Penelusuran UDM

Didukung di:

Fungsi penelusuran UDM memungkinkan Anda menemukan peristiwa dan pemberitahuan Unified Data Model (UDM) dalam instance Google Security Operations. Penelusuran UDM mencakup berbagai opsi penelusuran yang membantu Anda menjelajahi data UDM. Anda dapat menelusuri setiap peristiwa UDM dan grup peristiwa UDM yang terkait dengan istilah penelusuran bersama.

Pada sistem yang menggunakan RBAC data, Anda hanya dapat melihat data yang cocok dengan cakupan Anda. Untuk mengetahui informasi selengkapnya, lihat dampak RBAC data terhadap Penelusuran.

Untuk pelanggan Google Security Operations, pemberitahuan juga dapat diserap dari konektor dan webhooks. Anda juga dapat menggunakan penelusuran UDM untuk menemukan pemberitahuan ini.

Untuk mengetahui informasi selengkapnya tentang UDM, lihat Memformat data log sebagai UDM dan Daftar kolom Model Data Terpadu.

Untuk mengakses Penelusuran UDM Google Security Operations, klik Penelusuran di menu navigasi. Anda juga dapat mengakses penelusuran UDM dengan memasukkan kolom UDM yang valid dari kolom penelusuran mana pun di Google Security Operations dan menekan CTRL+Enter.

Untuk mengetahui daftar semua kolom UDM yang valid, lihat Daftar kolom Model Data Terpadu.

Penelusuran UDM

Gambar 1. Penelusuran UDM

Penelusuran UDM Kosong

Gambar 2. Jendela Penelusuran UDM yang terbuka dengan CTRL+Enter

Selesaikan langkah-langkah berikut untuk memasukkan penelusuran UDM di kolom UDM Search. Setelah selesai memasukkan penelusuran UDM, klik Jalankan Penelusuran. Antarmuka pengguna Google Security Operations hanya memungkinkan Anda memasukkan ekspresi penelusuran UDM yang valid. Anda juga dapat menyesuaikan rentang data yang akan ditelusuri dengan membuka jendela rentang tanggal.

Jika penelusuran Anda terlalu luas, Google Security Operations akan menampilkan pesan peringatan yang menunjukkan bahwa penelusuran tidak dapat menampilkan semua hasil penelusuran. Kurangi cakupan penelusuran dan jalankan lagi. Jika penelusuran terlalu luas, Google Security Operations akan menampilkan hasil terbaru hingga batas penelusuran (satu juta peristiwa dan seribu pemberitahuan). Mungkin ada lebih banyak peristiwa dan pemberitahuan yang cocok, tetapi tidak ditampilkan saat ini. Perhatikan hal ini saat menganalisis hasilnya. Google merekomendasikan untuk menerapkan filter tambahan dan menjalankan penelusuran asli hingga Anda berada di bawah batas.

Halaman hasil penelusuran UDM menampilkan sepuluh ribu hasil terbaru. Anda dapat memfilter dan menyempurnakan hasil penelusuran, untuk menampilkan hasil yang lebih lama, sebagai alternatif untuk mengubah penelusuran UDM dan menjalankan kembali penelusuran.

Tanggal dan Run Search

Gambar 3. Jalankan Penelusuran

Kueri UDM didasarkan pada kolom UDM, yang semuanya tercantum dalam daftar kolom Model Data Terpadu. Anda juga dapat melihat kolom UDM dalam konteks penelusuran menggunakan Filter atau Penelusuran Log Mentah.

  1. Untuk menelusuri peristiwa, masukkan nama kolom UDM di kolom penelusuran. Antarmuka pengguna menyertakan pelengkapan otomatis dan menampilkan kolom UDM yang valid berdasarkan apa yang telah Anda masukkan.

  2. Setelah memasukkan kolom UDM yang valid, pilih operator yang valid. Antarmuka pengguna menampilkan operator valid yang tersedia berdasarkan kolom UDM yang Anda masukkan. Operator berikut didukung:

    • <, >
    • <=, >=
    • =, !=
    • nocase -- didukung untuk string

  3. Setelah memasukkan kolom dan operator UDM yang valid, masukkan data log yang sesuai yang Anda telusuri. Jenis data berikut didukung:

    • Nilai yang dihitung: antarmuka pengguna menampilkan daftar nilai yang dihitung yang valid untuk kolom UDM tertentu.

      Misalnya (gunakan tanda kutip ganda dan huruf besar semua): metadata.event_type = "NETWORK_CONNECTION"

    • Nilai tambahan: Anda dapat menggunakan 'field[key] = value' untuk menelusuri kolom tambahan dan label untuk peristiwa.

      Contoh: additional.fields["key"]="value"

    • Bool: Anda dapat menggunakan true atau false (semua karakter tidak peka huruf besar/kecil, dan kata kunci tidak diapit tanda kutip).

      Contoh: network.dns.response = true

    • Bilangan bulat

      Contoh: target.port = 443

    • Float: Untuk kolom UDM jenis float, masukkan nilai floating point, seperti 3.1. Anda juga dapat memasukkan bilangan bulat, seperti 3, yang setara dengan memasukkan 3.0.

      Misalnya: security_result.about.asset.vulnerabilities.cvss_base_score = 3.1 atau security_result.about.asset.vulnerabilities.cvss_base_score = 3

    • Ekspresi reguler: (ekspresi reguler harus berada dalam karakter garis miring (/))

      Contoh: principal.ip = /10.*/

      Untuk informasi selengkapnya tentang ekspresi reguler, lihat halaman ekspresi reguler.

