Ricerca UDM

La funzione di ricerca UDM ti consente di trovare eventi e avvisi del modello di dati unificato (UDM) all'interno dell'istanza Google Security Operations. La ricerca UDM include una varietà di opzioni di ricerca che ti permettono di navigare tra i dati. Puoi cercare singoli eventi UDM e gruppi di eventi UDM associati a termini di ricerca condivisi.

Per i clienti di Google Security Operations, gli avvisi possono essere importati anche da connectors e webhook. Per trovare questi avvisi, puoi utilizzare anche la ricerca UDM.

Per saperne di più su UDM, consulta gli articoli Formattare i dati dei log come UDM ed Elenco dei campi Modello di dati unificato.

Accedi alla ricerca UDM

Per accedere a Google Security Operations UDM Search, fai clic su Cerca nella barra di navigazione. Puoi accedere alla ricerca UDM anche inserendo un campo UDM valido da qualsiasi campo di ricerca in Google Security Operations e premendo Ctrl+Invio.

Per un elenco di tutti i campi UDM validi, consulta l'elenco dei campi del modello di dati unificato.

Figura 1. ricerca UDM

Figura 2. Finestra di ricerca UDM che si apre con Ctrl + Invio

Inserisci una ricerca UDM

Completa i seguenti passaggi per inserire una ricerca UDM nel campo Ricerca UDM. Quando hai finito di inserire una ricerca UDM, fai clic su Esegui ricerca. L'interfaccia utente di Google Security Operations consente di inserire solo un'espressione di ricerca UDM valida. Puoi anche modificare l'intervallo di dati da cercare aprendo la finestra dell'intervallo di date.

Se la ricerca è troppo generica, Google Security Operations restituisce un messaggio di avviso che indica che non è possibile visualizzare tutti i risultati di ricerca. Riduci l'ambito della ricerca ed eseguila di nuovo. Quando una ricerca è troppo generica, Google Security Operations restituisce i risultati più recenti fino al limite di ricerca (un milione di eventi e mille avvisi). Potrebbero esserci molti più eventi e avvisi corrispondenti, ma che al momento non vengono visualizzati. Tienilo presente quando analizzi i risultati. Google consiglia di applicare filtri aggiuntivi ed eseguire la ricerca originale finché non si trova al di sotto del limite. Applica filtri aggiuntivi ed esegui nuovamente la ricerca originale fino a raggiungere il limite.

Figura 3. Esegui ricerca

Le query UDM si basano sui campi UDM, tutti elencati nell'elenco dei campi Modello di dati unificato. Puoi anche visualizzare i campi UDM nel contesto delle ricerche utilizzando i filtri o la ricerca nei log non elaborati.

1. Per cercare gli eventi, inserisci il nome di un campo UDM nel campo di ricerca. L'interfaccia utente include il completamento automatico e mostra campi UDM validi in base a ciò che hai inserito.

2. Dopo aver inserito un campo UDM valido, seleziona un operatore valido. L'interfaccia utente mostra gli operatori validi disponibili in base al campo UDM che hai inserito. Sono supportati i seguenti operatori:

   • <, >
   • <=, >=
   • =, !=
   • nocase -- supportato per le stringhe

3. Dopo aver inserito un operatore e un campo UDM validi, inserisci i dati di log corrispondenti che stai cercando. Sono supportati i seguenti tipi di dati:

   • Valori enumerati:l'interfaccia utente mostra un elenco di valori enumerati validi per un determinato campo UDM.

     Ad esempio (utilizza le virgolette doppie e tutto in maiuscolo): metadata.event_type = "NETWORK_CONNECTION"

   • Valori aggiuntivi: puoi utilizzare "campo[chiave] = valore" per cercare campi aggiuntivi ed etichette per gli eventi.

     Ad esempio: additional.fields["key"]="value"

   • Bool: puoi utilizzare true o false (tutti i caratteri non fanno distinzione tra maiuscole e minuscole e la parola chiave non è racchiusa tra virgolette).

     Ad esempio: network.dns.response = true

   • Numeri interi

     Ad esempio: target.port = 443

   • Virgola mobile: per i campi UDM di tipo float, inserisci un valore in virgola mobile, ad esempio 3.1. Puoi anche inserire un numero intero, ad esempio 3, che equivale a inserire 3.0.

     Ad esempio: security_result.about.asset.vulnerabilities.cvss_base_score = 3.1 o security_result.about.asset.vulnerabilities.cvss_base_score = 3

   • Espressioni regolari: (l'espressione regolare deve essere all'interno di una barra (/))

     Ad esempio: principal.ip = /10.*/

     Per ulteriori informazioni sulle espressioni regolari, consulta la pagina dedicata alle espressioni regolari.

