Suchen

Mit der Suchfunktion können Sie mithilfe der YARA-L 2.0-Syntax UDM-Ereignisse und -Benachrichtigungen in Ihrer Google Security Operations-Instanz finden. Die Suche bietet eine Vielzahl von Optionen, mit denen Sie sich in Ihren UDM-Daten zurechtfinden können. Sie können nach einzelnen UDM-Ereignissen und Gruppen von UDM-Ereignissen suchen, die mit freigegebenen Suchbegriffen verknüpft sind.

In Systemen, in denen die RBAC für Daten verwendet wird, sehen Sie nur Daten, die Ihren Bereichen entsprechen. Weitere Informationen finden Sie unter Auswirkungen der rollenbasierten Zugriffssteuerung auf Daten in der Google Suche.

Für Google SecOps-Kunden können Benachrichtigungen auch über Connectors und Webhooks aufgenommen werden. Sie können diese Benachrichtigungen auch über die Suche finden.

Weitere Informationen zu UDM finden Sie unter Logdaten als UDM formatieren und Liste der UDM-Felder.

Suche nach Zugriff

Sie haben folgende Möglichkeiten, auf die Google SecOps-Suche zuzugreifen:

• Klicke in der Navigationsleiste auf Suchen.

• Geben Sie ein gültiges UDM-Feld in ein beliebiges Suchfeld in Google SecOps ein und drücken Sie STRG + Eingabetaste.

Eine Liste aller gültigen UDM-Felder finden Sie unter Liste der UDM-Felder.

Abbildung 1. Suchen

Suchanfrage eingeben

In diesem Abschnitt wird beschrieben, wie Sie die Google SecOps-Suchfunktion verwenden.

UDM-Abfragen basieren auf UDM-Feldern, die alle in der Liste der Felder für einheitliche Datenmodelle aufgeführt sind. Sie können UDM-Felder auch im Kontext von Suchanfragen aufrufen, indem Sie Filter oder die Suche in Rohlogs verwenden.

Führen Sie die folgenden Schritte aus, um eine Suche in das Feld Suchen einzugeben. Klicken Sie auf Suche ausführen, wenn Sie die Suchanfrage eingegeben haben. Sie können die Anzahl der zurückgegebenen Ereignisse anpassen, indem Sie auf more_vertMehr und dann auf Sucheinstellungen klicken. In der Google SecOps-Benutzeroberfläche können Sie nur einen gültigen Suchausdruck eingeben. Sie können auch den Datenbereich für die Suche anpassen, indem Sie das Fenster für den Zeitraum öffnen.

1. Wenn Sie nach Ereignissen suchen möchten, geben Sie einen UDM-Feldnamen in das Suchfeld ein. Die Benutzeroberfläche bietet eine automatische Vervollständigung und zeigt gültige UDM-Felder an, die auf Ihren Eingaben basieren.

2. Nachdem Sie ein gültiges UDM-Feld eingegeben haben, wählen Sie einen gültigen Operator aus. Auf der Benutzeroberfläche werden die gültigen Operatoren angezeigt, die für das von Ihnen eingegebene UDM-Feld verfügbar sind. Folgende Operatoren werden unterstützt:

   • <, >
   • <=, >=
   • =, !=
   • nocase – wird für Strings unterstützt

3. Nachdem Sie ein gültiges UDM-Feld und einen gültigen Operator eingegeben haben, geben Sie die entsprechenden Logdaten ein, nach denen Sie suchen. Folgende Datentypen werden unterstützt:

   • Aufzählungswerte:Auf der Benutzeroberfläche wird eine Liste der gültigen Aufzählungswerte für ein bestimmtes UDM-Feld angezeigt.

   Beispiel (mit doppelten Anführungszeichen und in Großbuchstaben): metadata.event_type = "NETWORK_CONNECTION"

   • Zusätzliche Werte:Mit „field[key] = value“ können Sie in zusätzlichen Feldern und Labelfeldern nach Ereignissen suchen.

   Beispiel: additional.fields["key"]="value"

   • Boolesche Werte:Sie können true oder false verwenden. Bei allen Zeichen wird die Groß- und Kleinschreibung ignoriert und das Keyword wird nicht in Anführungszeichen gesetzt.

   Beispiel: network.dns.response = true

   • Ganzzahlen

   Beispiel: target.port = 443

   • Gleitkommawerte:Geben Sie für UDM-Felder vom Typ float einen Gleitkommawert ein, z. B. 3.1. Sie können auch eine Ganzzahl wie 3 eingeben, was dem Eingeben von 3.0 entspricht.

   Beispiel: security_result.about.asset.vulnerabilities.cvss_base_score = 3.1 oder security_result.about.asset.vulnerabilities.cvss_base_score = 3

   • Reguläre Ausdrücke:Der reguläre Ausdruck muss in Schrägstriche (/) gesetzt werden.

   Beispiel: principal.ip = /10.*/

   Weitere Informationen zu regulären Ausdrücken finden Sie auf der Seite zu regulären Ausdrücken.