    • String

      Misalnya (harus menggunakan tanda kutip ganda): metadata.product_name = "Google Cloud VPC Flow Logs"

  4. Anda dapat menggunakan operator nocase untuk menelusuri kombinasi versi huruf besar dan kecil dari string tertentu:

    • principal.hostname != "http-server" nocase
    • principal.hostname = "JDoe" nocase
    • principal.hostname = /dns-server-[0-9]+/ nocase

  5. Garis miring terbalik dan tanda kutip ganda dalam string harus di-escape menggunakan karakter garis miring terbalik. Contoh:

    • principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
    • target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""

  6. Anda dapat menggunakan ekspresi boolean untuk lebih mempersempit kemungkinan rentang data yang ditampilkan. Contoh berikut mengilustrasikan beberapa jenis ekspresi boolean yang didukung (operator boolean AND, OR, dan NOT dapat digunakan):

    • A AND B
    • A OR B
    • (A OR B) AND (B OR C) AND (C OR NOT D)

    Contoh berikut menggambarkan tampilan sintaksis yang sebenarnya:

    Peristiwa login ke server keuangan: 

    metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"

    Contoh penggunaan ekspresi reguler untuk menelusuri eksekusi alat psexec.exe di Windows. 

    target.process.command_line = /\bpsexec(.exe)?\b/ nocase

    Contoh penggunaan operator lebih dari (>) untuk menelusuri koneksi yang mengirim lebih dari 10 MB data. 

    metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000

    Contoh penggunaan beberapa kondisi untuk menelusuri Winword yang meluncurkan cmd.exe atau powershell.exe. 

        metadata.event_type = "PROCESS_LAUNCH" and
    principal.process.file.full_path = /winword/ and
    (target.process.file.full_path = /cmd.exe/ or
    target.process.file.full_path = /powershell.exe/)

  7. Anda juga dapat menggunakan Penelusuran UDM untuk menelusuri pasangan nilai kunci tertentu di kolom Tambahan dan Label.

    Kolom Tambahan dan Label digunakan sebagai 'catch all' yang dapat disesuaikan untuk data peristiwa yang tidak sesuai dengan kolom UDM standar. Kolom tambahan dapat berisi beberapa pasangan nilai kunci. Kolom label hanya boleh berisi satu pasangan nilai kunci. Namun, setiap instance kolom hanya berisi satu kunci dan satu nilai. Kunci harus berada di dalam tanda kurung dan nilainya harus berada di sisi kanan.

    Contoh berikut menunjukkan cara menelusuri peristiwa yang berisi pasangan nilai kunci yang ditentukan: 

        additional.fields["pod_name"] = "kube-scheduler"
    metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"
     Contoh berikut menunjukkan cara menggunakan operator AND dengan penelusuran pasangan nilai kunci: 
        additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"

    Anda dapat menggunakan sintaksis berikut untuk menelusuri semua peristiwa yang berisi kunci yang ditentukan (terlepas dari nilainya) 

        additional.fields["pod_name"] != ""
     Anda juga dapat menggunakan ekspresi reguler dan operator nocase: 
        additional.fields["pod_name"] = /br/
    additional.fields["pod_name"] = bar nocase

  8. Anda juga dapat menggunakan komentar blok dan baris tunggal.

    Contoh berikut menunjukkan cara menggunakan komentar blok: 

        additional.fields["pod_name"] = "kube-scheduler"
    /*
    Block comments can span
    multiple lines.
    */
    AND additional.fields["pod_name1"] = "kube-scheduler1"

    Contoh berikut menunjukkan cara menggunakan komentar satu baris: 

        additional.fields["pod_name"] != "" // my single-line comment

  9. Klik Jalankan Penelusuran untuk menjalankan penelusuran UDM dan menampilkan hasilnya.

  10. Peristiwa ditampilkan di halaman Penelusuran UDM di tabel linimasa Peristiwa. Anda dapat mempersempit hasil lebih lanjut dengan menambahkan kolom UDM tambahan secara manual atau menggunakan antarmuka.

Menelusuri kolom yang dikelompokkan

Kolom yang dikelompokkan adalah alias untuk grup kolom UDM terkait. Anda dapat menggunakannya untuk membuat kueri beberapa kolom UDM secara bersamaan tanpa mengetik setiap kolom satu per satu.

Contoh berikut menunjukkan cara memasukkan kueri untuk mencocokkan kolom UDM umum yang mungkin berisi alamat IP yang ditentukan: 

    ip = "1.2.3.4"

Anda dapat mencocokkan kolom yang dikelompokkan menggunakan ekspresi reguler dan menggunakan operator nocase. Daftar referensi juga didukung. Kolom yang dikelompokkan juga dapat digunakan bersama dengan kolom UDM reguler seperti yang ditunjukkan pada contoh berikut: 

    ip = "5.6.7.8" AND metadata.event_type = "NETWORK_CONNECTION"

Kolom yang dikelompokkan memiliki bagian terpisah di Agregasi.