   • Stringhe

     Ad esempio (è necessario utilizzare le virgolette doppie): metadata.product_name = "Google Cloud VPC Flow Logs"

4. Puoi utilizzare l'operatore nocase per cercare qualsiasi combinazione di versioni maiuscole e minuscole di una determinata stringa:

   • principal.hostname != "http-server" nocase
   • principal.hostname = "JDoe" nocase
   • principal.hostname = /dns-server-[0-9]+/ nocase

5. Le barre rovesciate e le virgolette doppie nelle stringhe devono essere precedute da una barra rovesciata. Ad esempio:

   • principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
   • target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""

6. Puoi utilizzare espressioni booleane per restringere ulteriormente l'intervallo possibile di dati visualizzati. I seguenti esempi illustrano alcuni tipi di espressioni booleane supportate (è possibile utilizzare gli operatori booleani AND, OR e NOT):

   • A AND B
   • A OR B
   • (A OR B) AND (B OR C) AND (C OR NOT D)

   I seguenti esempi illustrano come potrebbe apparire la sintassi effettiva:

   Eventi di accesso al server finanziario:

   metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"

   Esempio di utilizzo di un'espressione regolare per cercare l'esecuzione dello strumento psexec.exe su Windows.

   target.process.command_line = /\bpsexec(.exe)?\b/ nocase

   Esempio di utilizzo dell'operatore "più di" (>) per cercare connessioni in cui sono stati inviati più di 10 MB di dati.

   metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000

   Esempio di utilizzo di più condizioni per cercare Winword avviando cmd.exe o powershell.exe.

       metadata.event_type = "PROCESS_LAUNCH" and
       principal.process.file.full_path = /winword/ and
       (target.process.file.full_path = /cmd.exe/ or
       target.process.file.full_path = /powershell.exe/)

7. Puoi anche utilizzare la ricerca UDM per cercare coppie chiave-valore specifiche nei campi Additional ed Etichetta.

   I campi Aggiuntivo ed Etichetta vengono utilizzati come catch all personalizzabile per i dati degli eventi che non rientrano in un campo UDM standard. I campi aggiuntivi possono contenere più coppie chiave-valore. I campi delle etichette possono contenere solo una singola coppia chiave-valore. Tuttavia, ogni istanza del campo contiene una sola chiave e un solo valore. La chiave deve essere inserita tra le parentesi e il valore deve essere a destra.

   I seguenti esempi mostrano come cercare eventi contenenti coppie chiave-valore specificate:

       additional.fields["pod_name"] = "kube-scheduler"
       metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"

   L'esempio seguente mostra come utilizzare l'operatore AND con le ricerche di coppie chiave-valore:

       additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"

   Puoi utilizzare la seguente sintassi per cercare tutti gli eventi contenenti la chiave specificata (indipendentemente dal valore)

       additional.fields["pod_name"] != ""

   Puoi anche utilizzare espressioni regolari e l'operatore nocase:

       additional.fields["pod_name"] = /br/
       additional.fields["pod_name"] = bar nocase

8. Puoi anche utilizzare commenti a blocchi e su una sola riga.

   L'esempio seguente mostra come utilizzare un commento di blocco:

       additional.fields["pod_name"] = "kube-scheduler"
       /*
       Block comments can span
       multiple lines.
       */
       AND additional.fields["pod_name1"] = "kube-scheduler1"

   L'esempio seguente mostra come utilizzare un commento di una sola riga:

       additional.fields["pod_name"] != "" // my single-line comment

9. Fai clic su Esegui ricerca per eseguire la ricerca UDM e visualizzare i risultati.

10. Gli eventi vengono visualizzati nella pagina Ricerca UDM nella tabella della sequenza temporale degli eventi. Puoi restringere ulteriormente i risultati aggiungendo altri campi UDM manualmente o utilizzando l'interfaccia.

Cerca campi raggruppati

I campi raggruppati sono alias per i gruppi di campi UDM correlati. Puoi utilizzarle per eseguire query su più campi UDM contemporaneamente senza digitare ogni campo singolarmente.

L'esempio seguente mostra come inserire una query in modo che corrisponda ai campi UDM comuni che potrebbero contenere l'indirizzo IP specificato:

    ip = "1.2.3.4"

Puoi trovare una corrispondenza con un campo raggruppato utilizzando un'espressione regolare e l'operatore nocase. Sono supportati anche gli elenchi di riferimento. I campi raggruppati possono essere utilizzati anche in combinazione con i normali campi UDM, come mostrato nell'esempio seguente:

    ip = "5.6.7.8" AND metadata.event_type = "NETWORK_CONNECTION"

I campi raggruppati hanno una sezione separata in Filtri rapidi.

