UDM-Suche

Unterstützt in:

Mit der UDM-Suchfunktion können Sie UDM-Ereignisse (Unified Data Model) und -Benachrichtigungen in Ihrer Google Security Operations-Instanz finden. Die UDM-Suche umfasst eine Vielzahl von Suchoptionen zur Navigation durch Ihre UDM-Daten. Sie können nach für einzelne UDM-Ereignisse und Gruppen von UDM-Ereignissen, die mit freigegebenen Suchbegriffen verknüpft sind.

Auf Systemen mit RBAC für Daten können Sie nur Daten sehen, die Ihren Bereiche. Weitere Informationen finden Sie im Hilfeartikel Auswirkungen von RBAC auf Daten in der Google Suche.

Google Security Operations-Kunden können Benachrichtigungen auch aus Anschlüsse und Webhooks. Sie können auch die UDM-Suche verwenden, um diese Benachrichtigungen zu finden.

Weitere Informationen zu UDM finden Sie unter Logdaten als UDM formatieren und Liste der Felder für einheitliche Datenmodell.

Klicken Sie in der Navigationsleiste auf Search (Suchen), um auf die UDM-Suche von Google Security Operations zuzugreifen. Sie können auch auf die UDM-Suche zugreifen, indem Sie ein gültiges UDM-Feld aus einem beliebigen Suchfeld in Google Security Operations eingeben und Strg + Eingabetaste drücken.

Eine Liste aller gültigen UDM-Felder finden Sie unter Liste der Felder für einheitliche Datenmodell.

UDM-Suche

Abbildung 1. UDM-Suche

Leere UDM-Suche

Abbildung 2. UDM-Suchfenster, das mit Strg + Eingabetaste geöffnet wird

Führen Sie die folgenden Schritte aus, um eine UDM-Suche in das Feld UDM-Suche einzugeben. Wenn Sie eine UDM-Suche eingegeben haben, klicken Sie auf Suche ausführen. Google Security Operations können Sie nur einen gültigen UDM-Suchausdruck eingeben. Sie können auch den Zeitraum für die Suche anpassen, indem Sie das Zeitraumfenster öffnen.

Wenn Ihre Suche zu weit gefasst ist, zeigt Google Security Operations eine Warnmeldung an. , was darauf hinweist, dass nicht alle Suchergebnisse angezeigt werden können. Den Umfang der und führen ihn noch einmal aus. Wenn eine Suche zu weit gefasst ist, wird Google Security Operations gibt die neuesten Ergebnisse bis zum Suchlimit (eine Million Ereignisse und tausend Benachrichtigungen). Es kann bedeutend mehr Ereignisse und Benachrichtigungen geben, die übereinstimmen. die derzeit aber nicht angezeigt werden. Berücksichtigen Sie dies bei der Analyse der Ergebnisse. Google empfiehlt, zusätzliche Filter anzuwenden und die ursprüngliche Suche auszuführen, bis liegen Sie unter dem Limit.

Auf der UDM-Suchergebnisseite werden die neuesten zehntausend Ergebnisse angezeigt. Anstatt die UDM-Suche zu ändern und die Suche noch einmal auszuführen, können Sie die Suchergebnisse filtern und optimieren, um die älteren Ergebnisse anzuzeigen.

Datum und Suche ausführen

Abbildung 3: Suche ausführen

UDM-Abfragen basieren auf UDM-Feldern, die alle in der Liste der Felder für einheitliche Datenmodell Sie können UDM-Felder im Kontext von Suchen auch mithilfe von Filtern oder der Rohlogsuche aufrufen.

  1. Geben Sie einen UDM-Feldnamen in das Suchfeld ein, um nach Ereignissen zu suchen. Die Benutzeroberfläche bietet eine automatische Vervollständigung und zeigt gültige UDM-Felder an, die auf Ihren Eingaben basieren.

  2. Nachdem Sie ein gültiges UDM-Feld eingegeben haben, wählen Sie einen gültigen Operator aus. Der Nutzer werden die verfügbaren gültigen Operatoren auf Basis des eingegebenen UDM-Felds angezeigt. Folgende Operatoren werden unterstützt:

    • <, >
    • <=, >=
    • =, !=
    • nocase – wird für Strings unterstützt

  3. Wenn Sie ein gültiges UDM-Feld und einen gültigen Operator eingegeben haben, geben Sie den entsprechenden Protokolldaten, nach denen Sie suchen. Die folgenden Datentypen werden unterstützt:

    • Aufgezählte Werte:Auf der Benutzeroberfläche wird eine Liste gültiger Aufzählungszeichen angezeigt. für ein bestimmtes UDM-Feld.

      Beispiel (doppelte Anführungszeichen und ausschließlich Großbuchstaben): metadata.event_type = "NETWORK_CONNECTION"

    • Zusätzliche Werte: Sie können „field[key] = value“ verwenden. um zusätzliche Felder und Labels für Ereignisse zu durchsuchen.

      Beispiel: additional.fields["key"]="value"

    • Boolesche Werte: Sie können true oder false verwenden. Bei allen Zeichen wird die Groß- und Kleinschreibung nicht berücksichtigt und das Keyword wird nicht in Anführungszeichen gesetzt.

      Beispiel: network.dns.response = true

    • Ganzzahlen

      Beispiel: target.port = 443

    • Gleitkommazahlen:Geben Sie für UDM-Felder vom Typ float einen Gleitkommawert wie 3.1 ein. Sie können auch eine Ganzzahl wie 3 eingeben. Dies entspricht der Eingabe von 3.0.

      Hier einige Beispiele: security_result.about.asset.vulnerabilities.cvss_base_score = 3.1 oder security_result.about.asset.vulnerabilities.cvss_base_score = 3

    • Reguläre Ausdrücke: (regulärer Ausdruck muss zwischen Schrägstrichen (/) stehen)

      Beispiel: principal.ip = /10.*/

      Weitere Informationen zu regulären Ausdrücken finden Sie auf der Seite zu regulären Ausdrücken.