   • Strings

   Beispiel (doppelte Anführungszeichen erforderlich): metadata.product_name = "Google Cloud VPC Flow Logs"

4. Mit dem Operator nocase können Sie nach einer beliebigen Kombination aus Groß- und Kleinbuchstaben eines bestimmten Strings suchen:

   • principal.hostname != "http-server" nocase
   • principal.hostname = "JDoe" nocase
   • principal.hostname = /dns-server-[0-9]+/ nocase

5. Umgekehrte Schrägstriche und doppelte Anführungszeichen in Strings müssen mit einem umgekehrten Schrägstrich maskiert werden. Beispiel:

   • principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
   • target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""

6. Mithilfe von booleschen Ausdrücken können Sie den möglichen Bereich der angezeigten Daten weiter eingrenzen. Die folgenden Beispiele veranschaulichen einige Arten von unterstützten booleschen Ausdrücken. Es können boolesche Operatoren vom Typ AND, OR und NOT verwendet werden:

   • A AND B
   • A OR B
   • (A OR B) AND (B OR C) AND (C OR NOT D)

   Die folgenden Beispiele veranschaulichen, wie die Syntax aussehen könnte:

   Anmeldeereignisse auf dem Finanzserver:

   metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"

   Beispiel für die Verwendung eines regulären Ausdrucks, um nach der Ausführung des psexec.exe-Tools unter Windows zu suchen.

   target.process.command_line = /\bpsexec(.exe)?\b/ nocase

   Beispiel für die Verwendung des Operators „größer als“ (>), um nach Verbindungen zu suchen, bei denen mehr als 10 MB an Daten gesendet wurden.

   metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000

   Beispiel für die Suche mit mehreren Bedingungen nach Winword, das cmd.exe oder powershell.exe startet

       metadata.event_type = "PROCESS_LAUNCH" and
       principal.process.file.full_path = /winword/ and
       (target.process.file.full_path = /cmd.exe/ or
       target.process.file.full_path = /powershell.exe/)

7. Sie können auch in den Feldern Zusätzlich und Label nach bestimmten Schlüssel/Wert-Paaren suchen.

   Die Felder Zusätzlich und Label dienen als anpassbare „Alles-in-einem-Lösung“ für Ereignisdaten, die nicht in ein standardmäßiges UDM-Feld passen. Zusätzliche Felder können mehrere Schlüssel/Wert-Paare enthalten. Label-Felder dürfen nur ein einzelnes Schlüssel/Wert-Paar enthalten. Jede Instanz des Felds enthält jedoch nur einen einzelnen Schlüssel und einen einzelnen Wert. Der Schlüssel muss in die Klammern gesetzt werden und der Wert muss sich auf der rechten Seite befinden.

   In den folgenden Beispielen wird gezeigt, wie Sie nach Ereignissen mit bestimmten Schlüssel/Wert-Paaren suchen:

       additional.fields["pod_name"] = "kube-scheduler"
       metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"

   Im folgenden Beispiel wird gezeigt, wie der AND-Operator bei Suchanfragen nach Schlüssel/Wert-Paaren verwendet wird:

       additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"

   Mit der folgenden Syntax können Sie nach allen Ereignissen suchen, die den angegebenen Schlüssel enthalten (unabhängig vom Wert).

       additional.fields["pod_name"] != ""

   Sie können auch reguläre Ausdrücke und den Operator nocase verwenden:

       additional.fields["pod_name"] = /br/
       additional.fields["pod_name"] = bar nocase

8. Sie können auch Block- und Einzeilenkommentare verwenden.

   Im folgenden Beispiel wird gezeigt, wie ein Blockkommentar verwendet wird:

       additional.fields["pod_name"] = "kube-scheduler"
       /*
       Block comments can span
       multiple lines.
       */
       AND additional.fields["pod_name1"] = "kube-scheduler1"

   Im folgenden Beispiel wird gezeigt, wie ein Einzeilenkommentar verwendet wird:

       additional.fields["pod_name"] != "" // my single-line comment

9. Klicken Sie auf Suche ausführen, um die Suche auszuführen und die Ergebnisse in der Zeitachse für Ereignisse in der Tabelle Suchen anzuzeigen.

10. Optional: Sie können die Ergebnisse eingrenzen, indem Sie manuell oder über die Benutzeroberfläche zusätzliche UDM-Felder hinzufügen.

Sucheinstellungen

Sie können die maximale Anzahl der Ergebnisse für Ihre Suche in den UDM-Sucheinstellungen festlegen. Diese Einstellungen sind nutzerspezifisch.

1. Klicken Sie neben Suchen ausführen auf das Dreipunkt-Menü more_vertMehr und dann auf Sucheinstellungen.

2. Wählen Sie Maximale Anzahl zurückzugebender Ergebnisse aus. Die Optionen sind 1K, 10K, 100K, 1M und custom. Sie können Werte zwischen 1 und 1M annehmen. Der Standardwert ist 1M. Abfragen werden in der Regel schneller ausgeführt, wenn Sie einen kleineren Ergebnissatz auswählen.

Bei der Suche werden zu viele Ergebnisse zurückgegeben

Wenn Ihre Suche zu weit gefasst ist, zeigt Google SecOps eine Warnmeldung an, dass nicht alle Suchergebnisse angezeigt werden können.

In solchen Fällen ruft das System nur die neuesten Ergebnisse ab, bis zum Suchlimit von 1 Million Ereignissen und 1.000 Benachrichtigungen. Es kann jedoch viele weitere übereinstimmende Ereignisse und Benachrichtigungen geben, die nicht angezeigt werden.

Wenn Sie alle relevanten Ergebnisse sehen möchten, sollten Sie Ihre Suche mithilfe zusätzlicher Filter eingrenzen. Wenn Sie den Suchumfang eingrenzen, lässt sich der Datensatz auf eine überschaubare Größe reduzieren und die Genauigkeit wird verbessert. Wir empfehlen, die Suche anzupassen und noch einmal auszuführen, bis die Ergebnisse die Anzeigebeschränkung des Systems nicht mehr überschreiten.

Auf der Suchergebnisseite werden die 10.000 neuesten Ergebnisse angezeigt. Sie können die Suchergebnisse filtern und verfeinern, um ältere Ergebnisse anzuzeigen, anstatt die Suche zu ändern und noch einmal auszuführen.