Tipi di campi UDM raggruppati

Puoi eseguire la ricerca in tutti i seguenti campi UDM raggruppati:

Nome campo aggregato	Campi UDM associati
dominio	about.administrative_domain about.asset.network_domain network.dns.questions.name network.dns_domain principal.administrative_domain principal.asset.network_domain target.administrative_domain target.asset.hostname target.asset.network_domain target.hostname
email	intermediary.user.email_addresses network.email.from network.email.to principal.user.email_addresses security_result.about.user.email_addresses target.user.email_addresses
file_path	principal.file.full_path principal.process.file.full_path principal.process.parent_process.file.full_path target.file.full_path target.process.file.full_path target.process.parent_process.file.full_path
cancelletto	about.file.md5 about.file.sha1 about.file.sha256 principal.process.file.md5 principal.process.file.sha1 principal.process.file.sha256 security_result.about.file.sha256 target.file.md5 target.file.sha1.
nome host	intermediary.hostname observer.nomehost principal.asset.hostname principal.hostname src.asset.hostname src.hostname target.asset.hostname target.hostname
ip	intermediary.ip observer.ip principal.artifact.ip principal.asset.ip principal.ip src.artifact.ip src.asset.ip src.ip target.artifact.ip target.asset.ip target.ip
spazio dei nomi	principal.namespace src.namespace target.namespace
process_id	principal.process.parent_process.pid principal.process.parent_process.product_specific_process_id principal.process.pid principal.process.product_specific_process_id target.process.parent_process.pid target.process.parent_process.product_specific_process_id target.process.pid target.process_product_specific
utente	about.user.userid observer.user.userid principal.user.user_display_name principal.user.userid principal.user.windows_sid src.user.userid target.user.user_display_name target.user.userid target.user.windows_sid

Trova un campo UDM per la query di ricerca

Quando scrivi una query di ricerca UDM, potresti non sapere quale campo UDM includere. La ricerca UDM ti consente di trovare rapidamente un nome di campo UDM che contiene una stringa di testo nel nome o che memorizza un valore stringa specifico. Non è destinato a essere utilizzato per cercare altri tipi di dati, ad esempio byte, booleani o numerici. Seleziona uno o più risultati restituiti dalla ricerca UDM come punto di partenza per una query di ricerca UDM.

Per utilizzare la ricerca UDM, esegui le seguenti operazioni:

1. Nella pagina Ricerca UDM, inserisci una stringa di testo nel campo Cerca campi UDM in base al valore, quindi fai clic su Ricerca UDM.

2. Nella finestra di dialogo Ricerca UDM, seleziona una o più delle seguenti opzioni per specificare l'ambito dei dati in cui eseguire la ricerca:

   • Campi UDM: cerca testo nei nomi dei campi UDM, ad esempio network.dns.questions.name o principal.ip.
   • Valori: cerca il testo nei valori assegnati ai campi UDM, ad esempio dns o google.com.

3. Inserisci o modifica la stringa nel campo di ricerca. Mentre digiti, i risultati di ricerca vengono visualizzati nella finestra di dialogo.

   I risultati sono leggermente diversi per la ricerca nei campi UDM e nei valori. Durante la ricerca di testo in Valori, i risultati vengono visualizzati come segue:

   • Se la stringa si trova all'inizio o alla fine del valore, viene evidenziata nel risultato, insieme al nome del campo UDM e all'ora in cui il log è stato importato.
   • Se la stringa di testo viene trovata altrove nel valore, il risultato mostra il nome del campo UDM e il testo Possibile corrispondenza al valore.

   

   Cercare all'interno dei valori nella ricerca UDM

   • Quando cerchi una stringa di testo nei nomi dei campi UDM, UDM Lookup restituisce una corrispondenza esatta in qualsiasi punto del nome.

   

   Cerca all'interno dei campi UDM nella ricerca UDM

4. Nell'elenco dei risultati puoi eseguire le seguenti operazioni:

   • Fai clic sul nome di un campo UDM per visualizzarne la descrizione.

   • Seleziona uno o più risultati facendo clic sulla casella di controllo a sinistra del nome di ogni campo UDM.

   • Fai clic sul pulsante Reimposta per deselezionare tutti i campi selezionati nell'elenco dei risultati.

5. Per aggiungere i risultati selezionati al campo Ricerca UDM, fai clic sul pulsante Aggiungi alla ricerca.

   Puoi anche copiare il risultato selezionato utilizzando il pulsante Copia UDM, quindi chiudere la finestra di dialogo Ricerca UDM e incollare la stringa della query di ricerca nel campo Ricerca UDM.

   Google Security Operations converte il risultato selezionato in una stringa di query di ricerca UDM come nome del campo UDM o coppia nome-valore. Se aggiungi più risultati, ciascuno di questi viene aggiunto alla fine di una query esistente nel campo di ricerca UDM utilizzando l'operatore OR.

   La stringa di query aggiunta varia a seconda del tipo di corrispondenza restituito dalla ricerca UDM.