Jenis kolom UDM yang dikelompokkan

Anda dapat menelusuri semua kolom UDM yang dikelompokkan berikut:

Nama kolom yang dikelompokkan Kolom UDM terkait
domain about.administrative_domain
about.asset.network_domain
network.dns.questions.name
network.dns_domain
principal.administrative_domain
principal.asset.network_domain
target.administrative_domain
target.asset.hostname
target.asset.network_domain
target.hostname
email intermediary.user.email_addresses
network.email.from
network.email.to
principal.user.email_addresses
security_result.about.user.email_addresses
target.user.email_addresses
file_path principal.file.full_path
principal.process.file.full_path
principal.process.parent_process.file.full_path
target.file.full_path
target.process.file.full_path
target.process.parent_process.file.full_path
hash about.file.md5
about.file.sha1
about.file.sha256
principal.process.file.md5
principal.process.file.sha1
principal.process.file.sha256
security_result.about.file.sha256
target.file.md5
target.file.sha1
target.file.sha256
target.process.file.md5
target.process.file.sha1
target.process.file.sha256
hostname intermediary.hostname
observer.hostname
principal.asset.hostname
principal.hostname
src.asset.hostname
src.hostname
target.asset.hostname
target.hostname
ip intermediary.ip
observer.ip
principal.artifact.ip
principal.asset.ip
principal.ip
src.artifact.ip
src.asset.ip
src.ip
target.artifact.ip
target.asset.ip
target.ip
namespace principal.namespace
src.namespace
target.namespace
process_id principal.process.parent_process.pid
principal.process.parent_process.product_specific_process_id
principal.process.pid
principal.process.product_specific_process_id
target.process.parent_process.pid
target.process.parent_process.product_specific_process_id
target.process.pid
target.process.product_specific_process_id
pengguna about.user.userid
observer.user.userid
principal.user.user_display_name
principal.user.userid
principal.user.windows_sid
src.user.userid
target.user.user_display_name
target.user.userid
target.user.windows_sid

Menemukan kolom UDM untuk kueri penelusuran

Saat menulis kueri Penelusuran UDM, Anda mungkin tidak tahu kolom UDM mana yang akan disertakan. Penelusuran UDM memungkinkan Anda menemukan nama kolom UDM dengan cepat yang berisi string teks dalam nama atau yang menyimpan nilai string tertentu. Fungsi ini tidak dimaksudkan untuk digunakan guna menelusuri jenis data lain, seperti byte, boolean, atau numerik. Anda memilih satu atau beberapa hasil yang ditampilkan oleh UDM Lookup sebagai titik awal untuk kueri Penelusuran UDM.

Untuk menggunakan UDM Lookup, lakukan hal berikut:

  1. Dari halaman Penelusuran UDM, masukkan string teks di kolom Cari kolom UDM berdasarkan nilai, lalu klik Pencarian UDM.

  2. Pada dialog UDM Lookup, pilih satu atau beberapa opsi berikut untuk menentukan cakupan data yang akan ditelusuri:

    • UDM Fields: menelusuri teks dalam nama kolom UDM, misalnya network.dns.questions.name atau principal.ip.
    • Nilai: menelusuri teks dalam nilai yang ditetapkan ke kolom UDM, misalnya dns atau google.com.

  3. Masukkan atau ubah string di kolom penelusuran. Saat Anda mengetik, hasil penelusuran akan muncul di dialog.

    Hasilnya sedikit berbeda saat menelusuri di Kolom UDM dibandingkan dengan Nilai. Saat menelusuri teks di Nilai, hasilnya akan muncul sebagai berikut:

    • Jika string ditemukan di awal atau akhir nilai, string tersebut akan ditandai dalam hasil, bersama dengan nama kolom UDM dan waktu log diserap.
    • Jika string teks ditemukan di tempat lain dalam nilai, hasilnya akan menampilkan nama kolom UDM dan teks Kemungkinan kecocokan nilai.

    Menelusuri dalam nilai

    Menelusuri dalam nilai di UDM Lookup

    • Saat menelusuri string teks dalam nama kolom UDM, UDM Lookup akan menampilkan pencocokan persis yang ditemukan di lokasi mana pun dalam nama.

    Menelusuri dalam kolom UDM

    Menelusuri dalam kolom UDM di UDM Lookup

  4. Dalam daftar hasil, Anda dapat melakukan hal berikut:

    • Klik nama kolom UDM untuk melihat deskripsi kolom tersebut.

    • Pilih satu atau beberapa hasil dengan mengklik kotak centang di sebelah kiri setiap nama kolom UDM.

    • Klik tombol Reset untuk membatalkan pilihan semua kolom yang dipilih dalam daftar hasil.

  5. Untuk menambahkan hasil yang dipilih ke kolom UDM Search, klik tombol Append to search.

    Anda juga dapat menyalin hasil yang dipilih menggunakan tombol Salin UDM, lalu menutup dialog UDM Lookup dan menempelkan string kueri penelusuran ke kolom UDM Search.

    Google Security Operations mengonversi hasil yang dipilih menjadi string kueri Penelusuran UDM sebagai nama kolom UDM atau pasangan nilai nama. Jika Anda menambahkan beberapa hasil, setiap hasil akan ditambahkan ke akhir kueri yang ada di kolom Penelusuran UDM menggunakan operator OR.

    String kueri yang ditambahkan berbeda-beda bergantung pada jenis kecocokan yang ditampilkan oleh UDM Lookup.

    • Jika hasilnya cocok dengan string teks dalam nama kolom UDM, nama kolom UDM lengkap akan ditambahkan ke kueri. Berikut adalah contohnya:

      principal.artifact.network.dhcp.client_hostname

    • Jika hasilnya cocok dengan string teks di awal atau akhir nilai, pasangan nama-nilai akan berisi nama kolom UDM dan nilai lengkap dalam hasilnya. Berikut adalah contohnya:

      metadata.log_type = "PCAP_DNS"

      network.dns.answers.name = "dns-A901F3j.hat.example.com"

    • Jika hasilnya menyertakan teks Kemungkinan kecocokan nilai, pasangan nilai nama akan berisi nama kolom UDM dan ekspresi reguler yang berisi istilah penelusuran. Berikut adalah contohnya:

      principal.process.file.full_path = /google/ NOCASE

  6. Edit kueri Penelusuran UDM untuk memenuhi kasus penggunaan Anda. String kueri yang dihasilkan UDM Lookup adalah titik awal untuk menulis kueri Penelusuran UDM yang lengkap.