In gruppierten Feldern suchen

Gruppierte Felder sind Aliasse für Gruppen ähnlicher UDM-Felder. So können Sie mehrere UDM-Felder gleichzeitig abfragen, ohne jedes Feld einzeln eingeben zu müssen.

Im folgenden Beispiel wird gezeigt, wie Sie eine Abfrage eingeben, um die gängigen UDM-Felder abzugleichen, die die angegebene IP-Adresse enthalten könnten:

    ip = "1.2.3.4"

Sie können ein gruppiertes Feld mit einem regulären Ausdruck und dem Operator nocase abgleichen. Referenzlisten werden ebenfalls unterstützt. Gruppierte Felder können auch in Kombination mit regulären UDM-Feldern verwendet werden, wie im folgenden Beispiel gezeigt:

    ip = "5.6.7.8" AND metadata.event_type = "NETWORK_CONNECTION"

Für gruppierte Felder gibt es einen separaten Bereich unter Aggregationen.

Typen von gruppierten UDM-Feldern

Sie können in allen folgenden gruppierten UDM-Feldern suchen:

UDM-Feld für Suchanfrage finden

Wenn Sie eine Suchanfrage schreiben, wissen Sie möglicherweise nicht, welches UDM-Feld Sie einschließen sollen. Mit der UDM-Suche können Sie schnell einen UDM-Feldnamen finden, der einen Textstring im Namen enthält oder in dem ein bestimmter Stringwert gespeichert ist. Die UDM-Suchfunktion ist nicht für die Suche nach anderen Datentypen wie Bytes, Boolesche Werte oder numerische Werte vorgesehen. Sie wählen ein oder mehrere von UDM Lookup zurückgegebene Ergebnisse als Ausgangspunkt für eine Suchanfrage aus.

So verwenden Sie die UDM-Suche:

1. Geben Sie auf der Seite Suchen einen Textstring in das Feld Nach UDM-Feldern anhand des Werts suchen ein und klicken Sie dann auf UDM-Suche.

2. Wählen Sie im Dialogfeld UDM-Suche eine oder mehrere der folgenden Optionen aus, um den Umfang der zu durchsuchenden Daten anzugeben:

   • UDM-Felder: Sie können nach Text in UDM-Feldnamen suchen, z. B. network.dns.questions.name oder principal.ip.
   • Werte: Hier können Sie nach Text in den Werten suchen, die UDM-Feldern zugewiesen sind, z. B. dns oder google.com.

3. Geben Sie den String in das Suchfeld ein oder ändern Sie ihn. Während Sie tippen, werden Suchergebnisse im Dialogfeld angezeigt.

   Die Ergebnisse unterscheiden sich geringfügig, wenn Sie in UDM-Feldern oder Werten suchen. Wenn Sie in Werte nach Text suchen, werden die Ergebnisse so angezeigt:

   • Wenn der String am Anfang oder Ende des Werts gefunden wird, wird er im Ergebnis zusammen mit dem UDM-Feldnamen und dem Zeitpunkt der Datenaufnahme hervorgehoben.
   • Wenn der Textstring an anderer Stelle im Wert gefunden wird, wird im Ergebnis der Name des UDM-Felds und der Text Mögliche Übereinstimmung des Werts angezeigt.

   

   Abbildung 2. In UDM-Suche nach Werten suchen

   • Wenn Sie in UDM-Feldnamen nach einem Textstring suchen, gibt die UDM-Suche eine exakte Übereinstimmung an einer beliebigen Stelle im Namen zurück.

   

   Abbildung 3. In UDM-Lookup in UDM-Feldern suchen

4. In der Ergebnisliste haben Sie folgende Möglichkeiten:

   • Klicken Sie auf den Namen eines UDM-Felds, um eine Beschreibung dieses Felds aufzurufen.

   • Wählen Sie ein oder mehrere Ergebnisse aus, indem Sie das Kästchen links neben dem Namen jedes UDM-Felds anklicken.

   • Klicken Sie auf die Schaltfläche Zurücksetzen, um die Auswahl aller ausgewählten Felder in der Ergebnisliste aufzuheben.

5. Wenn Sie die ausgewählten Ergebnisse dem Feld Suchen anhängen möchten, klicken Sie auf Zur Suche anhängen.

   Sie können das ausgewählte Ergebnis mit der Schaltfläche UDM kopieren kopieren, das Dialogfeld UDM-Suche schließen und den Suchanfragestring in das Feld Suchen einfügen.

   Google SecOps wandelt das ausgewählte Ergebnis in einen Suchanfragestring um, der als UDM-Feldname oder als Name-Wert-Paar verwendet wird. Wenn Sie mehrere Ergebnisse anhängen, wird jedes Ergebnis mit dem Operator OR am Ende einer vorhandenen Suchanfrage im Suchfeld hinzugefügt.

   Der angehängte Abfragestring unterscheidet sich je nach Art der Übereinstimmung, die von der UDM-Suche zurückgegeben wird.

   • Wenn das Ergebnis mit einem Textstring in einem UDM-Feldnamen übereinstimmt, wird der vollständige UDM-Feldname an die Abfrage angehängt. Hier ein Beispiel:

   principal.artifact.network.dhcp.client_hostname

   • Wenn das Ergebnis mit einem Textstring am Anfang oder Ende eines Werts übereinstimmt, enthält das Name/Wert-Paar den Namen des UDM-Felds und den vollständigen Wert im Ergebnis. Beispiele:

   metadata.log_type = "PCAP_DNS"

   network.dns.answers.name = "dns-A901F3j.hat.example.com"

   • Wenn das Ergebnis den Text Mögliche Übereinstimmung mit Wert enthält, enthält das Name-Wert-Paar den Namen des UDM-Felds und einen regulären Ausdruck mit dem Suchbegriff. Hier ein Beispiel:

   principal.process.file.full_path = /google/ NOCASE

6. Bearbeiten Sie die Suchanfrage so, dass sie zu Ihrem Anwendungsfall passt. Der von UDM Lookup generierte Abfragestring dient als Ausgangspunkt für die Eingabe einer vollständigen Suchanfrage.