    • Strings

      Beispiel (doppelte Anführungszeichen müssen verwendet werden): metadata.product_name = "Google Cloud VPC Flow Logs"

  4. Mit dem Operator nocase können Sie nach einer beliebigen Kombination von Versionen eines bestimmten Strings in Groß- und Kleinschreibung suchen:

    • principal.hostname != "http-server" nocase
    • principal.hostname = "JDoe" nocase
    • principal.hostname = /dns-server-[0-9]+/ nocase

  5. Umgekehrte Schrägstriche und doppelte Anführungszeichen in Strings müssen mit einem umgekehrten Schrägstrich maskiert werden. Beispiel:

    • principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
    • target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""

  6. Mithilfe von booleschen Ausdrücken können Sie den angezeigten Datenbereich weiter eingrenzen. Die folgenden Beispiele veranschaulichen einige Arten von unterstützten booleschen Ausdrücken (die booleschen Operatoren AND, OR und NOT können verwendet werden):

    • A AND B
    • A OR B
    • (A OR B) AND (B OR C) AND (C OR NOT D)

    Die folgenden Beispiele veranschaulichen, wie die tatsächliche Syntax aussehen könnte:

    Anmeldeereignisse auf dem Finanzserver: 

    metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"

    Beispiel für die Verwendung eines regulären Ausdrucks für die Suche nach der Ausführung des Tools psexec.exe unter Windows. 

    target.process.command_line = /\bpsexec(.exe)?\b/ nocase

    Beispiel für die Verwendung des Mehr-als-Operators (>), um nach Verbindungen zu suchen, bei denen mehr als 10 MB Daten gesendet wurden. 

    metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000

    Beispiel für die Suche mit mehreren Bedingungen nach Winword, das cmd.exe oder powershell.exe startet 

        metadata.event_type = "PROCESS_LAUNCH" and
    principal.process.file.full_path = /winword/ and
    (target.process.file.full_path = /cmd.exe/ or
    target.process.file.full_path = /powershell.exe/)

  7. Sie können die UDM-Suche auch verwenden, um in den Feldern „Zusätzlich“ und „Label“ nach bestimmten Schlüssel/Wert-Paaren zu suchen.

    Die Felder „Zusätzliche“ und „Label“ werden als anpassbare Option zum Auffangen verwendet. für Ereignisdaten, die nicht in ein standardmäßiges UDM-Feld passen. Zusätzliche Felder können mehrere Schlüssel/Wert-Paare enthalten. Labelfelder dürfen nur ein einziges Schlüssel/Wert-Paar enthalten. Jede Instanz des Felds enthält jedoch nur einen Schlüssel und einen Wert. Der Schlüssel muss in Klammern stehen und der Wert auf der rechten Seite.

    Die folgenden Beispiele zeigen, wie nach Ereignissen gesucht wird, die bestimmte Schlüssel/Wert-Paare enthalten: 

        additional.fields["pod_name"] = "kube-scheduler"
    metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"
     Im folgenden Beispiel wird gezeigt, wie der AND-Operator bei Suchanfragen nach Schlüssel/Wert-Paaren verwendet wird: 
        additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"

    Mit der folgenden Syntax können Sie nach allen Ereignissen suchen, die den angegebenen Schlüssel enthalten (unabhängig vom Wert). 

        additional.fields["pod_name"] != ""
     Sie können auch reguläre Ausdrücke und den Operator nocase verwenden: 
        additional.fields["pod_name"] = /br/
    additional.fields["pod_name"] = bar nocase

  8. Sie können auch blockierende und einzeilige Kommentare verwenden.

    Das folgende Beispiel zeigt, wie ein Blockkommentar verwendet wird: 

        additional.fields["pod_name"] = "kube-scheduler"
    /*
    Block comments can span
    multiple lines.
    */
    AND additional.fields["pod_name1"] = "kube-scheduler1"

    Das folgende Beispiel zeigt, wie ein einzeiliger Kommentar verwendet wird: 

        additional.fields["pod_name"] != "" // my single-line comment

  9. Klicken Sie auf Suche ausführen, um die UDM-Suche auszuführen und die Ergebnisse anzuzeigen.

  10. Ereignisse werden auf der Seite UDM-Suche in der Ereigniszeitachse angezeigt. Sie können die Ergebnisse weiter eingrenzen, indem Sie manuell oder über die Benutzeroberfläche zusätzliche UDM-Felder hinzufügen.

Gruppierte Felder suchen

Gruppierte Felder sind Aliasse für Gruppen verwandter UDM-Felder. Sie können damit mehrere UDM-Felder gleichzeitig abfragen, ohne jedes Feld einzeln eingeben zu müssen.

Das folgende Beispiel zeigt, wie Sie eine Abfrage eingeben, um die gängigen UDM-Felder abzugleichen, die die angegebene IP-Adresse enthalten könnten: 

    ip = "1.2.3.4"

Sie können ein gruppiertes Feld mit einem regulären Ausdruck und dem Operator nocase abgleichen. Referenzlisten werden ebenfalls unterstützt. Gruppierte Felder können auch in Kombination mit regulären UDM-Feldern verwendet werden, wie im folgenden Beispiel gezeigt: 

    ip = "5.6.7.8" AND metadata.event_type = "NETWORK_CONNECTION"

Gruppierte Felder haben in Schnellfilter einen separaten Abschnitt.