Ringkasan perilaku UDM Lookup

Bagian ini memberikan detail selengkapnya tentang kemampuan UDM Lookup.

  • UDM Lookup menelusuri data yang diserap setelah 10 Agustus 2023. Data yang ditransfer sebelum tanggal ini tidak akan ditelusuri. Fungsi ini menampilkan hasil yang ditemukan di kolom UDM yang tidak diperkaya. Fungsi ini tidak menampilkan kecocokan ke kolom yang diperkaya. Untuk informasi tentang kolom yang diperkaya versus yang tidak diperkaya, lihat Melihat peristiwa di Event Viewer.
  • Penelusuran menggunakan UDM Lookup tidak peka huruf besar/kecil. Istilah hostname menampilkan hasil yang sama dengan HostName.
  • Tanda hubung (-) dan garis bawah (_) dalam string teks kueri diabaikan saat menelusuri Nilai. String teks dns-l dan dnsl menampilkan nilai dns-l.

  • Saat menelusuri Nilai, UDM Lookup tidak menampilkan kecocokan dalam kasus berikut:

    Cocok di kolom UDM berikut:
    • metadata.product_log_id
    • network.session_id
    • security_result.rule_id
    • network.parent_session_id
    Cocok di kolom UDM dengan jalur lengkap yang diakhiri dengan salah satu nilai berikut:
    • .pid
      Misalnya target.process.pid.
    • .asset_id
      Misalnya principal.asset_id.
    • .product_specific_process_id
      Misalnya principal.process.product_specific_process_id.
    • .resource.id
      Misalnya principal.resource.id.

  • Saat menelusuri Nilai, UDM Lookup akan menampilkan pesan Kemungkinan kecocokan nilai dalam hasil jika kecocokan ditemukan dalam kasus berikut:

    Cocok di kolom UDM berikut:
    • metadata.description
    • security_result.description
    • security_result.detection_fields.value
    • security_result.summary
    • network.http.user_agent
    Mencocokkan kolom dengan jalur lengkap yang diakhiri dengan salah satu nilai berikut:
    • .command_line
      Misalnya principal.process.command_line.
    • .file.full_path
      Misalnya principal.process.file.full_path.
    • .labels.value
      Misalnya src.labels.value.
    • .registry.registry_key
      Misalnya principal.registry.registry_key.
    • .url
      Misalnya principal.url.
    Mencocokkan kolom dengan jalur lengkap yang diawali dengan nilai berikut: additional.fields.value.
    Misalnya additional.fields.value.null_value.

Untuk melihat pemberitahuan, klik tab Pemberitahuan di sebelah kanan tab Peristiwa di sudut kanan atas halaman Penelusuran UDM.

Cara notifikasi ditampilkan

Google Security Operations mengevaluasi peristiwa yang ditampilkan dalam penelusuran UDM terhadap peristiwa yang ada untuk pemberitahuan di lingkungan pelanggan. Jika peristiwa kueri penelusuran cocok dengan peristiwa yang ada dalam pemberitahuan, peristiwa tersebut akan ditampilkan di linimasa pemberitahuan dan tabel pemberitahuan yang dihasilkan.

Definisi peristiwa dan pemberitahuan

Peristiwa dihasilkan dari sumber log mentah yang diserap ke dalam Google Security Operations dan diproses oleh proses penyerapan dan normalisasi Google Security Operations. Beberapa peristiwa dapat dihasilkan dari satu data sumber log mentah. Peristiwa mewakili kumpulan titik data yang relevan dengan keamanan yang dihasilkan dari log mentah tersebut.

Dalam penelusuran UDM, notifikasi ditentukan sebagai deteksi aturan YARA-L dengan notifikasi diaktifkan. Lihat menjalankan aturan terhadap data langsung untuk mempelajari lebih lanjut.

Sumber data lainnya dapat diserap ke dalam Google Security Operations sebagai pemberitahuan, seperti Pemberitahuan Crowdstrike Falcon. Notifikasi ini tidak muncul dalam penelusuran UDM kecuali jika diproses oleh Mesin Deteksi Operasi Keamanan Google sebagai aturan YARA-L.

Peristiwa yang terkait dengan satu atau beberapa pemberitahuan ditandai dengan chip Pemberitahuan di Linimasa Peristiwa. Jika ada beberapa pemberitahuan yang terkait dengan linimasa, chip akan menampilkan jumlah pemberitahuan yang terkait.

Linimasa menampilkan 1.000 pemberitahuan terbaru yang diambil dari hasil penelusuran. Jika batas 1.000 tercapai, tidak ada lagi pemberitahuan yang diambil. Untuk memastikan Anda melihat semua hasil yang relevan dengan penelusuran, pertajam penelusuran dengan filter.

Cara menyelidiki pemberitahuan

Untuk mempelajari cara menggunakan Grafik pemberitahuan dan Detail pemberitahuan guna menyelidiki pemberitahuan, ikuti langkah-langkah yang diuraikan dalam Menyelidiki pemberitahuan.