Zusammenfassung des UDM-Lookup-Verhaltens

In diesem Abschnitt finden Sie weitere Informationen zu den UDM-Suchfunktionen.

• Bei der UDM-Suche werden Daten ab dem 10. August 2023 berücksichtigt. Für Daten, die vor diesem Datum aufgenommen wurden, wird nicht gesucht. Es werden Ergebnisse zurückgegeben, die in nicht angereicherten UDM-Feldern gefunden wurden. Es werden keine Übereinstimmungen für angereicherte Felder zurückgegeben. Informationen zu angereicherten und nicht angereicherten Feldern finden Sie im Hilfeartikel Ereignisse im Ereignisanzeiger ansehen.
• Bei Suchanfragen mit UDM-Lookup wird die Groß- und Kleinschreibung nicht berücksichtigt. Der Ausdruck hostname gibt dasselbe Ergebnis wie HostName zurück.
• Bindestrich (-) und Unterstrich (_) in einem Abfragetextstring werden bei der Suche nach Werten ignoriert. Sowohl der Textstring dns-l als auch dnsl geben den Wert dns-l zurück.

• Bei der Suche nach Werten gibt die UDM-Suche in den folgenden Fällen keine Übereinstimmungen zurück:

  Übereinstimmungen in den folgenden UDM-Feldern:	metadata.product_log_id network.session_id security_result.rule_id network.parent_session_id
  Übereinstimmungen in UDM-Feldern mit einem vollständigen Pfad, der auf einen der folgenden Werte endet:	.pid Beispiel: target.process.pid. .asset_id Beispiel: principal.asset_id. .product_specific_process_id Beispiel: principal.process.product_specific_process_id. .resource.id Beispiel: principal.resource.id.

  • Bei der Suche nach Werten wird in der UDM-Suche die Meldung Mögliche Übereinstimmung mit Wert im Ergebnis angezeigt, wenn in den folgenden Fällen eine Übereinstimmung gefunden wird:

  Übereinstimmungen in den folgenden UDM-Feldern:	metadata.description security_result.description security_result.detection_fields.value security_result.summary network.http.user_agent
  Stimmt in Feldern mit einem vollständigen Pfad überein, der auf einen der folgenden Werte endet:	.command_line Beispiel: principal.process.command_line. .file.full_path Beispiel: principal.process.file.full_path. .labels.value Beispiel: src.labels.value. .registry.registry_key Beispiel: principal.registry.registry_key. .url Beispiel: principal.url.
  Übereinstimmt in Feldern mit einem vollständigen Pfad, der mit den folgenden Werten beginnt:	additional.fields.value. Beispiel: additional.fields.value.null_value.

Benachrichtigungen in der Suche ansehen

Wenn Sie Benachrichtigungen aufrufen möchten, klicken Sie rechts oben auf der Seite Suchen neben dem Tab Ereignisse auf den Tab Benachrichtigungen.

Wie werden Benachrichtigungen angezeigt?

Google SecOps vergleicht die bei der Suche zurückgegebenen Ereignisse mit Ereignissen, die für Benachrichtigungen in der Kundenumgebung vorhanden sind. Wenn ein Suchanfrageereignis mit einem Ereignis in einer Benachrichtigung übereinstimmt, wird es in der Benachrichtigungszeitachse und in der zugehörigen Benachrichtigungstabelle angezeigt.

Definition von Ereignissen und Benachrichtigungen

Ein Ereignis wird aus einer Roh-Logquelle generiert, die in Google SecOps aufgenommen und durch den Aufnahme- und Normalisierungsprozess von Google SecOps verarbeitet wird. Aus einem einzelnen Datensatz der Rohprotokollquelle können mehrere Ereignisse generiert werden. Ein Ereignis stellt eine Reihe von sicherheitsrelevanten Datenpunkten dar, die aus diesem Rohprotokoll generiert werden.

In der Suche wird eine Benachrichtigung als YARA-L-Regelerkennung mit aktivierten Benachrichtigungen definiert. Weitere Informationen finden Sie unter Regel mit Live-Daten ausführen.

Andere Datenquellen können als Benachrichtigungen in Google SecOps aufgenommen werden, z. B. Crowdstrike Falcon-Benachrichtigungen. Diese Warnungen werden nur dann in der Google Suche angezeigt, wenn sie von der Google SecOps Detection Engine als YARA-L-Regel verarbeitet werden.

Ereignisse, die mit einer oder mehreren Benachrichtigungen verknüpft sind, sind in der Ereigniszeitachse mit einem Benachrichtigungs-Chip gekennzeichnet. Wenn der Zeitachse mehrere Benachrichtigungen zugeordnet sind, wird auf dem Chip die Anzahl der zugehörigen Benachrichtigungen angezeigt.

Auf der Zeitachse werden die 1.000 aktuellsten Benachrichtigungen angezeigt,die aus den Suchergebnissen abgerufen wurden. Wenn die Grenze von 1.000 erreicht ist, werden keine weiteren Benachrichtigungen abgerufen. Damit Sie alle für Ihre Suche relevanten Ergebnisse sehen, können Sie die Suche mithilfe von Filtern verfeinern.