   • Se il risultato corrisponde a una stringa di testo nel nome di un campo UDM, alla query viene aggiunto il nome completo del campo UDM. Ecco un esempio:

     principal.artifact.network.dhcp.client_hostname

   • Se il risultato corrisponde a una stringa di testo all'inizio o alla fine di un valore, la coppia nome-valore contiene il nome del campo UDM e il valore completo nel risultato. Ecco alcuni esempi:

     metadata.log_type = "PCAP_DNS"

     network.dns.answers.name = "dns-A901F3j.hat.example.com"

   • Se il risultato include il testo Possibile corrispondenza valore, la coppia nome-valore contiene il nome del campo UDM e un'espressione regolare contenente il termine di ricerca. Ecco un esempio:

     principal.process.file.full_path = /google/ NOCASE

6. Modifica la query di ricerca UDM per adattarla al tuo caso d'uso. La stringa di query generata dalla ricerca UDM è un punto di partenza per scrivere una query di ricerca UDM completa.

Riepilogo del comportamento di ricerca UDM

Questa sezione fornisce ulteriori dettagli sulle funzionalità di ricerca UDM.

• UDM Lookup restituisce dati importati dopo il 10 agosto 2023. La ricerca dei dati importati prima di questa data non viene eseguita. Restituisce i risultati trovati nei campi UDM non estesi. Non restituisce corrispondenze nei campi estesi. Per informazioni sulla differenza tra i campi estesi e non estesi, consulta Visualizzare gli eventi nel Visualizzatore eventi.
• Le ricerche che utilizzano la ricerca UDM non fanno distinzione tra maiuscole e minuscole. Il termine hostname restituisce lo stesso risultato di HostName.
• I trattini (-) e i trattini bassi (_) in una stringa di testo della query vengono ignorati quando si cercano valori. La stringa di testo dns-l e dnsl restituiscono entrambe il valore dns-l.

• Durante la ricerca di Valori, la ricerca UDM non restituisce corrispondenze nei seguenti casi:

  Corrisponde ai seguenti campi UDM:	metadata.product_log_id network.session_id security_result.rule_id network.parent_session_id
  Corrisponde ai campi UDM con un percorso completo che termina con uno dei seguenti valori:	.pid Ad esempio target.process.pid. .asset_id Ad esempio principal.asset_id. .product_specific_process_id Ad esempio principal.process.product_specific_process_id. .resource.id Ad esempio principal.resource.id.

• Durante la ricerca di Valori, Ricerca UDM visualizza il messaggio Possibile corrispondenza valore nel risultato quando viene rilevata una corrispondenza nei seguenti casi:

  Corrisponde ai seguenti campi UDM:	metadata.description security_result.description security_result.detection_fields.value security_result.summary network.http.user_agent
  Corrisponde ai campi con un percorso completo che termina con uno dei seguenti valori:	.command_line Ad esempio principal.process.command_line. .file.full_path Ad esempio principal.process.file.full_path. .labels.value Ad esempio src.labels.value. .registry.registry_key Ad esempio principal.registry.registry_key. .url Ad esempio principal.url.
  Corrisponde ai campi con un percorso completo che inizia con i seguenti valori:	additional.fields.value. Ad esempio additional.fields.value.null_value.

Visualizza gli avvisi nella ricerca UDM

Per visualizzare gli avvisi, fai clic sulla scheda Avvisi a destra della scheda Eventi nell'angolo in alto a destra della pagina Ricerca UDM.

Come vengono mostrati gli avvisi

Google Security Operations valuta gli eventi restituiti nella ricerca UDM in base agli eventi esistenti per gli avvisi nell'ambiente del cliente. Quando un evento di query di ricerca corrisponde a un evento presente in un avviso, viene visualizzato nella sequenza temporale dell'avviso e nella tabella degli avvisi risultante.

Definizione di eventi e avvisi

Un evento viene generato da un'origine log non elaborata che viene importata in Google Security Operations ed elaborata dal processo di importazione e normalizzazione di Google Security Operations. È possibile generare più eventi da un singolo record di origine log non elaborato. Un evento rappresenta un insieme di punti dati rilevanti per la sicurezza generati da quel log non elaborato.

In una ricerca UDM, un avviso corrisponde a un rilevamento di una regola YARA-L con avvisi abilitati. Per saperne di più, consulta la sezione Esecuzione di una regola sui dati in tempo reale.

Altre fonti di dati possono essere importate in Google Security Operations come avvisi, ad esempio Crowdstrike Falcon Alerts. Questi avvisi non vengono visualizzati nella ricerca UDM, a meno che non siano elaborati dal motore di rilevamento delle operazioni di sicurezza di Google come regola YARA-L.

Gli eventi associati a uno o più avvisi sono contrassegnati con un chip di avviso nella Sequenza temporale degli eventi. Se sono presenti più avvisi associati alla sequenza temporale, il chip mostra il numero di avvisi associati.