Menggunakan daftar referensi dalam penelusuran UDM

Proses untuk menerapkan daftar referensi di Aturan juga dapat digunakan dalam penelusuran. Maksimal tujuh daftar dapat disertakan dalam satu kueri penelusuran. Semua jenis daftar referensi (string, ekspresi reguler, CIDR) didukung.

Anda dapat membuat daftar variabel yang ingin dilacak. Misalnya, Anda dapat membuat daftar alamat IP yang mencurigakan: 

// Field value exists in reference list
principal.ip IN %suspicious_ips

Anda juga dapat menggunakan beberapa daftar menggunakan AND atau OR:

// multiple lists can be used with AND or OR
principal.ip IN %suspicious_ips AND
principal.hostname IN %suspicious_hostnames

Mempersempit hasil penelusuran

Anda dapat menggunakan antarmuka pengguna penelusuran UDM untuk memfilter dan menyaring hasil sebagai alternatif untuk mengubah penelusuran UDM dan menjalankan kembali penelusuran.

Diagram linimasa

Diagram linimasa memberikan representasi grafis jumlah peristiwa dan pemberitahuan yang terjadi setiap hari yang ditampilkan oleh penelusuran UDM saat ini. Peristiwa dan pemberitahuan ditampilkan pada diagram linimasa yang sama, yang tersedia di tab Peristiwa dan Pemberitahuan.

Lebar setiap batang bergantung pada interval waktu yang ditelusuri. Misalnya, setiap batang mewakili 10 menit jika penelusuran mencakup data selama 24 jam. Diagram ini diperbarui secara dinamis saat Anda mengubah penelusuran UDM yang ada.

Penyesuaian rentang waktu

Anda dapat menyesuaikan rentang waktu untuk diagram dengan menggerakkan kontrol penggeser putih ke kiri dan kanan untuk menyesuaikan rentang waktu dan berfokus pada periode yang diinginkan. Saat Anda menyesuaikan rentang waktu, tabel Kolom dan Nilai UDM serta Peristiwa akan diperbarui untuk mencerminkan pilihan saat ini. Anda juga dapat mengklik satu batang pada grafik untuk mencantumkan peristiwa tersebut saja dalam jangka waktu tersebut.

Setelah Anda menyesuaikan rentang waktu, kotak centang Peristiwa yang Difilter dan Peristiwa Kueri akan muncul, sehingga Anda dapat lebih membatasi jenis peristiwa yang ditampilkan.

Diagram linimasa peristiwa dengan kontrol rentang waktu

Gambar 4. Diagram linimasa peristiwa dengan kontrol rentang waktu

Mengubah Penelusuran UDM dengan Agregasi

Dengan Agregasi, Anda dapat mempersempit penelusuran UDM lebih lanjut. Anda dapat men-scroll daftar kolom UDM atau menelusuri kolom atau nilai UDM tertentu menggunakan kolom Penelusuran. Kolom UDM yang tercantum di sini dikaitkan dengan daftar peristiwa yang ada yang dihasilkan oleh penelusuran UDM Anda. Setiap kolom UDM menyertakan jumlah peristiwa dalam penelusuran UDM saat ini yang juga menyertakan bagian data ini. Daftar kolom UDM menampilkan total jumlah nilai unik dalam kolom. Fitur ini memungkinkan Anda mencari jenis data log tertentu yang mungkin menarik untuk dipelajari lebih lanjut.

Kolom UDM tercantum dalam urutan berikut:

  1. Kolom dengan jumlah peristiwa tertinggi hingga jumlah peristiwa terendah.
  2. Kolom yang hanya memiliki 1 nilai selalu berada di akhir.
  3. Kolom dengan total jumlah peristiwa yang sama persis akan diurutkan menurut abjad dari A hingga Z.

Agregasi

Gambar 5. Agregasi

Mengubah Agregasi

Jika memilih nilai kolom UDM dalam daftar Agregasi dan mengklik ikon menu, Anda akan diberi opsi untuk Hanya menampilkan peristiwa yang juga menyertakan nilai kolom UDM tersebut atau untuk Memfilter nilai kolom UDM tersebut. Jika kolom UDM menyimpan nilai bilangan bulat (contoh: target.port), Anda juga akan melihat opsi untuk memfilter berdasarkan <,>,<=,>=. Opsi filter mempersingkat daftar peristiwa yang ditampilkan.

Anda juga dapat menyematkan kolom (menggunakan ikon push pin) di Agregasi untuk menyimpannya sebagai favorit. Dimensi tersebut muncul di bagian atas daftar Agregasi.

Hanya Tampilkan

Gambar 6. Contoh: Pilih Hanya Tampilkan

Filter UDM tambahan ini juga ditambahkan ke kolom filter peristiwa. Kolom peristiwa filter membantu Anda melacak kolom UDM tambahan yang telah ditambahkan ke penelusuran UDM. Anda juga dapat dengan cepat menghapus kolom UDM tambahan ini sesuai kebutuhan.

Filter peristiwa

Gambar 7. Memfilter peristiwa

Jika Anda mengklik ikon menu Filter events atau Add Filter di sebelah kiri, jendela akan terbuka sehingga Anda dapat memilih kolom UDM tambahan.