Arten gruppierter UDM-Felder

Sie können in allen folgenden gruppierten UDM-Feldern suchen:

Name des gruppierten Felds Verknüpfte UDM-Felder
Domain about.administrative_domain
about.asset.network_domain
network.dns.questions.name
network.dns_domain
principal.administrative_domain
principal.asset.network_domain
target.administrative_domain
target.asset.hostname
target.asset.network_domain
target.hostname
E-Mail intermediary.user.email_addresses
network.email.from
network.email.to
principal.user.email_addresses
security_result.about.user.email_addresses
target.user.email_addresses
file_path principal.file.full_path
principal.process.file.full_path
principal.process.parent_process.file.full_path
target.file.full_path
target.process.file.full_path
target.process.parent_process.file.full_path
Hash about.file.md5
about.file.sha1
about.file.sha256
principal.process.file.md5
principal.process.file.sha1
principal.process.file.sha256
security_result.about.file.sha256
target.file.md5
target.file.sha1
target.file.sha256
target.process.file.md5
target.process.file.sha1
target.process.file.sha256
Hostname intermediary.hostname
observer.hostname
principal.asset.hostname
principal.hostname
src.asset.hostname
src.hostname
target.asset.hostname
target.hostname
ip intermediary.ip
observer.ip
principal.artifact.ip
principal.asset.ip
principal.ip
src.artifact.ip
src.asset.ip
src.ip
target.artifact.ip
target.asset.ip
target.ip
Namespace principal.namespace
src.namespace
target.namespace
process_id principal.process.parent_process.pid
principal.process.parent_process.product_specific_process_id
principal.process.pid
principal.process.product_specific_process_id
target.process.parent_process.pid
target.process.parent_process.product_specific_process_id
target.process.pid
target.process.product_specific_process_id
Nutzer about.user.userid
observer.user.userid
principal.user.user_display_name
principal.user.userid
principal.user.windows_sid
src.user.userid
target.user.user_display_name
target.user.userid
target.user.windows_sid

UDM-Feld für die Suchanfrage finden

Beim Schreiben einer UDM-Suchanfrage wissen Sie möglicherweise nicht, welches UDM-Feld verwendet werden soll. Mit UDM-Lookup können Sie schnell einen UDM-Feldnamen finden, eine Textzeichenfolge im Namen enthält oder einen bestimmten Zeichenfolgenwert speichert. Es ist nicht für die Suche nach anderen Datentypen wie Bytes, Boolesch, oder numerisch sein. Sie wählen ein oder mehrere von UDM Lookup zurückgegebene Ergebnisse als als Ausgangspunkt für eine UDM-Suchanfrage.

So verwenden Sie UDM Lookup:

  1. Geben Sie auf der Seite UDM-Suche einen Textstring in das Feld UI-Felder nach Wert suchen ein. Klicken Sie dann auf UDM-Lookup.

  2. Wählen Sie im Dialogfeld UDM-Suche eine oder mehrere der folgenden Optionen aus: Optionen zum Festlegen des Umfangs der zu durchsuchenden Daten:

    • UDM-Felder: Suche nach Text in UDM-Feldnamen, z. B. network.dns.questions.name oder principal.ip.
    • Werte: Suchen Sie nach Text in den Werten, die UDM-Feldern zugewiesen sind, z. B. dns oder google.com.

  3. Geben Sie die Zeichenfolge in das Suchfeld ein oder ändern Sie sie. Während der Eingabe werden die Suchergebnisse werden im Dialogfeld angezeigt.

    Die Ergebnisse weichen bei der Suche in UDM-Feldern geringfügig von den Ergebnissen ab. Werte: Wenn Sie in Werte nach Text suchen, erhalten Sie folgende Ergebnisse:

    • Wenn sich der String am Anfang oder Ende des Werts befindet, wird sie zusammen mit dem UDM-Feldnamen und der Uhrzeit im Ergebnis hervorgehoben. Das Log wurde aufgenommen.
    • Wenn sich die Textzeichenfolge an einer anderen Stelle im Wert befindet, wird das Ergebnis angezeigt. den UDM-Feldnamen und den Text Mögliche Wertübereinstimmung.

    Innerhalb von Werten suchen

    In Werten in UDM Lookup suchen

    • Bei der Suche nach einem Textstring in UDM-Feldnamen gibt UDM Lookup eine genaue Übereinstimmung an einer beliebigen Stelle im Namen gefunden.

    In UDM-Feldern suchen

    In UDM-Feldern in UDM-Lookup suchen

  4. In der Ergebnisliste haben Sie folgende Möglichkeiten:

    • Klicken Sie auf den Namen eines UDM-Felds, um eine Beschreibung dieses Felds aufzurufen.

    • Wählen Sie ein oder mehrere Ergebnisse aus, indem Sie das Kästchen links neben dem Namen jedes UDM-Felds anklicken.

    • Klicken Sie auf die Schaltfläche Zurücksetzen, um die Auswahl aller ausgewählten Felder in der Ergebnisliste aufzuheben.

  5. Um die ausgewählten Ergebnisse in das Feld UDM-Suche einzufügen, klicken Sie auf Schaltfläche An Suche anfügen:

    Sie können das ausgewählte Ergebnis auch über die Schaltfläche Copy UDM (UDM kopieren) kopieren. Schließen Sie dann das Dialogfeld UDM-Suche und fügen Sie das Feld UDM-Suche.

    Google Security Operations konvertiert das ausgewählte Ergebnis in einen UDM-Suchabfragestring als den UDM-Feldnamen oder ein Name-Wert-Paar. Wenn Sie mehrere Ergebnisse anhängen, wird jedes Ergebnis mit dem Operator OR an das Ende einer vorhandenen Abfrage im UDM-Suchfeld angehängt.

    Der angehängte Abfragestring unterscheidet sich je nach Art der Übereinstimmung, die von der UDM-Suche zurückgegeben wird.

