplen con alguna de las siguientes condiciones no se pueden descargar a CSV:

  • El anidamiento del campo tiene más de 10 niveles de profundidad en el proto de udm.

  • El tipo de datos es Mensaje o Grupo.

¿Qué sigue?

Para obtener información sobre cómo usar datos enriquecidos con contexto en la Búsqueda de la AUA, consulta Cómo usar datos enriquecidos con contexto en la Búsqueda de la AUA.