Jendela filter peristiwa

Gambar 8. Jendela Filter peristiwa

Saat Anda mengklik TERAPKAN untuk Menelusuri dan Menjalankan, kolom UDM akan ditambahkan ke kolom Filter peristiwa dan peristiwa yang ditampilkan akan difilter berdasarkan filter tambahan tersebut. Anda juga dapat mengklik Terapkan untuk Menelusuri dan Menjalankan untuk menambahkannya ke kolom Penelusuran UDM utama di bagian atas halaman. Penelusuran akan otomatis dijalankan lagi menggunakan parameter tanggal dan waktu yang sama. Google merekomendasikan untuk mempersempit penelusuran Anda sebanyak mungkin sebelum mengklik TERAPKAN untuk Menelusuri dan Menjalankan. Hal ini membantu meningkatkan akurasi dan mengurangi waktu penelusuran.

Melihat peristiwa di tabel Peristiwa

Semua filter dan kontrol ini akan memperbarui daftar peristiwa yang ditampilkan di tabel Peristiwa. Klik salah satu peristiwa yang tercantum untuk membuka Log Viewer tempat Anda dapat memeriksa log mentah dan data UDM untuk peristiwa tersebut. Jika mengklik stempel waktu untuk peristiwa, Anda juga dapat membuka tampilan Aset, Alamat IP, Domain, Hash, atau Pengguna yang terkait. Anda juga dapat menggunakan kolom Penelusuran di bagian atas tabel untuk menemukan peristiwa tertentu.

Melihat pemberitahuan di tabel Pemberitahuan

Anda dapat melihat pemberitahuan dengan mengklik tab Pemberitahuan di sisi kanan tab Peristiwa. Anda dapat menggunakan Agregasi untuk mengurutkan pemberitahuan berdasarkan:

  • Kasus
  • Nama
  • Prioritas
  • Keparahan
  • Status
  • Putusan

Hal ini membantu Anda berfokus pada pemberitahuan yang paling penting bagi Anda.

Notifikasi ditampilkan pada jangka waktu yang sama dengan peristiwa di tab Peristiwa. Hal ini membantu Anda melihat hubungan antara peristiwa dan pemberitahuan.

Jika Anda ingin mempelajari notifikasi tertentu lebih lanjut, klik notifikasi tersebut, dan halaman detail notifikasi akan terbuka yang berisi informasi lebih mendalam tentang notifikasi tersebut.

Melihat peristiwa di Event Viewer

Jika Anda menahan kursor di atas peristiwa dalam tabel Peristiwa, ikon penampil peristiwa terbuka akan muncul di sisi kanan peristiwa yang ditandai. Klik ikon untuk membuka Event Viewer.

Jendela Log Mentah menampilkan tanda mentah asli dalam salah satu format berikut:

  • Mentah
  • JSON
  • XML
  • CSV
  • Hex/ASCII

Jendela UDM menampilkan data UDM terstruktur. Anda dapat menahan kursor di atas kolom UDM mana pun untuk melihat definisi UDM. Dengan mencentang kotak untuk kolom UDM, Anda akan mendapatkan opsi tambahan:

  • Anda dapat menyalin data UDM. Pilih satu atau beberapa kolom UDM, lalu pilih opsi Salin UDM dari menu drop-down Lihat Tindakan. Kolom UDM dan nilai UDM disalin ke papan klip sistem.

  • Anda dapat menambahkan kolom UDM sebagai kolom di tabel Peristiwa dengan memilih opsi Tambahkan Kolom dari menu drop-down Lihat Tindakan.

Setiap kolom UDM diberi label dengan ikon yang menunjukkan apakah kolom tersebut berisi data yang diperkaya atau tidak diperkaya. Label ikonnya adalah sebagai berikut:

  • U: Kolom yang tidak diperkaya berisi nilai yang diisi selama proses normalisasi menggunakan data dari log mentah asli.

  • E: Kolom yang diperkaya berisi nilai yang diisi oleh Google Security Operations untuk memberikan konteks tambahan tentang artefak di lingkungan pelanggan. Untuk informasi selengkapnya, lihat Cara Google Security Operations memperkaya data peristiwa dan entitas.

    Kolom UDM yang diperkaya dan tidak diperkaya

Gambar 9. Kolom UDM di Events Viewer

Gunakan opsi Kolom untuk menyesuaikan kolom informasi yang ditampilkan di tabel Peristiwa. Menu Columns akan ditampilkan. Opsi yang tersedia bervariasi, bergantung pada jenis peristiwa yang ditampilkan oleh Penelusuran UDM.

Anda dapat menyimpan kumpulan kolom yang telah dipilih di sini secara opsional dengan mengklik Simpan. Beri nama kumpulan kolom yang dipilih, lalu klik Simpan lagi. Anda dapat memuat kumpulan kolom tersimpan dengan mengklik Muat dan memilih kumpulan kolom tersimpan dari daftar.

Anda juga dapat mendownload peristiwa yang ditampilkan dengan mengklik menu tiga titik dan memilih Download sebagai CSV. Tindakan ini akan mendownload semua hasil penelusuran hingga satu juta peristiwa. Antarmuka pengguna akan menunjukkan jumlah peristiwa yang akan didownload.

Kolom Penelusuran UDM

Gambar 10. Kolom Penelusuran UDM

Menggunakan Tabel Pivot untuk menganalisis peristiwa

Tabel Pivot memungkinkan Anda menganalisis peristiwa menggunakan ekspresi dan fungsi terhadap hasil dari Penelusuran UDM.