La cronologia mostra gli ultimi 1000 avvisi recuperati dai risultati di ricerca. Quando viene raggiunto il limite di 1000, non vengono recuperati altri avvisi. Per assicurarti di visualizzare tutti i risultati pertinenti alla tua ricerca, perfeziona la ricerca con i filtri.

Come indagare su un avviso

Per scoprire come utilizzare il grafico degli avvisi e i dettagli dell'avviso per esaminare un avviso, segui i passaggi descritti in Esaminare un avviso.

Utilizzare gli elenchi di riferimento nelle ricerche UDM

Nella ricerca è possibile utilizzare anche la procedura per l'applicazione degli elenchi di riferimento nelle regole. In una singola query di ricerca è possibile includere fino a sette elenchi. Sono supportati tutti i tipi di elenchi di riferimento (stringa, espressione regolare, CIDR).

Puoi creare elenchi per qualsiasi variabile che vuoi monitorare. Ad esempio, potresti creare un elenco di indirizzi IP sospetti:

// Field value exists in reference list
principal.ip IN %suspicious_ips

Inoltre, puoi utilizzare più elenchi utilizzando AND o OR:

// multiple lists can be used with AND or OR
principal.ip IN %suspicious_ips AND
principal.hostname IN %suspicious_hostnames

Perfeziona i risultati di ricerca

In alternativa, puoi utilizzare l'interfaccia utente della ricerca UDM per filtrare e perfezionare i risultati, in alternativa alla modifica e all'esecuzione della ricerca UDM.

Grafico con cronologia

Il grafico con cronologia fornisce una rappresentazione grafica del numero di eventi e avvisi che si verificano ogni giorno e che vengono mostrati dalla ricerca UDM corrente. Gli eventi e gli avvisi vengono visualizzati nello stesso grafico a cronologia disponibile nelle schede Eventi e Avvisi.

La larghezza di ogni barra dipende dall'intervallo di tempo della ricerca. Ad esempio, ogni barra rappresenta 10 minuti quando la ricerca include 24 ore di dati. Questo grafico viene aggiornato in modo dinamico quando modifichi la ricerca UDM esistente.

Modifica dell'intervallo di tempo

Puoi regolare l'intervallo di tempo del grafico spostando i controlli bianchi verso sinistra e verso destra per regolare l'intervallo di tempo e concentrarti sul periodo di interesse. Quando modifichi l'intervallo di tempo, i campi, i valori e gli eventi di UDM vengono aggiornati in modo da riflettere la selezione corrente. Puoi anche fare clic su una singola barra del grafico per elencare solo gli eventi di quel periodo di tempo.

Dopo aver modificato l'intervallo di tempo, vengono visualizzate le caselle di controllo Eventi filtrati ed Eventi query, che ti consentono di limitare ulteriormente i tipi di eventi visualizzati.

Figura 4. Grafico con cronologia degli eventi e controlli dell'intervallo di tempo

Modificare la ricerca UDM con i filtri rapidi

Utilizzando i filtri rapidi, puoi restringere ulteriormente la ricerca UDM. Puoi scorrere l'elenco dei campi UDM o cercare campi o valori UDM specifici utilizzando il campo di ricerca. I campi UDM elencati qui sono associati agli elenchi esistenti di eventi generati dalla ricerca UDM. Ogni campo UDM include il numero di eventi all'interno della ricerca UDM corrente che includono anche questo dato. L'elenco dei campi UDM mostra il numero unico totale di valori all'interno di un campo. Questa funzione consente di cercare tipi particolari di dati di log che potrebbero essere di ulteriore interesse.

I campi UDM sono elencati nel seguente ordine:

1. I campi con il numero di eventi più alto corrispondono al numero più basso di eventi.
2. I campi con un solo valore sono sempre ultimi.
3. I campi con lo stesso totale esatto di eventi sono in ordine alfabetico dalla A alla Z.

Figura 5. Filtri rapidi

Modificare un filtro rapido

Se selezioni un valore di campo UDM nell'elenco Filtri rapidi e fai clic sull'icona del menu, puoi scegliere se mostrare solo gli eventi che includono anche quel valore del campo UDM o Escludere quel valore del campo UDM. Se nel campo UDM vengono memorizzati valori interi (ad esempio target.port), verranno visualizzate anche le opzioni per filtrare in base a <,>,<=,>=. Le opzioni di filtro riducono l'elenco degli eventi visualizzati.

Puoi anche bloccare i campi (utilizzando l'icona a forma di puntina) nel Filtro rapido per salvarli come preferiti. Vengono visualizzati in cima all'elenco Filtri rapidi.

Figura 6. Esempio: selezionare Mostra solo

Questi altri filtri UDM vengono aggiunti anche al campo degli eventi di filtro. Il campo degli eventi di filtro ti consente di tenere traccia degli altri campi UDM che hai aggiunto alla ricerca UDM. Se necessario, puoi anche rimuovere rapidamente questi campi UDM aggiuntivi.

Figura 7. Filtrare gli eventi

Se fai clic sull'icona del menu Filtra eventi o su Aggiungi filtro a sinistra, si apre una finestra in cui puoi selezionare campi UDM aggiuntivi.

Figura 8. Finestra eventi di filtro

Quando fai clic su APPLICA a Ricerca ed esegui, i campi UDM vengono aggiunti al campo Filtra eventi e gli eventi visualizzati vengono filtrati in base a questi filtri aggiuntivi. Puoi anche fare clic su Applica alla ricerca ed esegui per aggiungerle al campo di ricerca UDM principale nella parte superiore della pagina. La ricerca viene eseguita di nuovo automaticamente utilizzando gli stessi parametri di data e ora. Google consiglia di restringere il più possibile la ricerca prima di fare clic su APPLICA a Cerca ed esegui. Ciò contribuisce a migliorare l'accuratezza e riduce i tempi di ricerca.

Visualizzare gli eventi nella tabella Eventi

Tutti questi filtri e controlli aggiorneranno l'elenco degli eventi visualizzati nella tabella Eventi. Fai clic su uno degli eventi elencati per aprire il visualizzatore log, in cui puoi esaminare il log non elaborato e il record UDM per quell'evento. Se fai clic sul timestamp di un evento, puoi anche passare alla visualizzazione Asset, Indirizzo IP, Dominio, Hash o Utente associato. Puoi anche utilizzare il campo di ricerca nella parte superiore della tabella per trovare un evento specifico.

Visualizzare gli avvisi nella tabella Avvisi

Puoi visualizzare gli avvisi facendo clic sulla scheda Avvisi sul lato destro della scheda Eventi. Puoi utilizzare i filtri rapidi per ordinare gli avvisi in base a:

• Richiesta
• Nome
• Priorità
• Gravità
• Stato
• Esito

In questo modo puoi concentrarti sugli avvisi più importanti per te.

Gli avvisi vengono visualizzati nello stesso periodo di tempo degli eventi della scheda Eventi. In questo modo puoi vedere la connessione tra eventi e avvisi.

Se vuoi saperne di più su un avviso specifico, fai clic sull'avviso e si apre la pagina dei dettagli di un singolo avviso, contenente informazioni più dettagliate.

Visualizzare gli eventi nel Visualizzatore eventi

Se tieni il puntatore del mouse su un evento nella tabella Eventi, a destra dell'evento evidenziato viene visualizzata l'icona di visualizzazione dell'evento aperto. Fai clic sul pulsante per aprire il visualizzatore eventi.

Nella finestra Log non elaborato viene visualizzato il segno non elaborato originale in uno dei seguenti formati:

• Dati
• JSON
• XML
• CSV
• Esadecimale/ASCII

La finestra UDM mostra il record UDM strutturato. Puoi tenere premuto il puntatore su uno qualsiasi dei campi UDM per visualizzare la definizione UDM. Selezionando la casella di controllo relativa ai campi UDM, puoi visualizzare altre opzioni:

• Puoi copiare il record UDM. Seleziona uno o più campi UDM, quindi seleziona l'opzione Copia UDM dal menu a discesa Visualizza azioni. I campi UDM e i valori UDM vengono copiati negli Appunti di sistema.

• Puoi aggiungere i campi UDM come colonne nella tabella Eventi selezionando l'opzione Aggiungi colonne dal menu a discesa Visualizza azioni.

Ogni campo UDM è etichettato con un'icona che indica se il campo contiene dati estesi o non estesi. Le etichette delle icone sono le seguenti:

• U: i campi non estesi contengono valori compilati durante il processo di normalizzazione utilizzando i dati del log non elaborato originale.

• E: i campi estesi contengono valori che Google Security Operations compila per fornire un contesto aggiuntivo sugli artefatti nell'ambiente di un cliente. Per ulteriori informazioni, consulta In che modo Google Security Operations arricchisce i dati su eventi ed entità.

  

Figura 9. Campi UDM nel visualizzatore eventi

Utilizza l'opzione Colonne per la ricerca UDM

Utilizza l'opzione Colonne per scegliere le colonne di informazioni da visualizzare nella tabella Eventi. Viene visualizzato il menu Colonne. Le opzioni disponibili variano in base ai tipi di eventi restituiti dalla ricerca UDM.

Se vuoi, puoi salvare l'insieme di colonne selezionato qui facendo clic su Salva. Assegna un nome all'insieme di colonne selezionate e fai di nuovo clic su Salva. Per caricare un insieme di colonne salvate, fai clic su Carica e seleziona l'insieme di colonne salvate dall'elenco.

Puoi anche scaricare gli eventi visualizzati facendo clic sul menu con tre puntini e selezionando Scarica in formato CSV. Verranno scaricati tutti i risultati di ricerca fino a un milione di eventi. L'interfaccia utente indicherà il numero di eventi scaricati.

Figura 10. Colonne di ricerca UDM

Utilizzare la tabella pivot per analizzare gli eventi

La tabella pivot consente di analizzare gli eventi utilizzando espressioni e funzioni rispetto ai risultati della ricerca UDM.

Completa i seguenti passaggi per aprire e configurare la tabella pivot:

1. Esegui una ricerca UDM.

2. Fai clic sulla scheda Pivot per aprire la tabella pivot.

3. Specifica un valore Raggruppa per per raggruppare gli eventi in base a un campo UDM specifico. Puoi visualizzare i risultati utilizzando le lettere maiuscole per impostazione predefinita o solo le lettere minuscole selezionando minuscolo dal menu. Questa opzione è disponibile solo per i campi stringa. Puoi specificare fino a cinque valori di Raggruppa per facendo clic su Aggiungi campo.

   Se il valore Raggruppa per è uno dei campi del nome host, saranno disponibili ulteriori opzioni di trasformazione:

   • Dominio di primo livello N: scegli quale livello del dominio visualizzare. Ad esempio, se utilizzi il valore 1, vengono visualizzati solo il dominio di primo livello (come com, gov o edu). Se utilizzi il valore 3, vengono visualizzati i due livelli successivi dei nomi di dominio (ad esempio google.co.uk).
   • Ottieni dominio registrato: mostra solo il nome di dominio registrato (ad esempio google.com, nytimes.com e youtube.com).

   Se il valore Raggruppa per è uno dei campi IP, sono disponibili ulteriori opzioni di trasformazione:

   • Lunghezza del prefisso CIDR(IP) in bit: puoi specificare da 1 a 32 per gli indirizzi IPv4. Per gli indirizzi IPv6, puoi specificare valori fino a 128.

   Se il valore Raggruppa per include un timestamp, avrai a disposizione altre opzioni di trasformazione:

   • (Tempo) Risoluzione in millisecondi
   • (Tempo) Risoluzione in secondi
   • (Tempo) Risoluzione in minuti
   • (Tempo) Risoluzione in ore
   • (Tempo) Risoluzione in giorni

4. Specifica un valore per il pivot dall'elenco di campi nei risultati. Puoi specificare fino a 5 valori. Dopo aver specificato un campo, devi selezionare un'opzione Riassumi. Puoi fare un riepilogo in base alle seguenti opzioni:

   • sum
   • count
   • conteggio valori distinti
   • nella media
   • stddev
   • min
   • max

   Specifica il valore Conteggio eventi per restituire semplicemente il numero di eventi identificati per questa particolare ricerca UDM e tabella pivot.

   Le opzioni Riassumi non sono universalmente compatibili con i campi Raggruppa per. Ad esempio, le opzioni sum, average, stddev, min e max possono essere applicate solo ai campi numerici. Se tenti di associare un'opzione Riassumi incompatibile con un campo Raggruppa per, riceverai un messaggio di errore.

5. Specifica uno o più campi UDM e seleziona uno o più ordinamenti utilizzando l'opzione Ordina per.

6. Quando è tutto pronto, fai clic su Applica. I risultati vengono visualizzati nella tabella pivot.

7. (Facoltativo) Per scaricare la tabella pivot, fai clic su more_vert e seleziona Scarica in formato CSV. Se non hai selezionato un pivot, questa opzione viene disattivata.

Esegui una ricerca in Ricerche rapide

1. Fai clic su Ricerche rapide per aprire la finestra Ricerche rapide. In questa finestra sono visualizzate le ricerche salvate e la cronologia delle ricerche.

2. Fai clic su una delle ricerche elencate per caricarla nel campo di ricerca UDM.

3. Quando è tutto pronto, fai clic su Esegui ricerca.

Le ricerche elencate vengono salvate nel tuo account Google Security Operations. Se devi modificare una ricerca salvata (ad esempio rinominare una ricerca esistente), eliminare ricerche salvate o eliminare ricerche dalla cronologia delle ricerche, apri Search Manager facendo clic su Visualizza tutte le ricerche.

Panoramica delle ricerche salvate e della cronologia delle ricerche

Utilizza Gestione ricerche per recuperare le ricerche salvate e visualizzare la cronologia delle ricerche facendo clic su Gestione ricerche. Le ricerche salvate e la cronologia delle ricerche vengono entrambe memorizzate nel tuo account Google Security Operations. Le ricerche salvate e la cronologia delle ricerche sono visualizzabili e accessibili solo dal singolo utente, a meno che non utilizzi la funzionalità Condividi una ricerca per condividere la ricerca con la tua organizzazione. Seleziona una ricerca salvata per visualizzare ulteriori informazioni, tra cui il titolo e la descrizione.

Salvare una ricerca

Per salvare una ricerca:

1. Nella pagina di ricerca UDM, fai clic su Salva per salvare la ricerca UDM per un secondo momento. Si aprirà Gestione ricerche. Google consiglia di assegnare alla ricerca salvata un nome significativo e una descrizione di testo normale delle ricerche effettuate. Puoi anche creare una nuova ricerca UDM da Gestione ricerche facendo clic su add. Qui sono disponibili anche gli strumenti standard di modifica e completamento UDM.

2. (Facoltativo) Specifica le variabili segnaposto nel formato $<variable name> utilizzando lo stesso formato utilizzato per le variabili in YARA-L. Se aggiungi una variabile a una ricerca UDM, devi anche includere una richiesta che aiuti l'utente a capire quali informazioni deve inserire prima di eseguire la ricerca. Tutte le variabili devono essere compilate con i valori prima di eseguire una ricerca.

   Ad esempio, potresti aggiungere metadata.vendor_name = $vendor_name alla ricerca UDM. Per $vendor_name, devi aggiungere un messaggio per gli utenti futuri, ad esempio "Inserisci il nome del fornitore per la ricerca". Ogni volta che in futuro un utente caricherà questa ricerca, gli verrà chiesto di inserire il nome del fornitore prima di poter eseguire la ricerca.

3. Al termine, fai clic su Salva modifiche.

4. Per visualizzare le ricerche salvate, fai clic su Search Manager, quindi sulla scheda Salvate.

Recupera una ricerca salvata

Per recuperare ed eseguire una ricerca salvata:

1. In Search Manager, fai clic sulla scheda Salvati.

2. Seleziona una ricerca salvata dall'elenco. Queste ricerche salvate vengono salvate nel tuo account Google Security Operations. Puoi eliminare una ricerca facendo clic su more_horiz e selezionando Elimina ricerca.

3. Puoi modificare il nome e la descrizione della ricerca. Al termine, fai clic su Salva modifiche.

4. Fai clic su Carica ricerca. La ricerca viene caricata nel campo di ricerca UDM principale.

5. Fai clic su Esegui ricerca per visualizzare gli eventi associati a questa ricerca.

Recuperare una ricerca dalla cronologia delle ricerche

Per recuperare ed eseguire una ricerca dalla cronologia delle ricerche:

1. In Gestione ricerche, fai clic su Cronologia.

2. Seleziona una ricerca dalla cronologia delle ricerche. La cronologia delle ricerche viene salvata nel tuo account Google Security Operations. Puoi eliminare una ricerca facendo clic su delete

3. Fai clic su Carica ricerca. La ricerca viene caricata nel campo di ricerca UDM principale.

4. Fai clic su Esegui ricerca per visualizzare gli eventi associati a questa ricerca.

Cancellare, attivare o disattivare la cronologia delle ricerche

Per cancellare, disattivare o attivare la cronologia delle ricerche:

1. In Search Manager, fai clic sulla scheda Cronologia.

2. Fai clic su more_vert.

3. Seleziona Cancella cronologia per cancellare la cronologia delle ricerche.

4. Fai clic su Disattiva cronologia per disattivare la cronologia delle ricerche. Hai la possibilità di:

   • Solo disattivazione: consente di disattivare la cronologia delle ricerche.

   • Disattiva e cancella: disattiva la cronologia delle ricerche ed elimina quella salvata.

5. Se in precedenza hai disattivato la cronologia delle ricerche, puoi riattivarla facendo clic su Attiva cronologia delle ricerche.

6. Fai clic su Chiudi per uscire da Search Manager.

Condividere una ricerca

Le ricerche condivise ti consentono di condividere le ricerche con il resto del team. Nella scheda Salvati puoi condividere o eliminare le ricerche. Puoi anche filtrare le tue ricerche facendo clic sull'icona del filtro accanto alla barra di ricerca e ordinarle per Mostra tutto, Definito Google SecOps, Creato da me o Condivise.

Non puoi modificare una ricerca condivisa di tua proprietà.

1. Fai clic su Salvati.
2. Fai clic sulla ricerca che vuoi condividere.
3. Fai clic su more_horiz sul lato destro della ricerca. Viene visualizzata una finestra di dialogo con l'opzione per condividere la ricerca.
4. Fai clic su Condividi con la tua organizzazione.
5. Verrà visualizzata una finestra di dialogo che dice che la condivisione della ricerca sarà visibile ai membri della tua organizzazione. Condividere? Fai clic su Condividi.

Se vuoi che la ricerca sia visibile solo a te, fai clic su more_horiz e poi su Interrompi condivisione. Se interrompi la condivisione, solo tu potrai utilizzare questa ricerca.

Passaggi successivi

Per informazioni su come utilizzare i dati estesi di contesto nella Ricerca UDM, consulta Utilizzare questi dati nella Ricerca UDM.