Benachrichtigungen prüfen

Wie Sie mithilfe der Benachrichtigungsgrafik und der Benachrichtigungsdetails eine Benachrichtigung untersuchen, erfahren Sie unter Benachrichtigung untersuchen.

Referenzlisten in Suchanfragen verwenden

Das Verfahren zum Anwenden von Referenzlisten in Regeln kann auch in der Suche verwendet werden. Eine Suchanfrage kann bis zu sieben Listen enthalten. Alle Arten von Referenzlisten (String, regulärer Ausdruck, CIDR) werden unterstützt.

Sie können Listen für jede Variable erstellen, die Sie erfassen möchten. Sie können beispielsweise eine Liste mit verdächtigen IP-Adressen erstellen:

// Field value exists in reference list
principal.ip IN %suspicious_ips

Mit AND oder OR können Sie auch mehrere Listen verwenden:

// multiple lists can be used with AND or OR
principal.ip IN %suspicious_ips AND
principal.hostname IN %suspicious_hostnames

Suchergebnisse eingrenzen

Sie können die Ergebnisse über die Benutzeroberfläche der Suche filtern und eingrenzen, anstatt die Suche zu ändern und noch einmal auszuführen.

Zeitachsendiagramm

Das Zeitachsendiagramm bietet eine grafische Darstellung der Anzahl der Ereignisse und Benachrichtigungen, die jeden Tag auftreten und in der aktuellen Suche angezeigt werden. Ereignisse und Benachrichtigungen werden im selben Zeitachsendiagramm angezeigt, das sowohl auf dem Tab Ereignisse als auch auf dem Tab Benachrichtigungen verfügbar ist.

Die Breite der einzelnen Balken hängt vom gesuchten Zeitraum ab. Wenn die Suche beispielsweise 24 Stunden an Daten umfasst, entspricht jede Balkenbreite 10 Minuten. Dieses Diagramm wird dynamisch aktualisiert, während Sie die vorhandene Suche ändern.

Zeitraum anpassen

Sie können den Zeitraum für das Diagramm anpassen, indem Sie die weißen Schieberegler nach links und rechts bewegen. Wenn Sie den Zeitraum anpassen, werden die Tabellen „UDM-Felder und -Werte“ und „Ereignisse“ entsprechend der aktuellen Auswahl aktualisiert. Sie können auch auf eine einzelne Balken im Diagramm klicken, um nur die Ereignisse in diesem Zeitraum aufzulisten.

Nachdem Sie den Zeitraum angepasst haben, werden die Kästchen Gefilterte Ereignisse und Abgefragte Ereignisse angezeigt. So können Sie die angezeigten Ereignistypen weiter einschränken.

Abbildung 4. Zeitachse mit Steuerelementen für den Zeitraum

UDM-Suche mit Aggregationen ändern

Mithilfe von Aggregationen können Sie Ihre UDM-Suche weiter eingrenzen. Sie können entweder durch die Liste der UDM-Felder scrollen oder über das Suchfeld nach bestimmten UDM-Feldern oder -Werten suchen. Die hier aufgeführten UDM-Felder sind mit den vorhandenen Listen von Ereignissen verknüpft, die durch Ihre UDM-Suche generiert wurden. Jedes UDM-Feld enthält die Anzahl der Ereignisse in Ihrer aktuellen UDM-Suche, die auch dieses Datenelement enthalten. In der Liste der UDM-Felder wird die Gesamtzahl der eindeutigen Werte in einem Feld angezeigt. Mit dieser Funktion können Sie nach bestimmten Arten von Logdaten suchen, die für Sie von Interesse sein könnten.

Die UDM-Felder sind in der folgenden Reihenfolge aufgeführt:

1. Felder mit der höchsten Ereignisanzahl bis zur niedrigsten Ereignisanzahl.
2. Felder mit nur einem Wert werden immer als letztes aufgeführt.
3. Felder mit der exakt gleichen Gesamtzahl von Ereignissen werden alphabetisch von A bis Z sortiert.

Abbildung 5. Aggregationen

Aggregationen ändern

Wenn Sie in der Liste „Aggregationen“ einen UDM-Feldwert auswählen und auf das Dreipunkt-Menü klicken, haben Sie die Möglichkeit, entweder nur Ereignisse anzuzeigen, die auch diesen UDM-Feldwert enthalten, oder diesen UDM-Feldwert auszuschließen. Wenn im UDM-Feld Ganzzahlwerte gespeichert werden (z. B. target.port), sehen Sie auch Optionen zum Filtern nach <,>,<=,>=. Mit Filteroptionen lässt sich die Liste der angezeigten Ereignisse verkürzen.

Sie können Felder auch in Aggregationen anpinnen (mit dem Markierungssymbol), um sie als Favoriten zu speichern. Sie werden oben in der Liste der Aggregationen angezeigt.

Abbildung 6. Beispiel: Wählen Sie „Nur anzeigen“ aus.

Diese zusätzlichen UDM-Filter werden auch dem Feld „Ereignisse filtern“ hinzugefügt. Mit dem Feld „Ereignisse filtern“ können Sie die zusätzlichen UDM-Felder im Blick behalten, die Sie der Suche hinzugefügt haben, und sie bei Bedarf entfernen.

Wenn Sie auf Auf Suche anwenden und ausführen klicken, werden die angezeigten Ereignisse anhand dieser zusätzlichen Filter gefiltert und das Hauptsuchfeld oben auf der Seite wird aktualisiert. Die Suche wird automatisch noch einmal mit denselben Datums- und Zeitparametern ausgeführt.