Selesaikan langkah-langkah berikut untuk membuka dan mengonfigurasi Tabel Pivot:

  1. Jalankan penelusuran UDM.

  2. Klik tab Pivot untuk membuka Tabel Pivot.

  3. Tentukan nilai Kelompokkan Menurut untuk mengelompokkan peristiwa menurut kolom UDM tertentu. Anda dapat menampilkan hasil menggunakan kapitalisasi default atau hanya menggunakan huruf kecil dengan memilih huruf kecil dari menu. Opsi ini hanya tersedia untuk kolom string. Anda dapat menentukan hingga 5 nilai Kelompokkan Menurut dengan mengklik Tambahkan Kolom.

    Jika nilai Kelompokkan Menurut adalah salah satu kolom nama host, Anda akan memiliki opsi Transformasi tambahan:

    • Top N-Level Domain—Pilih tingkat domain yang akan ditampilkan. Misalnya, menggunakan nilai 1 hanya akan menampilkan domain level teratas (seperti com, gov, atau edu). Menggunakan nilai 3 akan menampilkan dua tingkat berikutnya dari nama domain (seperti google.co.uk).
    • Get Registered Domain—Hanya menampilkan nama domain yang terdaftar (seperti google.com, nytimes.com, dan youtube.com).

    Jika nilai Kelompokkan Menurut adalah salah satu kolom IP, Anda memiliki opsi Transformasi tambahan:

    • (IP) Panjang awalan CIDR dalam bit—Anda dapat menentukan 1 hingga 32 untuk alamat IPv4. Untuk alamat IPv6, Anda dapat menentukan nilai hingga 128.

    Jika nilai Kelompokkan Menurut menyertakan stempel waktu, Anda akan memiliki opsi Transformasi tambahan:

    • (Waktu) Resolusi dalam milidetik
    • (Waktu) Resolusi dalam detik
    • (Waktu) Penyelesaian dalam menit
    • (Waktu) Penyelesaian dalam jam
    • (Waktu) Penyelesaian dalam hari

  4. Tentukan Nilai untuk Pivot dari daftar Kolom dalam hasil Anda. Anda dapat menentukan hingga 5 nilai. Setelah menentukan Kolom, Anda harus memilih opsi Ringkas. Anda dapat membuat ringkasan berdasarkan opsi berikut:

    • sum
    • count
    • count distinct
    • rata-rata
    • stddev
    • mnt
    • max

    Tentukan nilai Jumlah Peristiwa untuk menampilkan jumlah peristiwa yang diidentifikasi untuk penelusuran UDM dan Tabel Pivot tertentu ini.

    Opsi Ringkas tidak kompatibel secara universal dengan kolom Kelompokkan Menurut. Misalnya, opsi sum, average, stddev, min, dan max hanya dapat diterapkan ke kolom numerik. Jika Anda mencoba mengaitkan opsi Ringkas yang tidak kompatibel dengan kolom Kelompokkan Menurut, Anda akan menerima pesan error.

  5. Tentukan satu atau beberapa kolom UDM dan pilih satu atau beberapa pengurutan menggunakan opsi Urutkan Menurut.

  6. Klik Terapkan jika Anda sudah siap. Hasilnya ditampilkan dalam Tabel Pivot.

  7. (Opsional) Untuk mendownload tabel pivot, klik dan pilih Download as CSV. Jika Anda tidak memilih pivot, opsi ini akan dinonaktifkan.

Menjalankan penelusuran di Penelusuran Cepat

  1. Klik Penelusuran Cepat untuk membuka jendela Penelusuran Cepat. Jendela ini menampilkan penelusuran tersimpan dan histori penelusuran Anda.

  2. Klik salah satu penelusuran yang tercantum untuk memuat penelusuran tersebut ke kolom penelusuran UDM.

  3. Klik Jalankan Penelusuran jika Anda sudah siap.

Penelusuran yang tercantum disimpan ke akun Google Security Operations Anda. Jika Anda perlu mengubah penelusuran tersimpan (misalnya, mengganti nama penelusuran yang ada), menghapus penelusuran tersimpan, atau menghapus penelusuran dari histori penelusuran, buka Pengelola Penelusuran dengan mengklik Lihat Semua Penelusuran.

Ringkasan penelusuran tersimpan dan histori penelusuran

Gunakan Pengelola Penelusuran untuk mengambil penelusuran tersimpan dan melihat histori penelusuran Anda dengan mengklik Pengelola Penelusuran. Penelusuran tersimpan dan histori penelusuran disimpan di akun Google Security Operations Anda. Penelusuran tersimpan dan histori penelusuran hanya dapat dilihat dan diakses oleh pengguna individual, kecuali jika Anda menggunakan fitur Bagikan penelusuran untuk membagikan penelusuran Anda kepada organisasi. Pilih penelusuran tersimpan untuk melihat informasi tambahan, termasuk judul dan deskripsi.

Untuk menyimpan penelusuran:

  1. Dari halaman Penelusuran UDM, klik Simpan untuk menyimpan penelusuran UDM Anda untuk nanti. Tindakan ini akan membuka Pengelola Penelusuran. Google merekomendasikan untuk memberi penelusuran tersimpan Anda nama yang sesuai dan deskripsi teks biasa tentang apa yang Anda telusuri. Anda juga dapat membuat penelusuran UDM baru dari dalam Pengelola Penelusuran dengan mengklik . Alat pengeditan dan penyelesaian UDM standar juga tersedia di sini.

  2. (Opsional) Tentukan variabel placeholder dalam format ${<variable name>} menggunakan format yang sama seperti yang digunakan untuk variabel di YARA-L. Jika menambahkan variabel ke penelusuran UDM, Anda juga harus menyertakan perintah untuk membantu pengguna memahami informasi yang perlu dimasukkan sebelum menjalankan penelusuran. Semua variabel harus diisi dengan nilai sebelum penelusuran dijalankan.

    Misalnya, Anda dapat menambahkan metadata.vendor_name = ${vendor_name} ke penelusuran UDM. Untuk ${vendor_name}, Anda perlu menambahkan perintah untuk pengguna mendatang, seperti "Masukkan nama vendor untuk penelusuran Anda". Setiap kali pengguna memuat penelusuran ini di masa mendatang, mereka akan diminta untuk memasukkan nama vendor sebelum dapat menjalankan penelusuran.

  3. Klik Simpan Pengeditan setelah selesai.

  4. Untuk melihat penelusuran tersimpan, klik Pengelola Penelusuran, lalu klik tab Tersimpan.

Untuk mengambil dan menjalankan penelusuran tersimpan:

  1. Di Pengelola Penelusuran, klik tab Tersimpan.

  2. Pilih penelusuran tersimpan dari daftar. Penelusuran tersimpan ini disimpan ke akun Google Security Operations Anda. Anda dapat menghapus penelusuran dengan mengklik dan memilih Hapus Penelusuran.

  3. Anda dapat mengubah nama penelusuran dan deskripsinya. Klik Simpan Pengeditan setelah selesai.

  4. Klik Muat Penelusuran. Penelusuran dimuat ke kolom penelusuran UDM utama.

  5. Klik Jalankan Penelusuran untuk melihat peristiwa yang terkait dengan penelusuran ini.

Mengambil penelusuran dari histori penelusuran Anda

Untuk mengambil dan menjalankan penelusuran dari histori penelusuran Anda:

  1. Di Pengelola Penelusuran, klik Histori.

  2. Pilih penelusuran dari histori penelusuran Anda. Histori penelusuran Anda disimpan ke akun Google Security Operations Anda. Anda dapat menghapus penelusuran dengan mengklik

  3. Klik Muat Penelusuran. Penelusuran dimuat ke kolom penelusuran UDM utama.

  4. Klik Jalankan Penelusuran untuk melihat peristiwa yang terkait dengan penelusuran ini.

Menghapus, menonaktifkan, atau mengaktifkan histori penelusuran

Untuk menghapus, menonaktifkan, atau mengaktifkan histori penelusuran:

  1. Di Pengelola Penelusuran, klik tab Histori.

  2. Klik

  3. Pilih Hapus Histori untuk menghapus histori penelusuran.

  4. Klik Nonaktifkan Histori untuk menonaktifkan histori penelusuran. Anda memiliki opsi untuk:

    • Hanya Nonaktifkan—Nonaktifkan histori penelusuran.

    • Nonaktifkan dan Hapus—Nonaktifkan histori penelusuran dan hapus histori penelusuran yang disimpan.

  5. Jika sebelumnya Anda telah menonaktifkan histori penelusuran, Anda dapat mengaktifkannya lagi dengan mengklik Aktifkan Histori Penelusuran.

  6. Klik Tutup untuk keluar dari Pengelola Penelusuran.

Membagikan penelusuran

Dengan penelusuran bersama, Anda dapat membagikan penelusuran kepada anggota tim lainnya. Di tab Tersimpan, Anda dapat membagikan atau menghapus penelusuran. Anda juga dapat memfilter penelusuran dengan mengklik ikon filter di samping kotak penelusuran dan mengurutkan penelusuran menurut Tampilkan semua, Ditetapkan oleh Google SecOps, Ditulis oleh Saya, atau Dibagikan.

Anda tidak dapat mengedit penelusuran bersama yang bukan milik Anda.

  1. Klik Tersimpan.
  2. Klik penelusuran yang ingin dibagikan.
  3. Klik di sisi kanan penelusuran. Dialog dengan opsi untuk membagikan penelusuran Anda akan muncul.
  4. Klik Bagikan dengan Organisasi Anda.
  5. Dialog akan muncul yang menyatakan bahwa Berbagi penelusuran Anda akan terlihat oleh orang di organisasi Anda. Yakin ingin berbagi? Klik Bagikan.

Jika Anda ingin penelusuran hanya terlihat oleh Anda, klik , lalu klik Berhenti Berbagi. Jika berbagi dihentikan, hanya Anda yang dapat menggunakan penelusuran ini.

Kolom UDM yang dapat atau tidak dapat didownload ke CSV dari platform

Kolom UDM yang didukung dan tidak didukung untuk didownload ditampilkan di subbagian berikut.

Kolom yang didukung

Anda dapat mendownload kolom berikut ke file CSV dari platform:

  • pengguna

  • hostname

  • nama proses

  • jenis peristiwa

  • timestamp

  • log mentah (hanya valid jika log mentah diaktifkan untuk pelanggan)

  • Semua kolom yang diawali dengan "udm.additional"

Jenis kolom yang valid

Anda dapat mendownload jenis kolom berikut ke file CSV:

  • double

  • float

  • int32

  • uint32

  • int64

  • uint64

  • bool

  • string

  • enum

  • byte

  • google.protobuf.Timestamp

  • google.protobuf.Duration

Kolom yang tidak didukung

Kolom yang diawali dengan "udm" (bukan udm.additional) dan memenuhi salah satu kondisi berikut tidak dapat didownload ke CSV:

  • Tingkat bertingkat kolom lebih dari 10 di proto udm.

  • Jenis datanya adalah Message atau Group.

Langkah selanjutnya

Untuk informasi tentang cara menggunakan data yang diperkaya konteks di Penelusuran UDM, lihat Menggunakan data yang diperkaya konteks di Penelusuran UDM.