Penelusuran UDM
Fungsi penelusuran UDM memungkinkan Anda menemukan peristiwa dan pemberitahuan Unified Data Model (UDM) dalam instance Chronicle. Penelusuran UDM mencakup berbagai opsi penelusuran, sehingga Anda dapat menavigasi melalui data UDM. Anda dapat menelusuri peristiwa UDM individual dan grup peristiwa UDM yang terkait dengan istilah penelusuran bersama.
Untuk pelanggan Chronicle Security Operations, notifikasi juga dapat diserap dari connectors dan webhook. Anda juga dapat menggunakan penelusuran UDM untuk menemukan notifikasi ini.
Untuk mengetahui informasi selengkapnya tentang UDM, lihat Memformat data log sebagai UDM dan Daftar kolom Model Data Terpadu.
Akses penelusuran UDM
Untuk mengakses Penelusuran UDM Chronicle, klik Telusuri di menu navigasi. Anda juga dapat mengakses penelusuran UDM dengan memasukkan kolom UDM yang valid dari kolom penelusuran mana pun di Chronicle, lalu menekan CTRL+Enter.
Untuk mengetahui daftar semua kolom UDM yang valid, lihat Daftar kolom Model Data Terpadu.
Gambar 1. Penelusuran UDM
Gambar 2. Jendela Penelusuran UDM yang terbuka dengan menekan CTRL+Enter
Masukkan penelusuran UDM
Selesaikan langkah-langkah berikut untuk memasukkan penelusuran UDM di kolom UDM Search. Setelah selesai memasukkan penelusuran UDM, klik Run Search. Antarmuka pengguna Chronicle hanya memungkinkan Anda memasukkan ekspresi penelusuran UDM yang valid. Anda juga dapat menyesuaikan rentang data yang akan ditelusuri dengan membuka periode rentang tanggal.
Jika penelusuran Anda terlalu luas, Chronicle akan menampilkan pesan peringatan yang menunjukkan bahwa semua hasil penelusuran tidak dapat ditampilkan. Kurangi cakupan penelusuran dan jalankan lagi. Jika penelusuran terlalu luas, Chronicle akan menampilkan hasil terbaru hingga batas penelusuran (1 juta peristiwa dan 1 ribu notifikasi). Mungkin terdapat lebih banyak peristiwa dan pemberitahuan yang cocok secara signifikan, tetapi tidak ditampilkan saat ini. Perhatikan hal ini saat menganalisis hasil. Google merekomendasikan untuk menerapkan filter tambahan dan menjalankan penelusuran awal hingga Anda berada di bawah batas. Sebagai gantinya, terapkan filter tambahan dan jalankan kembali penelusuran awal hingga Anda berada di bawah batas.
Gambar 3. Jalankan Penelusuran
Kueri UDM didasarkan pada kolom UDM, yang semuanya tercantum dalam daftar kolom Model Data Terpadu. Anda juga dapat melihat kolom UDM dalam konteks penelusuran menggunakan Filter atau Penelusuran Log Mentah.
Untuk menelusuri peristiwa, masukkan nama kolom UDM di kolom penelusuran. Antarmuka pengguna menyertakan pelengkapan otomatis dan menampilkan kolom UDM yang valid berdasarkan apa yang telah Anda masukkan.
Setelah memasukkan kolom UDM yang valid, pilih operator yang valid. Antarmuka pengguna menampilkan operator valid yang tersedia berdasarkan kolom UDM yang Anda masukkan. Operator berikut ini didukung:
<, >
<=, >=
=, !=
nocase
-- didukung untuk string
Setelah memasukkan kolom dan operator UDM yang valid, masukkan data log yang sesuai yang Anda telusuri. Jenis data berikut ini didukung:
Nilai yang dihitung: antarmuka pengguna menampilkan daftar nilai terenumerasi yang valid untuk kolom UDM tertentu.
Misalnya (gunakan tanda kutip ganda dan huruf besar semua):
metadata.event_type = "NETWORK_CONNECTION"
Nilai tambahan: Anda dapat menggunakan 'field[key] = value' untuk menelusuri kolom tambahan dan label untuk peristiwa.
Contoh:
additional.fields["key"]="value"
Bools: Anda dapat menggunakan
true
ataufalse
(semua karakter tidak peka huruf besar/kecil dan kata kunci tidak diapit tanda kutip).Contoh:
network.dns.response = true
Bilangan Bulat
Contoh:
target.port = 443
Float: Untuk kolom UDM jenis
float
, masukkan nilai floating point, seperti3.1
. Anda juga dapat memasukkan bilangan bulat, seperti3
, yang setara dengan memasukkan3.0
.Contoh:
security_result.about.asset.vulnerabilities.cvss_base_score = 3.1
atausecurity_result.about.asset.vulnerabilities.cvss_base_score = 3
Ekspresi reguler: (ekspresi reguler harus berada dalam garis miring (/))
Contoh:
principal.ip = /10.*/
Untuk informasi selengkapnya tentang ekspresi reguler, lihat halaman ekspresi reguler.