    • Wenn das Ergebnis mit einem Textstring in einem UDM-Feldnamen übereinstimmt, wird das vollständige UDM-Feld name an die Abfrage angehängt wird. Hier ein Beispiel:

      principal.artifact.network.dhcp.client_hostname

    • Wenn das Ergebnis mit einem Textstring am Anfang oder Ende eines Werts übereinstimmt, enthält das Name-Wert-Paar den Namen des UDM-Felds und den vollständigen Wert im Ergebnis. Hier einige Beispiele:

      metadata.log_type = "PCAP_DNS"

      network.dns.answers.name = "dns-A901F3j.hat.example.com"

    • Wenn das Ergebnis den Text Mögliche Wertübereinstimmung enthält, wird das Name/Wert-Paar enthält den UDM-Feldnamen und einen regulären Ausdruck, der den Suchbegriff enthält. Hier ein Beispiel:

      principal.process.file.full_path = /google/ NOCASE

  6. Bearbeiten Sie die UDM-Suchabfrage entsprechend Ihrem Anwendungsfall. Die Abfragezeichenfolge, die Die generierte UDM-Suche dient als Ausgangspunkt zum Schreiben einer vollständigen UDM-Suchabfrage.

Zusammenfassung des UDM-Lookup-Verhaltens

In diesem Abschnitt finden Sie weitere Informationen zu den UDM-Lookup-Funktionen.

  • Daten zu UDM Lookup-Suchanfragen, die nach dem 10. August 2023 aufgenommen wurden. Aufgenommene Daten bevor nicht gesucht wird. Sie gibt Ergebnisse aus nicht angereicherten UDM-Feldern zurück. Es werden keine Übereinstimmungen mit angereicherten Feldern zurückgegeben. Informationen zu angereicherten und nicht angereicherten Feldern finden Sie unter Ereignisse in der Ereignisanzeige ansehen.
  • Bei Suchen mit UDM Lookup wird die Groß-/Kleinschreibung nicht berücksichtigt. Der Begriff hostname gibt den Wert dasselbe Ergebnis wie HostName.
  • Bindestriche (-) und Unterstriche (_) in einem Abfragetextstring werden ignoriert, Suchen Sie nach Werten. Die Textzeichenfolge dns-l und dnsl geben beide zurück Wert dns-l

  • Bei der Suche nach Werten gibt die UDM-Suche in den folgenden Fällen keine Übereinstimmungen zurück:

    Übereinstimmungen in den folgenden UDM-Feldern:
    • metadata.product_log_id
    • network.session_id
    • security_result.rule_id
    • network.parent_session_id
    Übereinstimmungen in UDM-Feldern mit einem vollständigen Pfad, der auf eines der folgende Werte:
    • .pid
      Beispiel: target.process.pid.
    • .asset_id
      Beispiel: principal.asset_id.
    • .product_specific_process_id
      Beispiel: principal.process.product_specific_process_id.
    • .resource.id
      Beispiel: principal.resource.id.

  • Bei der Suche nach Werten zeigt UDM Lookup die Meldung Mögliche Wertübereinstimmung an. im Ergebnis, wenn in den folgenden Fällen eine Übereinstimmung gefunden wird:

    Übereinstimmungen in den folgenden UDM-Feldern:
    • metadata.description
    • security_result.description
    • security_result.detection_fields.value
    • security_result.summary
    • network.http.user_agent
    Übereinstimmung mit Feldern mit einem vollständigen Pfad, der mit einem der folgenden Werte endet:
    • .command_line
      Beispiel: principal.process.command_line.
    • .file.full_path
      Beispiel: principal.process.file.full_path.
    • .labels.value
      Beispiel: src.labels.value.
    • .registry.registry_key
      Beispiel: principal.registry.registry_key.
    • .url
      Beispiel: principal.url.
    Übereinstimmung mit Feldern mit einem vollständigen Pfad, der mit den folgenden Werten beginnt: additional.fields.value.
    Beispiel: additional.fields.value.null_value.

Klicken Sie zum Ansehen der Benachrichtigungen auf der Seite UDM-Suche rechts neben dem Tab Ereignisse auf den Tab Benachrichtigungen.

Wie Benachrichtigungen angezeigt werden

Google Security Operations wertet die bei der UDM-Suche zurückgegebenen Ereignisse anhand von Ereignissen aus, die für Benachrichtigungen in der Kundenumgebung vorhanden sind. Wenn ein Suchanfrageereignis mit einem in einer Benachrichtigung vorhandenen Ereignis übereinstimmt, wird es auf der Zeitachse der Benachrichtigungen und in der entsprechenden Benachrichtigungstabelle angezeigt.

Definition von Ereignissen und Benachrichtigungen

Ein Ereignis wird aus einer Rohprotokollquelle generiert, die in Google Security Operations aufgenommen und im Rahmen des Aufnahme- und Normalisierungsprozesses von Google Security Operations verarbeitet wird. Aus einem einzelnen Datensatz der Rohprotokollquelle können mehrere Ereignisse generiert werden. Ein Ereignis ist eine Reihe sicherheitsrelevanter Datenpunkte, die aus diesem Rohprotokoll generiert werden.

Bei einer UDM-Suche wird eine Benachrichtigung als YARA-L-Regelerkennung mit aktivierter Benachrichtigung definiert. Weitere Informationen finden Sie unter Regel mit Live-Daten ausführen.

Andere Datenquellen können in Google Security Operations als Benachrichtigungen aufgenommen werden, z. B. Crowdstrike Falcon Alerts. Diese Benachrichtigungen werden in der UDM-Suche nur angezeigt, wenn sie von der Google Security Operations Detection Engine als YARA-L-Regel verarbeitet werden.

Ereignisse, die mit einer oder mehreren Benachrichtigungen verknüpft sind, werden in der Ereigniszeitachse mit einem Benachrichtigungs-Chip gekennzeichnet. Wenn der Zeitachse mehrere Benachrichtigungen zugeordnet sind, zeigt der Chip die Anzahl der zugehörigen Benachrichtigungen an.