Abbildung 7. Ereignisse filtern

Wenn Sie auf Filter hinzufügen klicken, wird ein Fenster geöffnet, in dem Sie weitere UDM-Felder auswählen können.

Abbildung 8. Fenster „Ereignisse filtern“

Ereignisse in der Tabelle „Ereignisse“ ansehen

Mit allen diesen Filtern und Steuerelementen wird die Liste der Ereignisse in der Tabelle „Ereignisse“ aktualisiert. Klicken Sie auf eines der aufgeführten Ereignisse, um die Protokollanzeige zu öffnen. Dort können Sie das Rohprotokoll und den UDM-Eintrag für das Ereignis prüfen. Wenn Sie auf den Zeitstempel für ein Ereignis klicken, können Sie auch die zugehörige Asset-, IP-Adressen-, Domain-, Hash- oder Nutzeransicht aufrufen. Sie können auch über das Suchfeld oben in der Tabelle nach einem bestimmten Ereignis suchen.

Benachrichtigungen in der Tabelle „Benachrichtigungen“ ansehen

Sie können sich Benachrichtigungen ansehen, indem Sie rechts auf dem Tab Ereignisse auf den Tab Benachrichtigungen klicken. Mit Zusammenfassungen können Sie Benachrichtigungen nach folgenden Kriterien sortieren:

• Fall
• Name
• Priorität
• Schweregrad
• Status
• Urteil

So können Sie sich auf die Benachrichtigungen konzentrieren, die für Sie am wichtigsten sind.

Benachrichtigungen werden im selben Zeitraum wie die Ereignisse auf dem Tab „Ereignisse“ angezeigt. So können Sie die Verbindung zwischen Ereignissen und Benachrichtigungen besser nachvollziehen.

Wenn Sie mehr über eine bestimmte Benachrichtigung erfahren möchten, klicken Sie darauf. Daraufhin wird eine Detailseite mit ausführlicheren Informationen zu dieser Benachrichtigung geöffnet.

Ereignisse in der Ereignisanzeige aufrufen

Wenn Sie den Mauszeiger auf ein Ereignis in der Tabelle „Ereignisse“ bewegen, wird rechts neben dem markierten Ereignis das Symbol für die Ereignisanzeige angezeigt. Klicken Sie darauf, um die Ereignisanzeige zu öffnen.

Im Fenster „Raw Log“ (Raw-Log) wird das ursprüngliche Rohzeichen in einem der folgenden Formate angezeigt:

• Rohdaten
• JSON
• XML
• CSV
• Hex/ASCII

Im UDM-Fenster wird der strukturierte UDM-Eintrag angezeigt. Bewegen Sie den Mauszeiger auf eines der UDM-Felder, um die UDM-Definition aufzurufen. Wenn Sie das Kästchen für die UDM-Felder aktivieren, werden weitere Optionen angezeigt:

• Kopieren Sie den UDM-Eintrag. Wählen Sie ein oder mehrere UDM-Felder aus und dann in der Liste Aktionen für Datenansicht die Option UDM kopieren. Die UDM-Felder und ‑Werte werden in die Systemzwischenablage kopiert.

• UDM-Felder als Spalten hinzufügen: Wählen Sie in der Liste Aktionen die Option Spalten hinzufügen aus.

Jedes UDM-Feld ist mit einem Symbol gekennzeichnet, das angibt, ob das Feld angereicherte oder nicht angereicherte Daten enthält. Die Symbole haben folgende Bedeutung:

• U: Nicht angereicherte Felder enthalten Werte, die während des Normalisierungsprozesses mit Daten aus dem ursprünglichen Rohprotokoll ausgefüllt wurden.

• E: Angereicherte Felder enthalten Werte, die von Google SecOps ausgefüllt werden, um zusätzlichen Kontext zu Artefakten in einer Kundenumgebung bereitzustellen. Weitere Informationen finden Sie unter So reichert Google SecOps Ereignis- und Entitätsdaten an.

  

Abbildung 9. UDM-Felder in der Ereignisanzeige

Spaltenoption für die Suche verwenden

Mit der Option Spalten können Sie die Spalten anpassen, die in der Tabelle „Ereignisse“ angezeigt werden. Das Menü Spalten wird angezeigt. Je nach Art der Ereignisse, die von der Suche zurückgegeben wurden, stehen verschiedene Optionen zur Verfügung.

Spaltengruppe speichern

Sie können die ausgewählten Spalten optional speichern, indem Sie auf Speichern klicken. Geben Sie den ausgewählten Spalten einen Namen und klicken Sie noch einmal auf Speichern. Sie können mehrere gespeicherte Spalten laden, indem Sie auf Laden klicken und die gewünschten Spalten aus der Liste auswählen.

Wenn Sie die angezeigten Ereignisse herunterladen möchten, klicken Sie auf das Dreipunkt-Menü more_vertMehr und wählen Sie Als CSV-Datei herunterladen aus. Dadurch werden alle Suchergebnisse bis zu einer Million Ereignisse heruntergeladen. Auf der Benutzeroberfläche wird die Anzahl der heruntergeladenen Ereignisse angezeigt.

Abbildung 10. In Spalten suchen

Ereignisse mithilfe der Pivot-Tabelle analysieren

In der Pivot-Tabelle können Sie Ereignisse mithilfe von Ausdrücken und Funktionen anhand der Suchergebnisse analysieren.