String
Misalnya (harus menggunakan tanda kutip ganda):
metadata.product_name = "Google Cloud VPC Flow Logs"
Anda dapat menggunakan operator
nocase
untuk menelusuri kombinasi versi huruf besar dan huruf kecil dari string tertentu:principal.hostname != "http-server" nocase
principal.hostname = "JDoe" nocase
principal.hostname = /dns-server-[0-9]+/ nocase
Garis miring terbalik dan tanda kutip ganda dalam string harus di-escape menggunakan karakter garis miring terbalik. Contoh:
principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""
Anda dapat menggunakan ekspresi boolean untuk lebih mempersempit kemungkinan rentang data yang ditampilkan. Contoh berikut mengilustrasikan beberapa jenis ekspresi boolean yang didukung (operator boolean
AND
,OR
, danNOT
dapat digunakan):A AND B
A OR B
(A OR B) AND (B OR C) AND (C OR NOT D)
Contoh berikut mengilustrasikan bagaimana sintaks yang sebenarnya mungkin muncul:
Peristiwa login ke server keuangan:
metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"
Contoh penggunaan ekspresi reguler untuk menelusuri eksekusi alat psexec.exe di Windows.
target.process.command_line = /\bpsexec(.exe)?\b/ nocase
Contoh penggunaan operator lebih dari (>) untuk menelusuri koneksi yang mengirim data lebih dari 10 MB.
metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000
Contoh menggunakan beberapa kondisi untuk mencari Winword meluncurkan cmd.exe atau powershell.exe.
metadata.event_type = "PROCESS_LAUNCH" and principal.process.file.full_path = /winword/ and (target.process.file.full_path = /cmd.exe/ or target.process.file.full_path = /powershell.exe/)
Anda juga dapat menggunakan Penelusuran UDM untuk menelusuri key-value pair tertentu di kolom Tambahan dan Label.
Kolom Tambahan dan Label digunakan sebagai 'catch all' yang dapat disesuaikan untuk data peristiwa yang tidak sesuai dengan kolom UDM standar. Kolom tambahan dapat berisi beberapa key-value pair. Kolom label hanya boleh berisi satu pasangan nilai kunci. Namun, setiap instance kolom hanya berisi satu kunci dan satu nilai. Kunci harus dimasukkan ke dalam tanda kurung dan nilainya harus berada di sisi kanan.
Contoh berikut menunjukkan cara menelusuri peristiwa yang berisi key-value pair yang ditentukan:
Contoh berikut menunjukkan cara menggunakan operator AND dengan penelusuran pasangan nilai kunci:additional.fields["pod_name"] = "kube-scheduler" metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"
additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"
Anda dapat menggunakan sintaksis berikut untuk menelusuri semua peristiwa yang berisi kunci yang ditentukan (terlepas dari nilainya)
Anda juga dapat menggunakan ekspresi reguler dan operatoradditional.fields["pod_name"] != ""
nocase
:additional.fields["pod_name"] = /br/ additional.fields["pod_name"] = bar nocase
Anda juga dapat menggunakan komentar blok dan satu baris.
Contoh berikut menunjukkan cara menggunakan fitur blokir komentar:
additional.fields["pod_name"] = "kube-scheduler" /* Block comments can span multiple lines. */ AND additional.fields["pod_name1"] = "kube-scheduler1"
Contoh berikut menunjukkan cara menggunakan komentar satu baris:
additional.fields["pod_name"] != "" // my single-line comment
Klik Run Search untuk menjalankan penelusuran UDM dan menampilkan hasilnya.
Peristiwa ditampilkan di halaman Penelusuran UDM di tabel linimasa Peristiwa. Anda dapat mempersempit hasil lebih lanjut dengan menambahkan kolom UDM lain secara manual atau menggunakan antarmuka.
Menelusuri kolom yang dikelompokkan
Kolom yang dikelompokkan adalah alias untuk grup kolom UDM terkait. Anda dapat menggunakannya untuk membuat kueri beberapa kolom UDM sekaligus tanpa mengetik setiap kolom satu per satu.
Contoh berikut menampilkan cara memasukkan kueri untuk dicocokkan dengan kolom UDM umum yang mungkin berisi alamat IP yang ditentukan:
ip = "1.2.3.4"
Anda dapat mencocokkan kolom yang dikelompokkan menggunakan ekspresi reguler dan operator nocase
. Daftar referensi juga didukung. Kolom yang dikelompokkan juga dapat digunakan bersama dengan kolom UDM reguler seperti yang ditunjukkan dalam contoh berikut:
ip = "5.6.7.8" AND metadata.event_type = "NETWORK_CONNECTION"
Kolom yang dikelompokkan memiliki bagian terpisah di Filter Cepat.
Jenis kolom UDM yang dikelompokkan
Anda dapat menelusuri semua kolom UDM yang dikelompokkan berikut:
Nama kolom yang dikelompokkan | Kolom UDM terkait |
domain | about.Administratif_domain about.asset.network_domain network.dns.questions.name network.dns_domain principal.seni_domain principal.asset.network_domain target.restoran_admin target.asset.nama host target.asset.network_domain target.nama host |
perantara.user.email_addresses
network.email.from network.email.to principal.user.email_addresses security_result.about.user.email_addresses target.user.email_addresses target.user.email_addresses |
|
file_path | Principal.file.full_path
principal.process.file.full_path principal.process.parent_process.file.full_path target.file.full_path target.process.file.full_path target.process.parent_process.file.full_path |
hash | about.file.md5
about.file.sha1 about.file.sha256 principal.process.file.md5 Principal.process.file.sha1 principal.process.file.sha256 security_result.about.file.sha256 target.shafile.md5 process.file.targetfile1 . |
hostname | interstisial. |
ip | perantara.ip
observer.ip principal.artifact.ip principal.asset.ip principal.ip src.artifact.ip src.asset.ip src.ip target.artifact.ip target.asset.ip target.ip |
namespace | principal.namespace
src.namespace target.namespace |
process_id | Principal.process.parent_process.pid
principal.process.parent_process.product_specific_process_id principal.process.pid principal.process.product_specific_process_id target.process.parent_process.pid target.process.parent_process.process_specific_process_id target.process.pid. |
pengguna | about.user.userid
observer.user.userid principal.user.user_display_name principal.user.userid principal.user.windows_sid src.user.userid target.user.user_display_name target.user.userid target.user.windows_sid |
Menemukan kolom UDM untuk kueri penelusuran
Saat menulis kueri Penelusuran UDM, Anda mungkin tidak tahu kolom UDM mana yang harus disertakan. Dengan UDM Lookup, Anda dapat dengan cepat menemukan nama kolom UDM yang berisi string teks dalam nama tersebut atau yang menyimpan nilai string tertentu. Data ini tidak dimaksudkan untuk digunakan untuk menelusuri jenis data lain, seperti byte, boolean, atau numerik. Anda memilih satu atau beberapa hasil yang ditampilkan oleh UDM Lookup sebagai titik awal untuk kueri Penelusuran UDM.
Untuk menggunakan UDM Lookup, lakukan hal berikut:
Dari halaman UDM Search, masukkan string teks di kolom Look up UDM fields by value, lalu klik UDM Lookup.
Pada dialog UDM Lookup, pilih satu atau beberapa opsi berikut untuk menentukan cakupan data yang akan ditelusuri:
- Kolom UDM: menelusuri teks dalam nama kolom UDM, misalnya
network.dns.questions.name
atauprincipal.ip
. - Nilai: menelusuri teks dalam nilai yang ditetapkan ke kolom UDM, misalnya
dns
ataugoogle.com
.
- Kolom UDM: menelusuri teks dalam nama kolom UDM, misalnya
Masukkan atau ubah string di kolom penelusuran. Saat Anda mengetik, hasil penelusuran akan muncul dalam dialog.
Hasilnya sedikit berbeda saat melakukan penelusuran di Kolom UDM versus Nilai. Saat menelusuri teks di Nilai, hasilnya akan muncul sebagai berikut:
- Jika ditemukan di awal atau akhir nilai, string akan ditandai dalam hasil, bersama dengan nama kolom UDM dan waktu log diserap.
- Jika string teks ditemukan di tempat lain dalam nilai, hasilnya akan menampilkan nama kolom UDM dan teks Kemungkinan pencocokan nilai.
Menelusuri dalam nilai di UDM Lookup
- Saat menelusuri string teks di nama kolom UDM, UDM Lookup menampilkan kecocokan persis yang ditemukan di lokasi mana pun dalam nama kolom tersebut.
Menelusuri dalam kolom UDM di UDM Lookup
Dalam daftar hasil, Anda dapat melakukan hal berikut:
Klik nama kolom UDM untuk melihat deskripsi kolom tersebut.
Pilih satu atau beberapa hasil dengan mengklik kotak centang di sebelah kiri setiap nama kolom UDM.
Klik tombol Reset untuk membatalkan pilihan semua kolom yang dipilih dalam daftar hasil.
Untuk menambahkan hasil yang dipilih ke kolom UDM Search, klik tombol Append to search.
Anda juga dapat menyalin hasil yang dipilih menggunakan tombol Copy UDM, lalu menutup dialog UDM Lookup dan menempelkan string kueri penelusuran ke kolom UDM Search.
Chronicle mengonversi hasil yang dipilih menjadi string kueri Penelusuran UDM sebagai nama kolom UDM atau pasangan nilai nama. Jika Anda menambahkan beberapa hasil, setiap hasil akan ditambahkan ke akhir kueri yang ada di kolom Penelusuran UDM menggunakan operator
OR
.String kueri yang ditambahkan berbeda-beda, bergantung pada jenis pencocokan yang ditampilkan oleh UDM Lookup.
Jika hasilnya cocok dengan string teks dalam nama kolom UDM, nama lengkap kolom UDM akan ditambahkan ke kueri. Berikut adalah contohnya:
principal.artifact.network.dhcp.client_hostname
Jika hasilnya cocok dengan string teks di awal atau akhir nilai, pasangan nama-nilai akan berisi nama kolom UDM dan nilai lengkap dalam hasil. Berikut adalah contohnya:
metadata.log_type = "PCAP_DNS"
network.dns.answers.name = "dns-A901F3j.hat.example.com"
Jika hasilnya menyertakan teks Kemungkinan pencocokan nilai, pasangan nama-nilai akan berisi nama kolom UDM dan ekspresi reguler yang berisi istilah penelusuran. Berikut adalah contohnya:
principal.process.file.full_path = /google/ NOCASE
Edit kueri Penelusuran UDM agar sesuai dengan kasus penggunaan Anda. String kueri yang dihasilkan oleh UDM Lookup adalah titik awal untuk menulis kueri Penelusuran UDM lengkap.
Ringkasan perilaku Pencarian UDM
Bagian ini memberikan detail selengkapnya tentang kemampuan UDM Lookup.
- UDM Lookup menelusuri data yang diserap setelah 10 Agustus 2023. Data yang diserap sebelum data ini tidak ditelusuri. Metode ini menampilkan hasil yang ditemukan di kolom UDM yang tidak diperkaya. Parameter ini tidak menampilkan kecocokan ke kolom yang diperkaya. Untuk informasi tentang kolom yang diperkaya versus yang tidak diperkaya, lihat Melihat acara di Event Viewer.
- Penelusuran yang menggunakan UDM Lookup tidak peka huruf besar/kecil. Istilah
hostname
menampilkan hasil yang sama denganHostName
. - Tanda hubung (
-
) dan garis bawah (_
) dalam string teks kueri akan diabaikan saat menelusuri Nilai. String teksdns-l
dandnsl
menampilkan nilaidns-l
. Saat menelusuri Nilai, UDM Lookup tidak menampilkan kecocokan dalam kasus berikut:
Cocok dengan kolom UDM berikut: metadata.product_log_id
network.session_id
security_result.rule_id
network.parent_session_id
Mencocokkan kolom UDM dengan nama jalur lengkap yang diakhiri dengan salah satu nilai berikut: .pid
Misalnyatarget.process.pid
..asset_id
Misalnyaprincipal.asset_id
..product_specific_process_id
Misalnyaprincipal.process.product_specific_process_id
..resource.id
Misalnyaprincipal.resource.id
.
Saat menelusuri Nilai, UDM Lookup menampilkan pesan Kemungkinan pencocokan nilai dalam hasil bila kecocokan ditemukan dalam kasus berikut:
Cocok dengan kolom UDM berikut: metadata.description
security_result.description
security_result.detection_fields.value
security_result.summary
network.http.user_agent
Mencocokkan kolom dengan nama jalur lengkap yang diakhiri dengan salah satu nilai berikut: .command_line
Misalnyaprincipal.process.command_line
..file.full_path
Misalnyaprincipal.process.file.full_path
..labels.value
Misalnyasrc.labels.value
..registry.registry_key
Misalnyaprincipal.registry.registry_key
..url
Misalnyaprincipal.url
.
Mencocokkan kolom dengan nama jalur lengkap yang dimulai dengan nilai berikut: additional.fields.value.
Misalnyaadditional.fields.value.null_value
.
Lihat notifikasi di Penelusuran UDM
Untuk melihat pemberitahuan, klik tab Notifikasi di sebelah kanan tab Peristiwa di sudut kanan atas halaman Penelusuran UDM.
Cara notifikasi ditampilkan
Chronicle mengevaluasi peristiwa yang ditampilkan dalam penelusuran UDM berdasarkan peristiwa yang ada untuk pemberitahuan di lingkungan pelanggan. Saat peristiwa kueri penelusuran cocok dengan peristiwa yang ada di notifikasi, peristiwa tersebut akan ditampilkan di linimasa pemberitahuan dan tabel notifikasi yang dihasilkan.
Definisi peristiwa dan notifikasi
Peristiwa dihasilkan dari sumber log mentah yang diserap ke Chronicle dan diproses melalui proses penyerapan dan normalisasi Chronicle. Beberapa peristiwa dapat dibuat dari satu data sumber log mentah. Peristiwa mewakili serangkaian titik data yang relevan dengan keamanan yang dihasilkan dari log mentah tersebut.
Dalam penelusuran UDM, pemberitahuan didefinisikan sebagai deteksi aturan YARA-L dengan pemberitahuan diaktifkan. Lihat menjalankan aturan terhadap data live untuk mempelajari lebih lanjut.
Sumber data lainnya dapat ditransfer ke Chronicle sebagai notifikasi, seperti Crowdstrike Falcon Alerts. Notifikasi ini tidak akan muncul dalam penelusuran UDM, kecuali jika notifikasi tersebut diproses oleh Chronicle Detection Engine sebagai aturan YARA-L.
Gambar 4. Linimasa pemberitahuan
Peristiwa yang dikaitkan dengan satu atau beberapa notifikasi akan ditandai dengan chip Notifikasi di Linimasa Peristiwa. Jika ada beberapa pemberitahuan yang terkait dengan linimasa, chip akan menampilkan jumlah pemberitahuan terkait.
Linimasa menampilkan 1.000 peringatan terbaru yang diambil dari hasil penelusuran. Saat batas 1.000 tercapai, tidak ada lagi pemberitahuan yang diambil. Untuk memastikan Anda melihat semua hasil yang relevan dengan penelusuran Anda, saring penelusuran Anda dengan filter.
Cara menyelidiki pemberitahuan
Guna mempelajari cara menggunakan Grafik notifikasi dan Detail notifikasi untuk menyelidiki notifikasi, ikuti langkah-langkah yang diuraikan di Menyelidiki notifikasi.
Menggunakan daftar referensi dalam penelusuran UDM
Proses untuk menerapkan daftar referensi di Aturan juga dapat digunakan dalam penelusuran. Maksimal tujuh daftar dapat disertakan dalam satu kueri penelusuran. Semua jenis daftar referensi (string, ekspresi reguler, CIDR) didukung.
Anda dapat membuat daftar variabel apa pun yang ingin dilacak. Misalnya, Anda dapat membuat daftar alamat IP yang mencurigakan:
// Field value exists in reference list principal.ip IN %suspicious_ips
Dan Anda dapat menggunakan beberapa daftar dengan menggunakan AND
atau OR
:
// multiple lists can be used with AND or OR principal.ip IN %suspicious_ips AND principal.hostname IN %suspicious_hostnames
Saring hasil penelusuran
Anda dapat menggunakan antarmuka pengguna penelusuran UDM untuk memfilter dan menyaring hasil sebagai alternatif untuk memodifikasi penelusuran UDM dan menjalankan kembali penelusuran.
Diagram linimasa
Diagram linimasa memberikan representasi grafis dari jumlah peristiwa dan pemberitahuan yang terjadi setiap hari, yang ditampilkan oleh penelusuran UDM saat ini. Peristiwa dan pemberitahuan ditampilkan pada diagram linimasa yang sama, yang tersedia di tab Peristiwa dan Notifikasi.
Lebar setiap batang bergantung pada interval waktu yang ditelusuri. Misalnya, setiap batang akan mewakili 10 menit jika penelusuran mencakup data selama 24 jam. Diagram ini diperbarui secara dinamis saat Anda memodifikasi penelusuran UDM yang ada.
Gambar 8. Diagram linimasa peristiwa
Penyesuaian rentang waktu
Anda dapat menyesuaikan rentang waktu untuk diagram dengan menggerakkan kontrol penggeser putih ke kiri dan ke kanan untuk menyesuaikan rentang waktu dan fokus pada periode yang diinginkan. Saat Anda menyesuaikan rentang waktu, tabel UDM serta Nilai dan Peristiwa akan diperbarui untuk mencerminkan pilihan saat ini. Anda juga dapat mengklik satu batang pada grafik untuk mencantumkan hanya peristiwa-peristiwa dalam periode waktu tersebut.
Setelah Anda menyesuaikan rentang waktu, kotak centang Peristiwa yang Difilter dan Peristiwa Kueri akan muncul, sehingga Anda dapat membatasi lebih lanjut jenis peristiwa yang ditampilkan.
Gambar 9. Diagram linimasa peristiwa dengan kontrol rentang waktu
Mengubah Penelusuran UDM dengan Filter Cepat
Dengan Filter Cepat, Anda dapat lebih mempersempit penelusuran UDM. Anda dapat men-scroll daftar kolom UDM atau menelusuri kolom atau nilai UDM tertentu menggunakan kolom Penelusuran. Kolom UDM yang tercantum di sini terkait dengan daftar peristiwa yang ada yang dihasilkan oleh penelusuran UDM Anda. Setiap kolom UDM berisi jumlah peristiwa dalam penelusuran UDM Anda saat ini, yang juga menyertakan bagian data ini. Daftar kolom UDM menampilkan total jumlah nilai unik dalam kolom. Fitur ini memungkinkan Anda mencari jenis data log tertentu yang mungkin menarik lebih lanjut.
Kolom UDM tercantum dalam urutan berikut:
- Kolom dengan peristiwa tertinggi akan dihitung hingga jumlah peristiwa terendah.
- Kolom yang hanya memiliki 1 nilai selalu berada di urutan terakhir.
- Kolom dengan total jumlah peristiwa yang sama persis diurutkan menurut abjad dari A sampai Z.
Gambar 10. Filter Cepat
Mengubah Filter Cepat
Jika memilih nilai kolom UDM di daftar Filter Cepat dan mengklik ikon menu, Anda akan diberi opsi untuk Tampilkan hanya peristiwa yang juga menyertakan nilai kolom UDM tersebut atau Filter nilai kolom UDM. Jika kolom UDM menyimpan nilai bilangan bulat (contoh: target.port
), Anda juga akan melihat opsi untuk memfilter berdasarkan <,>,<=,>=
. Opsi filter akan mempersingkat daftar peristiwa yang ditampilkan.
Anda juga dapat menyematkan kolom (menggunakan ikon pin push) di Filter Cepat untuk menyimpannya sebagai favorit. Filter tersebut akan muncul di bagian atas daftar Filter Cepat.
Gambar 11. Contoh: Pilih Hanya Tampilkan
Filter UDM tambahan ini juga ditambahkan ke kolom filter peristiwa di atas. Kolom filter peristiwa membantu Anda melacak kolom UDM tambahan yang telah Anda tambahkan ke penelusuran UDM. Anda juga dapat menghapus kolom UDM tambahan ini dengan cepat jika diperlukan.
Gambar 12. Memfilter peristiwa
Jika Anda mengklik ikon menu Filter peristiwa atau Tambahkan Filter di sebelah kiri, jendela akan terbuka yang memungkinkan Anda memilih kolom UDM tambahan.
Gambar 13. Jendela filter peristiwa
Saat Anda mengklik TERAPKAN ke Penelusuran dan Menjalankan, kolom UDM ditambahkan ke kolom Filter peristiwa (lihat Gambar 8) dan peristiwa yang ditampilkan difilter berdasarkan filter tambahan tersebut. Anda juga dapat mengklik Terapkan ke Penelusuran dan Jalankan untuk menambahkannya ke kolom Penelusuran UDM utama di bagian atas halaman. Penelusuran dijalankan kembali secara otomatis menggunakan parameter tanggal dan waktu yang sama. Google merekomendasikan untuk mempersempit penelusuran Anda sebanyak mungkin sebelum mengklik TERAPKAN ke Penelusuran dan Menjalankan. Hal ini membantu meningkatkan akurasi dan mengurangi waktu penelusuran.
Melihat peristiwa di tabel Peristiwa
Semua filter dan kontrol ini akan memperbarui daftar peristiwa yang ditampilkan di tabel Peristiwa. Klik salah satu peristiwa yang tercantum untuk membuka Log Viewer tempat Anda dapat memeriksa log mentah dan data UDM untuk peristiwa tersebut. Jika mengklik stempel waktu suatu peristiwa, Anda juga dapat membuka Tampilan aset, alamat IP, Domain, Hash, atau Pengguna terkait. Anda juga dapat menggunakan kolom Penelusuran di bagian atas tabel untuk menemukan peristiwa tertentu.
Gambar 14. Tabel peristiwa
Melihat pemberitahuan di tabel Alerts
Anda dapat melihat pemberitahuan dengan mengklik tab Notifikasi di sisi kanan tab Peristiwa. Anda dapat menggunakan Filter Cepat untuk mengurutkan notifikasi berdasarkan:
- Kasus
- Nama
- Prioritas
- Tingkat keparahan
- Status
- Putusan
Hal ini memungkinkan Anda berfokus pada pemberitahuan yang paling penting bagi Anda.
Pemberitahuan ditampilkan pada jangka waktu yang sama dengan peristiwa di tab Peristiwa. Hal ini memungkinkan Anda melihat hubungan antara peristiwa dan notifikasi dengan mudah.
Jika Anda ingin mempelajari notifikasi tertentu lebih lanjut, klik notifikasi tersebut, dan setiap halaman detail notifikasi akan terbuka yang berisi informasi yang lebih mendalam tentang notifikasi tersebut.
Melihat acara di {i>Event Viewer<i}
Jika Anda mengarahkan kursor ke peristiwa di tabel Peristiwa, ikon buka penampil peristiwa akan muncul di sisi kanan peristiwa yang ditandai. Klik untuk membuka {i>Event Viewer<i}.
Gambar 15. Event Viewer
Jendela Raw Log menampilkan log mentah asli dalam salah satu format berikut:
- Mentah
- JSON
- XML
- CSV
- Heks/ASCII
Jendela UDM menampilkan data UDM terstruktur. Anda dapat mengarahkan kursor ke kolom UDM mana pun dan jendela pop-up akan menampilkan definisi UDM. Dengan memilih kotak centang untuk kolom UDM, Anda mendapatkan opsi tambahan:
Anda dapat menyalin data UDM. Pilih satu atau beberapa kolom UDM, lalu pilih opsi Copy UDM dari menu drop-down Lihat Tindakan. Kolom UDM dan nilai UDM disalin ke papan klip sistem.
Anda dapat menambahkan kolom UDM sebagai kolom di tabel Peristiwa dengan memilih opsi Tambahkan Kolom dari menu drop-down Lihat Tindakan.
Setiap kolom UDM diberi label dengan ikon yang menunjukkan apakah kolom tersebut berisi data yang diperkaya atau tidak diperkaya. Label ikon adalah sebagai berikut:
- U: Kolom yang tidak diperkaya berisi nilai yang diisi selama proses normalisasi menggunakan data dari log mentah asli.
E: Kolom yang diperkaya berisi nilai yang diisi Chronicle untuk memberikan konteks tambahan tentang artefak di lingkungan pelanggan. Untuk mengetahui informasi selengkapnya, lihat Cara Chronicle memperkaya data peristiwa dan entity.
Gambar 16. Kolom UDM di Event Viewer
Menggunakan opsi Kolom untuk Penelusuran UDM
Gunakan opsi Kolom untuk menyesuaikan kolom informasi yang ditampilkan di tabel Peristiwa. Menu pop-up Columns ditampilkan. Opsi yang tersedia bervariasi bergantung pada jenis peristiwa yang ditampilkan oleh Penelusuran UDM.
Anda dapat memilih untuk menyimpan kumpulan kolom yang telah dipilih di sini dengan mengklik Simpan. Beri nama kumpulan kolom yang dipilih, lalu klik Simpan lagi. Anda dapat memuat kumpulan kolom yang disimpan dengan mengklik Muat dan memilih kumpulan kolom yang disimpan dari daftar.
Anda juga dapat mendownload acara yang ditampilkan dengan mengklik menu tiga titik dan memilih Download sebagai CSV. Tindakan ini akan mendownload semua hasil penelusuran hingga satu juta peristiwa. Antarmuka pengguna akan menunjukkan jumlah peristiwa yang akan didownload.
Gambar 17. Kolom Penelusuran UDM
Menggunakan Tabel Pivot untuk menganalisis peristiwa
Tabel Pivot memungkinkan Anda menganalisis kejadian menggunakan ekspresi dan fungsi terhadap hasil dari Penelusuran UDM.
Selesaikan langkah-langkah berikut untuk membuka dan mengonfigurasi Tabel Pivot:
Jalankan penelusuran UDM.
Klik tab Pivot untuk membuka Tabel Pivot.
Tentukan nilai Group By untuk mengelompokkan peristiwa berdasarkan kolom UDM tertentu. Anda dapat menampilkan hasil menggunakan kapitalisasi default atau menggunakan huruf kecil hanya dengan memilih huruf kecil dari menu. Opsi ini hanya tersedia untuk kolom string. Anda dapat menentukan hingga 5 nilai Group By dengan mengklik Tambahkan Kolom.
Jika nilai Group By adalah salah satu kolom nama host, Anda akan memiliki opsi Transformasi tambahan:
- Domain Tingkat N Teratas—Pilih tingkat domain yang akan ditampilkan.
Misalnya, menggunakan nilai 1 hanya akan menampilkan domain level teratas (seperti
com
,gov
, atauedu
). Menggunakan nilai 3 akan menampilkan dua level berikutnya dari nama domain (sepertigoogle.co.uk
). - Get Registered Domain—Hanya menampilkan nama domain terdaftar (seperti
google.com
,nytimes.com
, danyoutube.com
).
Jika nilai Group By adalah salah satu kolom IP, Anda memiliki opsi Transformasi tambahan:
- (IP) Panjang Awalan CIDR dalam bit—Anda dapat menentukan 1 hingga 32 untuk alamat IPv4. Untuk alamat IPv6, Anda dapat menentukan nilai hingga 128.
Jika nilai Group By menyertakan stempel waktu, Anda akan memiliki opsi Transformasi tambahan:
- (Waktu) Resolusi dalam milidetik
- (Waktu) Resolusi dalam detik
- (Waktu) Resolusi dalam menit
- (Waktu) Resolusi dalam jam
- (Waktu) Resolusi dalam hari
- Domain Tingkat N Teratas—Pilih tingkat domain yang akan ditampilkan.
Misalnya, menggunakan nilai 1 hanya akan menampilkan domain level teratas (seperti
Tentukan Nilai untuk Pivot Anda dari daftar Kolom di hasil Anda. Anda dapat menentukan hingga 5 nilai. Setelah menentukan Kolom, Anda harus memilih opsi Ringkas. Anda dapat meringkas dengan opsi berikut:
- jumlah
- count
- jumlah berbeda
- rata-rata
- stddev
- mnt
- max
Tentukan nilai Jumlah Peristiwa agar hanya menampilkan jumlah peristiwa yang diidentifikasi untuk penelusuran UDM dan Tabel Pivot tertentu ini.
Opsi Summarize tidak kompatibel secara universal dengan kolom Group By. Misalnya, opsi sum, average, stddev, min, dan max hanya dapat diterapkan ke kolom numerik. Anda akan menerima pesan error jika mencoba mengaitkan opsi Summarize yang tidak kompatibel dengan kolom Group By.
Tentukan satu atau beberapa kolom UDM, lalu pilih satu atau beberapa urutkan dengan menggunakan opsi Urutkan Menurut.
Klik Terapkan jika Anda sudah siap. Hasilnya ditampilkan di Tabel Pivot.
(Opsional) Untuk mendownload tabel pivot, klik
, lalu pilih Download sebagai CSV. Jika Anda tidak memilih pivot, opsi ini akan dinonaktifkan.
Menjalankan penelusuran di Penelusuran Cepat
Klik Penelusuran Cepat untuk membuka jendela Penelusuran Cepat. Jendela ini menampilkan penelusuran tersimpan dan histori penelusuran Anda.
Klik penelusuran yang tercantum untuk memuatnya ke kolom penelusuran UDM.
Klik Jalankan Penelusuran jika Anda sudah siap.
Penelusuran yang tercantum akan disimpan ke akun Chronicle Anda. Jika Anda perlu mengubah penelusuran tersimpan (misalnya, mengganti nama penelusuran yang ada), menghapus penelusuran tersimpan, atau menghapus penelusuran dari histori penelusuran, buka Pengelola Penelusuran dengan mengklik Lihat Semua Penelusuran.
Ringkasan histori penelusuran dan penelusuran tersimpan
Gunakan Pengelola Penelusuran untuk mengambil penelusuran tersimpan dan melihat histori penelusuran Anda dengan mengklik Pengelola Penelusuran. Penelusuran yang tersimpan dan histori penelusuran akan disimpan dengan akun Chronicle Anda. Penelusuran tersimpan dan histori penelusuran hanya dapat dilihat dan diakses oleh masing-masing pengguna, kecuali jika Anda menggunakan fitur Bagikan penelusuran untuk membagikan penelusuran dengan organisasi Anda. Pilih penelusuran tersimpan untuk melihat informasi tambahan, termasuk judul dan deskripsi.