Auf der Zeitachse werden die 1.000 zuletzt aus den Suchergebnissen abgerufenen Benachrichtigungen angezeigt. Wenn das Limit von 1.000 erreicht ist, werden keine Benachrichtigungen mehr abgerufen. Damit du alle für deine Suche relevanten Ergebnisse siehst, kannst du deine Suche mit Filtern verfeinern.

Benachrichtigungen prüfen

Wie Sie eine Benachrichtigung mithilfe der Benachrichtigungsgrafik und Benachrichtigungsdetails untersuchen können, wird unter Benachrichtigungen untersuchen beschrieben.

Referenzlisten in UDM-Suchen verwenden

Das Verfahren zum Anwenden von Referenzlisten in Regeln kann auch bei der Suche angewendet werden. In einer einzelnen Suchanfrage können bis zu sieben Listen enthalten sein. Alle Arten von Referenzlisten (String, regulärer Ausdruck, CIDR) werden unterstützt.

Sie können Listen aller Variablen erstellen, die Sie erfassen möchten. Sie könnten beispielsweise eine Liste mit verdächtigen IP-Adressen erstellen: 

// Field value exists in reference list
principal.ip IN %suspicious_ips

Mit AND oder OR können Sie mehrere Listen verwenden:

// multiple lists can be used with AND or OR
principal.ip IN %suspicious_ips AND
principal.hostname IN %suspicious_hostnames

Suchergebnisse verfeinern

Sie können die Benutzeroberfläche für die UDM-Suche verwenden, um Ergebnisse zu filtern und zu verfeinern, anstatt die UDM-Suche zu ändern und die Suche noch einmal auszuführen.

Zeitachsendiagramm

Das Zeitachsendiagramm bietet eine grafische Darstellung der Anzahl der an jedem Tag auftretenden Ereignisse und Benachrichtigungen, die bei der aktuellen UDM-Suche angezeigt werden. Ereignisse und Benachrichtigungen werden im selben Zeitachsendiagramm angezeigt, das sowohl auf dem Tab Ereignisse als auch auf dem Tab Benachrichtigungen verfügbar ist.

Die Breite jedes Balkens hängt vom Zeitintervall der Suche ab. Wenn die Suche beispielsweise 24 Stunden an Daten umfasst, entspricht jeder Balken 10 Minuten. Dieses Diagramm wird dynamisch aktualisiert, wenn Sie die vorhandene UDM-Suche ändern.

Zeitraumanpassung

Sie können den Zeitraum für das Diagramm anpassen, indem Sie die weißen Schieberegler nach links und rechts bewegen, um den Zeitraum anzupassen und den gewünschten Zeitraum auszuwählen. Wenn Sie den Zeitraum anpassen, werden die Tabellen „UDM-Felder und -Werte“ und „Ereignisse“ entsprechend der aktuellen Auswahl aktualisiert. Sie können auch auf einen Balken in der Grafik klicken, um nur die Ereignisse in diesem Zeitraum anzuzeigen.

Nachdem Sie den Zeitraum angepasst haben, erscheinen die Kästchen Gefilterte Ereignisse und Anfrageereignisse, mit denen Sie die Arten der angezeigten Ereignisse weiter einschränken können.

Zeitachsendiagramm für Ereignisse mit Zeitraumsteuerungen

Abbildung 4: Zeitachsendiagramm für Ereignisse mit Zeitraumsteuerung

UDM-Suche mit Schnellfiltern ändern

Mit Schnellfiltern können Sie Ihre UDM-Suche weiter eingrenzen. Sie können entweder durch die Liste der UDM-Felder scrollen oder mithilfe des Suchfelds nach bestimmten UDM-Feldern oder -Werten suchen. Die hier aufgeführten UDM-Felder sind mit den vorhandenen Ereignislisten verknüpft, die durch Ihre UDM-Suche generiert wurden. Jedes UDM-Feld enthält die Anzahl der Ereignisse in Ihrer aktuellen UDM-Suche, die diese Daten ebenfalls enthalten. In der Liste der UDM-Felder wird die Gesamtzahl der eindeutigen Werte in einem Feld angezeigt. Mit dieser Funktion können Sie nach bestimmten Arten von Protokolldaten suchen, die für Sie von Interesse sein könnten.

Die UDM-Felder sind in der folgenden Reihenfolge aufgeführt:

  1. Die Felder mit den höchsten Ereignissen werden bis zur niedrigsten Ereignisanzahl gezählt.
  2. Felder mit nur einem Wert sind immer an letzter Stelle.
  3. Felder mit derselben Gesamtzahl an Ereignissen sind alphabetisch von A bis Z sortiert.

Schnellfilter

Abbildung 5: Schnellfilter

Schnellfilter ändern

Wenn Sie in der Schnellfilter-Liste einen UDM-Feldwert auswählen und auf das Menüsymbol klicken, haben Sie die Wahl zwischen Show only-Ereignisse, die auch diesen UDM-Feldwert enthalten, oder Filter out dieses UDM-Feldwerts. Wenn das UDM-Feld Ganzzahlwerte enthält (Beispiel: target.port), werden auch Optionen zum Filtern nach <,>,<=,>= angezeigt. Mit Filteroptionen wird die Liste der angezeigten Ereignisse verkürzt.

Sie können Felder auch im Schnellfilter anpinnen (über das Markierungssymbol), um sie als Favoriten zu speichern. Sie werden oben in der Schnellfilterliste angezeigt.

Nur anzeigen

Abbildung 6. Beispiel: „Nur anzeigen“ auswählen

Diese zusätzlichen UDM-Filter werden auch dem Feld „Filterereignisse“ hinzugefügt. Im Feld „Ereignisse filtern“ sehen Sie die zusätzlichen UDM-Felder, die Sie der UDM-Suche hinzugefügt haben. Sie können diese zusätzlichen UDM-Felder bei Bedarf auch schnell entfernen.