Führen Sie die folgenden Schritte aus, um die Pivot-Tabelle zu öffnen und zu konfigurieren:

1. Führen Sie eine Suche durch.

2. Klicken Sie auf den Tab Pivot, um die Pivot-Tabelle zu öffnen.

3. Geben Sie einen Wert für Nach an, um die Ereignisse nach einem bestimmten UDM-Feld zu gruppieren. Sie können die Ergebnisse mit der Standard- oder nur mit Kleinschreibung anzeigen lassen. Wählen Sie dazu im Menü Kleinschreibung aus. Diese Option ist nur für Stringfelder verfügbar. Sie können bis zu fünf Nach-Werte angeben. Klicken Sie dazu auf Feld hinzufügen.

   Wenn der Wert für Nach eines der Hostnamenfelder ist, stehen Ihnen zusätzliche Transformationsoptionen zur Verfügung:

   • Top-N-Level-Domain: Wählen Sie aus, welche Ebene der Domain angezeigt werden soll. Wenn Sie beispielsweise den Wert „1“ verwenden, wird nur die Top-Level-Domain angezeigt (z. B. com, gov oder edu). Bei einem Wert von „3“ werden die nächsten beiden Ebenen der Domainnamen angezeigt (z. B. google.co.uk).
   • Registrierte Domain abrufen: Hier wird nur der registrierte Domainname angezeigt, z. B. google.com, nytimes.com und youtube.com.

   Wenn der Wert für Nach eines der IP-Felder ist, stehen Ihnen zusätzliche Transformationsoptionen zur Verfügung:

   • (IP) Länge des CIDR-Präfixes in Bits: Sie können für IPv4-Adressen 1 bis 32 angeben. Für IPv6-Adressen können Sie Werte bis zu 128 angeben.

   Wenn der Wert für Nach einen Zeitstempel enthält, stehen Ihnen zusätzliche Transformationsoptionen zur Verfügung:

   • (Zeit) Auflösung in Millisekunden
   • (Zeit) Auflösung in Sekunden
   • (Zeit) Auflösung in Minuten
   • (Zeit) Auflösung in Stunden
   • (Zeit) Lösung in Tagen

4. Wählen Sie in den Ergebnissen in der Liste der Felder einen Wert für die Pivot-Tabelle aus. Sie können bis zu fünf Werte angeben. Nachdem Sie ein Feld angegeben haben, müssen Sie eine Option für Zusammenfassen auswählen. Sie haben folgende Möglichkeiten:

   • Summe
   • count
   • count distinct
   • Durchschnitt
   • stddev
   • Min.
   • Max

5. Geben Sie den Wert Ereignisanzahl an, um die Anzahl der Ereignisse zurückzugeben, die für diese bestimmte Suche und Pivot-Tabelle ermittelt wurden.

   Die Optionen für Zusammenfassen sind nicht universell mit den Feldern Nach kompatibel. Die Optionen sum, average, stddev, min und max können beispielsweise nur auf numerische Felder angewendet werden. Wenn Sie versuchen, eine inkompatible Option für Zusammenfassen mit einem Feld für Nach zu verknüpfen, erhalten Sie eine Fehlermeldung.

6. Geben Sie ein oder mehrere UDM-Felder an und wählen Sie eine oder mehrere Sortierungen mit der Option Sortieren nach aus.

7. Klicken Sie auf Übernehmen, wenn Sie fertig sind. Die Ergebnisse werden in der Pivot-Tabelle angezeigt.

8. Optional: Wenn Sie die Pivot-Tabelle herunterladen möchten, klicken Sie auf more_vertDreipunkt-Menü und wählen Sie Als CSV-Datei herunterladen aus. Wenn Sie keinen Pivot-Tab ausgewählt haben, ist diese Option deaktiviert.

Gespeicherte Suchanfragen und Suchverlauf

Wenn Sie auf Suchmanager klicken, können Sie gespeicherte Suchanfragen abrufen und Ihren Suchverlauf ansehen. Wählen Sie eine gespeicherte Suche aus, um weitere Informationen wie Titel und Beschreibung aufzurufen.

Gespeicherte Suchanfragen und der Suchverlauf:

• Sie werden in Ihrem Google SecOps-Konto gespeichert.

• Sie sind nur für den einzelnen Nutzer sichtbar und zugänglich, es sei denn, Sie verwenden die Funktion Suche teilen, um Ihre Suche für Ihre Organisation freizugeben.

Suchanfrage speichern

So speichern Sie eine Suche:

1. Klicken Sie auf der Seite Suchen neben Suche ausführen auf das Dreipunkt-Menü more_horizMehr und dann auf Suche speichern, um diese Suche später zu verwenden. Daraufhin wird das Dialogfeld Suchmanager geöffnet. Wir empfehlen, Ihrer gespeicherten Suche einen aussagekräftigen Namen und eine Beschreibung in einfachen Textzeilen zu geben. Sie können auch im Dialogfeld Suchmanager eine neue Suche erstellen, indem Sie auf addHinzufügen klicken. Die standardmäßigen UDM-Tools zum Bearbeiten und Ausfüllen sind hier ebenfalls verfügbar.

2. Optional: Geben Sie Platzhaltervariablen im Format ${<variable name>} an. Verwenden Sie dabei dasselbe Format wie für Variablen in YARA-L. Wenn Sie einer Suche eine Variable hinzufügen, müssen Sie auch einen Prompt hinzufügen, damit der Nutzer versteht, welche Informationen er eingeben muss, bevor er die Suche ausführt. Alle Variablen müssen mit Werten ausgefüllt sein, bevor eine Suche ausgeführt wird.

   Sie können beispielsweise metadata.vendor_name = ${vendor_name} in Ihre Suche einfügen. Für ${vendor_name} müssen Sie einen Prompt für zukünftige Nutzer hinzufügen, z. B. Enter the name of the vendor for your search. Jedes Mal, wenn ein Nutzer diese Suche in Zukunft lädt, wird er aufgefordert, vor dem Ausführen der Suche den Namen des Anbieters einzugeben.