Menyimpan penelusuran
Untuk menyimpan penelusuran:
Dari halaman Penelusuran UDM, klik Save untuk menyimpan penelusuran UDM Anda untuk nanti. Tindakan ini akan membuka Pengelola Penelusuran. Google merekomendasikan untuk memberi penelusuran tersimpan Anda nama yang bermakna dan deskripsi teks biasa tentang hal yang Anda telusuri. Anda juga dapat membuat penelusuran UDM baru dari dalam Pengelola Penelusuran dengan mengklik
. Alat pengeditan dan penyelesaian UDM standar juga tersedia di sini.(Opsional) Tentukan variabel placeholder dalam format
$<variable name>
menggunakan format yang sama seperti yang digunakan untuk variabel di YARA-L. Jika menambahkan variabel ke penelusuran UDM, Anda juga harus menyertakan perintah untuk membantu pengguna memahami informasi apa yang harus dimasukkan sebelum menjalankan penelusuran. Semua variabel harus diisi dengan nilai sebelum penelusuran dijalankan.Misalnya, Anda dapat menambahkan
metadata.vendor_name = $vendor_name
ke penelusuran UDM. Untuk$vendor_name
, Anda perlu menambahkan perintah untuk pengguna mendatang, seperti "Masukkan nama vendor untuk penelusuran Anda". Setiap kali pengguna memuat penelusuran ini di masa mendatang, mereka akan diminta untuk memasukkan nama vendor sebelum dapat menjalankan penelusuran.Klik Simpan Hasil Edit setelah selesai.
Untuk melihat penelusuran tersimpan, klik Search Manager, lalu klik tab Disimpan.
Mengambil penelusuran tersimpan
Untuk mengambil dan menjalankan penelusuran tersimpan:
Di Search Manager, klik tab Saved.
Pilih penelusuran tersimpan dari daftar. Penelusuran tersimpan ini disimpan ke akun Chronicle Anda. Anda dapat menghapus penelusuran dengan mengklik
dan memilih Hapus Penelusuran.Anda dapat mengubah nama penelusuran dan deskripsi. Klik Simpan Hasil Edit setelah selesai.
Klik Load Search. Penelusuran akan dimuat ke kolom penelusuran UDM utama.
Klik Run Search untuk melihat peristiwa yang terkait dengan penelusuran ini.
Mengambil penelusuran dari histori penelusuran
Untuk mengambil dan menjalankan penelusuran dari histori penelusuran:
Di Pengelola Penelusuran, klik Histori.
Pilih penelusuran dari histori penelusuran Anda. Histori penelusuran Anda disimpan ke akun Chronicle. Anda dapat menghapus penelusuran dengan mengklik
Klik Load Search. Penelusuran akan dimuat ke kolom penelusuran UDM utama.
Klik Run Search untuk melihat peristiwa yang terkait dengan penelusuran ini.
Menghapus, menonaktifkan, atau mengaktifkan histori penelusuran
Untuk menghapus, menonaktifkan, atau mengaktifkan histori penelusuran:
Di Search Manager, klik tab History.
Klik
.Pilih Hapus Histori untuk menghapus histori penelusuran.
Klik Nonaktifkan Histori untuk menonaktifkan histori penelusuran. Anda memiliki opsi untuk:
Memilih Tidak Ikut Saja—Menonaktifkan histori penelusuran.
Memilih Tidak Ikut dan Hapus—Nonaktifkan histori penelusuran dan hapus histori penelusuran yang tersimpan.
Jika sebelumnya Anda telah menonaktifkan riwayat penelusuran, Anda dapat mengaktifkannya lagi dengan mengeklik Aktifkan Riwayat Penelusuran.
Klik Close untuk keluar dari Pengelola Penelusuran.
Membagikan penelusuran
Penelusuran bersama memungkinkan Anda berbagi penelusuran dengan anggota tim lainnya. Di tab Tersimpan, Anda dapat membagikan atau menghapus penelusuran. Anda juga dapat memfilter penelusuran dengan mengklik ikon filter di samping kotak penelusuran dan mengurutkan penelusuran menurut Tampilkan semua, Chronicledefined, Ditulis oleh Saya, atau Dibagikan.
Anda tidak dapat mengedit penelusuran bersama yang bukan milik Anda.
- Klik Tersimpan.
- Klik penelusuran yang ingin dibagikan.
- Klik di sisi kanan penelusuran. Kotak dialog dengan opsi untuk membagikan penelusuran akan muncul.
- Klik Bagikan ke Organisasi Anda.
- Jendela pop-up akan muncul yang bertuliskan Berbagi penelusuran Anda akan terlihat oleh orang di organisasi Anda. Yakin ingin berbagi? Klik Bagikan.
Jika Anda hanya ingin agar penelusuran terlihat oleh Anda, klik
, lalu klik Berhenti Berbagi. Jika Anda berhenti berbagi, hanya Anda yang dapat menggunakan penelusuran ini.Langkah selanjutnya
Untuk mengetahui informasi tentang cara menggunakan data yang diperkaya konteks di Penelusuran UDM, lihat Menggunakan data yang diperkaya konteks di Penelusuran UDM.