Ereignisse filtern

Abbildung 7. Ereignisse filtern

Wenn Sie links auf das Menüsymbol „Ereignisse filtern“ oder links auf Filter hinzufügen klicken, wird ein Fenster geöffnet, in dem Sie weitere UDM-Felder auswählen können.

Fenster zum Filtern von Ereignissen

Abbildung 8: Fenster zum Filtern von Ereignissen

Wenn Sie auf Auf die Suche und Ausführung anwenden klicken, werden die UDM-Felder zum Feld „Ereignisse filtern“ hinzugefügt und die angezeigten Ereignisse werden anhand dieser zusätzlichen Filter gefiltert. Sie können auch auf Auf Search and Run anwenden klicken, um diese Elemente dem UDM-Hauptfeld für die Suche oben auf der Seite hinzuzufügen. Die Suche wird automatisch noch einmal mit denselben Parametern für Datum und Uhrzeit ausgeführt. Google empfiehlt, die Suche so weit wie möglich einzugrenzen, bevor Sie auf Auf die Google Suche und Google Suche anwenden klicken. Das verbessert die Genauigkeit und verkürzt die Suchzeiten.

Ereignisse in der Ereignistabelle ansehen

Durch alle diese Filter und Steuerelemente wird die Liste der Ereignisse in der Tabelle „Ereignisse“ aktualisiert. Klicken Sie auf eines der aufgeführten Ereignisse, um die Loganzeige zu öffnen. Dort können Sie das Rohprotokoll und den UDM-Eintrag für dieses Ereignis überprüfen. Wenn du auf den Zeitstempel eines Ereignisses klickst, kannst du auch die zugehörige Asset-, IP-Adresse-, Domain-, Hash- oder Nutzeransicht aufrufen. Sie können auch über das Suchfeld oben in der Tabelle nach einem bestimmten Ereignis suchen.

Benachrichtigungen in der Benachrichtigungstabelle ansehen

Sie können Benachrichtigungen aufrufen, indem Sie rechts neben dem Tab Ereignisse auf den Tab Benachrichtigungen klicken. Sie können Schnellfilter verwenden, um Benachrichtigungen nach folgenden Kriterien zu sortieren:

  • Fall
  • Name
  • Priorität
  • Schweregrad
  • Status
  • Urteil

So können Sie sich auf die Benachrichtigungen konzentrieren, die für Sie am wichtigsten sind.

Benachrichtigungen werden im selben Zeitraum wie die Ereignisse auf dem Tab „Ereignisse“ angezeigt. So können Sie den Zusammenhang zwischen Ereignissen und Benachrichtigungen leichter erkennen.

Wenn Sie mehr über eine bestimmte Benachrichtigung erfahren möchten, klicken Sie darauf. Daraufhin wird eine Detailseite mit ausführlicheren Informationen zu dieser Benachrichtigung geöffnet.

Ereignisse in der Ereignisanzeige ansehen

Wenn Sie den Mauszeiger auf ein Ereignis in der Ereignistabelle bewegen, wird rechts neben dem markierten Ereignis das Symbol zum Öffnen der Ereignisanzeige angezeigt. Klicken Sie darauf, um die Ereignisanzeige zu öffnen.

Das Raw Log-Fenster zeigt das ursprüngliche Rohprotokoll in einem der folgenden Formate an:

  • Roh
  • JSON
  • XML
  • CSV
  • Hex/ASCII

Das UDM-Fenster zeigt den strukturierten UDM-Eintrag an. Wenn Sie den Mauszeiger über ein beliebiges UDM-Feld halten, wird die UDM-Definition angezeigt. Wenn Sie das Kästchen für die UDM-Felder anklicken, werden zusätzliche Optionen angezeigt:

  • Sie können den UDM-Eintrag kopieren. Wählen Sie ein oder mehrere UDM-Felder aus und dann im Drop-down-Menü Aktionen die Option UDM kopieren. Die UDM-Felder und UDM-Werte werden in die Systemzwischenablage kopiert.

  • Sie können die UDM-Felder als Spalten in der Ereignistabelle hinzufügen, indem Sie im Drop-down-Menü Ansichtsaktionen die Option Spalten hinzufügen auswählen.

Jedes UDM-Feld ist mit einem Symbol gekennzeichnet, das angibt, ob das Feld angereicherte oder nicht angereicherte Daten enthält. Die Symbolbeschriftungen sind:

  • U: Nicht angereicherte Felder enthalten Werte, die während der Normalisierung ausgefüllt werden. unter Verwendung von Daten aus dem ursprünglichen Rohlog.

  • E: Angereicherte Felder enthalten Werte, die von Google Security Operations ausgefüllt werden, um sie bereitzustellen. Kontext zu Artefakten in einer Kundenumgebung. Weitere Informationen Siehe Wie Google Security Operations Ereignis- und Entitätsdaten anreichert.

    Angereicherte und nicht angereicherte UDM-Felder

Abbildung 9: UDM-Felder in der Ereignisanzeige

Mit der Option Spalten können Sie festlegen, welche Informationsspalten in der Ereignistabelle angezeigt werden. Das Menü „Spalten“ wird angezeigt. Die verfügbaren Optionen variieren je nach Ereignistypen, die von der UDM-Suche zurückgegeben werden.

Optional können Sie den hier ausgewählten Satz von Spalten speichern, indem Sie auf Speichern klicken. Geben Sie den ausgewählten Spalten einen Namen und klicken Sie noch einmal auf Speichern. Sie können einen Satz gespeicherter Spalten laden, indem Sie auf Laden klicken und den Satz gespeicherter Spalten aus der Liste auswählen.

Sie können die angezeigten Ereignisse auch herunterladen, indem Sie auf das Dreipunkt-Menü klicken und Als CSV-Datei herunterladen auswählen. Dadurch werden alle Suchergebnisse bis zu einer Million Ereignissen heruntergeladen. Auf der Benutzeroberfläche wird die Anzahl der heruntergeladenen Ereignisse angezeigt.

UDM-Suchspalten

Abbildung 10: UDM-Suchspalten

Ereignisse mithilfe der Pivot-Tabelle analysieren

Mit der Pivot-Tabelle können Sie Ereignisse mithilfe von Ausdrücken und Funktionen anhand der Ergebnisse der UDM-Suche analysieren.

Führen Sie die folgenden Schritte aus, um die Pivot-Tabelle zu öffnen und zu konfigurieren:

  1. Führen Sie eine UDM-Suche aus.

  2. Klicken Sie auf den Tab Pivot, um die Pivot-Tabelle zu öffnen.

  3. Geben Sie einen Wert für Nach an, um die Ereignisse nach einem bestimmten UDM-Feld zu gruppieren. Sie können die Ergebnisse mit der Standard-Großschreibung oder nur mit Kleinbuchstaben anzeigen lassen. Wählen Sie dazu kleinbuchstaben aus dem Menü aus. Diese Option ist nur für Stringfelder verfügbar. Sie können bis zu fünf Werte unter Gruppieren nach angeben. Klicken Sie dazu auf Feld hinzufügen.

    Wenn Ihr Wert unter Gruppieren nach eines der Hostnamenfelder ist, stehen zusätzliche Transformationsoptionen zur Verfügung:

    • Top-N-Level-Domain: Sie können auswählen, welche Ebene der Domain angezeigt werden soll. Wenn Sie beispielsweise den Wert 1 festlegen, wird nur die Top-Level-Domain angezeigt. (z. B. com, gov oder edu). Bei einem Wert von 3 wird das nächsten zwei Ebenen der Domainnamen (z. B. google.co.uk).
    • Get Registered Domain (Registrierte Domain abrufen): Nur die registrierte Domain wird angezeigt. Name (z. B. google.com, nytimes.com und youtube.com).

    Wenn Ihr Wert von Gruppieren nach eines der IP-Felder ist, stehen Ihnen zusätzliche Transformationsoptionen zur Verfügung:

    • (IP)-CIDR-Präfixlänge in Bit: Sie können für IPv4-Adressen einen Wert von 1 bis 32 angeben. Für IPv6-Adressen können Sie Werte bis zu 128 angeben.

    Wenn Ihr Wert von Gruppieren nach einen Zeitstempel enthält, stehen Ihnen zusätzliche Transformationsoptionen zur Verfügung:

    • (Zeit) Auflösung in Millisekunden
    • (Zeit) Auflösung in Sekunden
    • (Zeit) Auflösung in Minuten
    • (Zeit) Lösung in Stunden
    • (Zeit) Lösung in Tagen

  4. Geben Sie einen Wert für das Pivoting aus der Liste der Felder in Ihren Ergebnissen an. Sie können bis zu 5 Werte angeben. Nachdem Sie ein Feld angegeben haben, müssen Sie die Option Zusammenfassen auswählen. Folgende Optionen sind verfügbar:

    • Summe
    • count
    • count distinct
    • Durchschnitt
    • stddev
    • Min.
    • Max

    Geben Sie den Wert Ereignisanzahl an, um die Anzahl der Ereignisse zurückzugeben, die für diese bestimmte UDM-Suche und Pivot-Tabelle identifiziert wurden.

    Die Optionen vom Typ Zusammenfassen sind nicht universell mit den Feldern Gruppieren nach kompatibel. Die Optionen sum, average, stddev, min und max können beispielsweise nur auf numerische Felder angewendet werden. Wenn Sie versuchen, eine inkompatible Zusammenfassungsoption mit einem Nach-Feld zu verknüpfen, erhalten Sie eine Fehlermeldung.

  5. Geben Sie ein oder mehrere UDM-Felder an und wählen Sie mit der Option Order By (Sortieren nach) mindestens eine Sortierung aus.

  6. Klicken Sie abschließend auf Übernehmen. Die Ergebnisse werden in der Pivot-Tabelle angezeigt.

  7. Optional: Um die Pivot-Tabelle herunterzuladen, klicken Sie auf . und wählen Sie Als CSV-Datei herunterladen aus. Wenn Sie keinen Pivot ausgewählt haben, ist diese Option deaktiviert.

Schnellsuche durchführen

  1. Klicken Sie auf Schnellsuche, um das Fenster zu öffnen. In diesem Fenster werden deine gespeicherten Suchanfragen und dein Suchverlauf angezeigt.

  2. Klicken Sie auf eine der aufgeführten Suchanfragen, um sie in das UDM-Suchfeld zu laden.

  3. Klicken Sie abschließend auf Suche ausführen.

Die aufgeführten Suchanfragen werden in Ihrem Google Security Operations-Konto gespeichert. Wenn Sie eine Ihrer gespeicherten Suchanfragen ändern (z. B. eine vorhandene Suchanfrage umbenennen), gespeicherte Suchanfragen löschen oder Suchanfragen aus Ihrem Suchverlauf löschen möchten, öffnen Sie den Suchmanager, indem Sie auf Alle Suchanfragen ansehen klicken.

Gespeicherte Suchanfragen und Suchverlauf

Klicke auf Suchmanager, um gespeicherte Suchanfragen abzurufen und deinen Suchverlauf anzusehen. Gespeicherte Suchanfragen und der Suchverlauf werden in Ihrem Google Security Operations-Konto gespeichert. Gespeicherte Suchanfragen und der Suchverlauf sind nur für den jeweiligen Nutzer sichtbar und zugänglich, es sei denn, Sie verwenden die Funktion Suche freigeben, um Ihre Suche für Ihre Organisation freizugeben. Wählen Sie eine gespeicherte Suchanfrage aus, um zusätzliche Informationen wie Titel und Beschreibung zu sehen.

So speichern Sie eine Suchanfrage:

  1. Klicken Sie auf der UDM-Suchseite auf Speichern, um Ihre UDM-Suche für später zu speichern. Der Suchmanager wird geöffnet. Google empfiehlt, der gespeicherten Suche einen aussagekräftigen Namen und eine Klartextbeschreibung des Suchbegriffs zu geben. Sie können auch im Suchmanager eine neue UDM-Suche erstellen, indem Sie auf klicken. Die standardmäßigen Tools zum Bearbeiten und Ergänzen von UDMs sind hier ebenfalls verfügbar.

  2. Optional: Geben Sie Platzhaltervariablen im Format ${<variable name>} an. Verwenden Sie dabei dasselbe Format wie für Variablen in YARA-L. Wenn Sie einer UDM-Suche eine Variable hinzufügen, müssen Sie auch einen Prompt hinzufügen, damit Nutzer wissen, welche Informationen sie eingeben müssen, bevor sie die Suche starten. Alle Variablen müssen mit Werten ausgefüllt sein, bevor eine Suche ausgeführt wird.

    Sie können beispielsweise metadata.vendor_name = ${vendor_name} in Ihre UDM-Suche einfügen. Für ${vendor_name} müssen Sie einen Prompt für zukünftige Nutzer hinzufügen, z. B. „Geben Sie den Namen des Anbieters für Ihre Suche ein“. Künftig wird ein Nutzer jedes Mal, wenn er diese Suche lädt, zur Eingabe des Anbieternamens aufgefordert, bevor er die Suche ausführen kann.

  3. Klicken Sie auf Änderungen speichern, wenn Sie fertig sind.

  4. Klicken Sie zum Aufrufen gespeicherter Suchanfragen auf Suchmanager und dann auf den Tab Gespeichert.

So rufen Sie eine gespeicherte Suche ab und führen sie aus:

  1. Klicken Sie im Suchmanager auf den Tab Gespeichert.

  2. Wählen Sie eine gespeicherte Suchanfrage aus der Liste aus. Diese gespeicherten Suchanfragen werden in Ihrem Google Security Operations-Konto gespeichert. Sie können eine Suche löschen, indem Sie auf  klicken und Suche löschen auswählen.

  3. Sie können den Namen der Suchanfrage und die Beschreibung ändern. Klicken Sie auf Änderungen speichern, wenn Sie fertig sind.

  4. Klicken Sie auf Suche laden. Die Suche wird in das Hauptsuchfeld der UDM geladen.

  5. Klicken Sie auf Suche ausführen, um die mit dieser Suche verknüpften Ereignisse zu sehen.

Suchanfrage aus dem Suchverlauf abrufen

So rufen Sie eine Suchanfrage aus Ihrem Suchverlauf ab und führen sie aus:

  1. Klicken Sie im Suchmanager auf Verlauf.

  2. Wähle eine Suchanfrage aus deinem Suchverlauf aus. Ihr Suchverlauf wird in Ihrem Google Security Operations-Konto gespeichert. Sie können eine Suchanfrage löschen, indem Sie auf klicken.

  3. Klicken Sie auf Suche laden. Die Suche wird in das UDM-Hauptsuchfeld geladen.

  4. Klicken Sie auf Suche ausführen, um die mit dieser Suche verknüpften Ereignisse zu sehen.

Suchverlauf löschen, deaktivieren oder aktivieren

So löschen, deaktivieren oder aktivieren Sie den Suchverlauf:

  1. Klicken Sie im Search Manager auf den Tab Verlauf.

  2. Klicken Sie auf .

  3. Wähle Verlauf löschen aus, um den Suchverlauf zu löschen.

  4. Klicke auf Verlauf deaktivieren, um den Suchverlauf zu deaktivieren. Sie haben folgende Möglichkeiten:

    • Nur deaktivieren: Der Suchverlauf wird deaktiviert.

    • Deaktivieren und löschen: Deaktivieren Sie den Suchverlauf und löschen Sie den gespeicherten Suchverlauf.

  5. Wenn du den Suchverlauf zuvor deaktiviert hast, kannst du ihn wieder aktivieren, indem du auf Suchverlauf aktivieren klickst.

  6. Klicken Sie auf Schließen, um den Search Manager zu beenden.

Suche teilen

Über diese Funktion können Sie Suchanfragen mit dem Rest Ihres Teams teilen. Auf dem Tab Gespeichert können Sie Suchanfragen teilen oder löschen. Sie können Ihre Suchanfragen auch filtern, indem Sie auf das Filtersymbol neben der Suchleiste klicken. Sie können die Suchanfragen nach Alle anzeigen, Von Google SecOps definiert, Von mir verfasst oder Geteilt sortieren.

Sie können nur eine freigegebene Suche bearbeiten, die Ihnen gehört.

  1. Klicken Sie auf Gespeichert.
  2. Klicken Sie auf die Suchanfrage, die Sie teilen möchten.
  3. Klicken Sie auf . auf der rechten Seite der Suche. Ein Dialogfeld mit der Option zum Teilen Ihrer Suche wird angezeigt.
  4. Klicken Sie auf Für meine Organisation freigeben.
  5. Daraufhin wird ein Dialogfeld angezeigt, in dem Sie darüber informiert werden, dass Ihre Suche für Personen in Ihrer Organisation freigegeben ist. Möchten Sie das Dokument wirklich freigeben? Klicken Sie auf Freigeben.

Wenn die Suche nur für Sie sichtbar sein soll, klicken Sie auf  und dann auf Freigabe beenden. Wenn du die Freigabe beendest, kannst nur du diese Suche verwenden.

Nächste Schritte

Informationen zur Verwendung kontextangereicherter Daten in der UDM-Suche finden Sie unter Kontextangereicherte Daten in der UDM-Suche verwenden.