3. Klicken Sie auf Änderungen speichern, wenn Sie fertig sind.

4. Klicken Sie auf Suchmanager und dann auf den Tab Gespeichert, um gespeicherte Suchanfragen aufzurufen.

Gespeicherte Suchanfrage abrufen

So rufen Sie eine gespeicherte Suche ab und führen sie aus:

1. Wählen Sie im Dialogfeld Suchmanager eine gespeicherte Suche aus der Liste auf der linken Seite aus. Diese gespeicherten Suchanfragen werden in Ihrem Google SecOps-Konto gespeichert.

2. Optional: Sie können eine Suche löschen, indem Sie auf das Dreipunkt-Menü more_horizMehr klicken und Suche löschen auswählen. Sie können nur Suchanfragen löschen, die Sie selbst erstellt haben.

3. Sie können den Namen der Suche und die Beschreibung ändern. Klicken Sie abschließend auf Änderungen speichern.

4. Klicken Sie auf Suche laden. Die Suche wird in das Hauptsuchfeld geladen.

5. Klicken Sie auf Suche ausführen, um die mit dieser Suche verknüpften Ereignisse aufzurufen.

Suchanfrage aus dem Suchverlauf abrufen

So rufen Sie eine Suche aus Ihrem Suchverlauf ab und führen sie aus:

1. Klicken Sie im Suchmanager auf Verlauf.

2. Wählen Sie eine Suche aus Ihrem Suchverlauf aus. Ihr Suchverlauf wird in Ihrem Google SecOps-Konto gespeichert. Sie können eine Suche löschen, indem Sie auf deleteLöschen klicken.

3. Klicken Sie auf Suche laden. Die Suche wird in das Hauptsuchfeld geladen.

4. Klicken Sie auf Suche ausführen, um die mit dieser Suche verknüpften Ereignisse aufzurufen.

Suchverlauf löschen, deaktivieren oder aktivieren

So löschen, deaktivieren oder aktivieren Sie den Suchverlauf:

1. Klicken Sie im Search Manager auf den Tab Verlauf.

2. Klicke auf das more_vertDreipunkt-Menü.

3. Wähle Verlauf löschen aus, um den Suchverlauf zu löschen.

4. Klicken Sie auf Verlauf deaktivieren, um den Suchverlauf zu deaktivieren. Sie haben folgende Möglichkeiten:

   • Nur deaktivieren: Der Suchverlauf wird deaktiviert.

   • Deaktivieren und löschen: Deaktivieren Sie den Suchverlauf und löschen Sie den gespeicherten Suchverlauf.

5. Wenn Sie den Suchverlauf zuvor deaktiviert haben, können Sie ihn wieder aktivieren, indem Sie auf Suchverlauf aktivieren klicken.

6. Klicken Sie auf Schließen, um den Suchmanager zu schließen.

Suche teilen

Mit geteilten Suchanfragen können Sie Suchanfragen mit Ihrem Team teilen. Auf dem Tab Gespeichert können Sie Suchanfragen teilen oder löschen. Sie können Ihre Suchanfragen auch filtern, indem Sie neben der Suchleiste auf filter_altFilter klicken und die Suchanfragen nach Alle anzeigen, Von Google SecOps definiert, Von mir verfasst oder Geteilt sortieren.

Sie können keine fremden geteilten Suchanfragen bearbeiten.

1. Klicken Sie auf Gespeichert.
2. Klicken Sie auf die Suchanfrage, die Sie teilen möchten.
3. Klicken Sie rechts neben der Suche auf das Dreipunkt-Menü more_horizMehr. Ein Dialogfeld mit der Option zum Teilen Ihrer Suche wird angezeigt.
4. Klicken Sie auf Mit Ihrer Organisation teilen.
5. In einem Dialogfeld wird angezeigt, dass Ihre Suchanfrage für Personen in Ihrer Organisation sichtbar ist. Sind Sie sicher, dass Sie die Informationen teilen möchten? Klicken Sie auf Freigeben.

Wenn die Suche nur für Sie sichtbar sein soll, klicken Sie auf more_horizMehr und dann auf Freigabe beenden. Wenn Sie die Freigabe beenden, können nur Sie diese Suche nutzen.

UDM-Felder, die von der Plattform im CSV-Format heruntergeladen werden können oder nicht

In den folgenden Unterabschnitten finden Sie Informationen zu unterstützten und nicht unterstützten UDM-Feldern, die heruntergeladen werden können.

Unterstützte Felder

Sie können die folgenden Felder von der Plattform in eine CSV-Datei herunterladen:

• Nutzer

• Hostname

• Prozessname

• Ereignistyp

• timestamp

• Rohprotokoll (nur gültig, wenn Rohprotokolle für den Kunden aktiviert sind)

• Alle Felder, die mit „udm.additional“ beginnen

Gültige Feldtypen

Sie können die folgenden Feldtypen in eine CSV-Datei herunterladen:

• double

• float

• int32

• uint32

• int64

• uint64

• bool

• String

• enum

• Byte

• google.protobuf.Timestamp

• google.protobuf.Duration

Nicht unterstützte Felder

Felder, die mit „udm“ beginnen (nicht „udm.additional“) und eine der folgenden Bedingungen erfüllen, können nicht im CSV-Format heruntergeladen werden:

• Das Feld ist in udm proto mehr als 10-mal verschachtelt.

• Der Datentyp ist „Nachricht“ oder „Gruppe“.

Nächste Schritte

Informationen zur Verwendung von kontextbezogenen Daten in der Suche finden Sie unter Kontextbezogene Daten in der Suche verwenden.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten