Búsqueda de UDM

Compatible con:

La función de búsqueda de UDM te permite encontrar eventos y alertas del modelo de datos unificado (UDM) en tu instancia de Google Security Operations. La búsqueda de UDM incluye una variedad de opciones de búsqueda que te ayudan a navegar por los datos de UDM. Puedes buscar eventos individuales de la AUA y grupos de eventos de la AUA vinculados a términos de búsqueda compartidos.

En los sistemas que usan RBAC de datos, solo puedes ver los datos que coincidan con tus de los permisos de acceso. Para obtener más información, consulta el impacto del RBAC de datos en la Búsqueda.

En el caso de los clientes de Google Security Operations, las alertas también se pueden transferir desde conectores y webhooks. También puedes usar la búsqueda de UDM para encontrar estas alertas.

Para obtener más información sobre UDM, consulta Cómo dar formato a los datos de registro como UDM y Lista de campos del modelo de datos unificado.

Para acceder a la búsqueda de UDM de Google Security Operations, haz clic en Search en la barra de navegación. También puedes acceder a la búsqueda de UDM si ingresas un campo de UDM válido desde cualquier campo de búsqueda en Google Security Operations y presionas CTRL+Intro.

Para obtener una lista de todos los campos de UDM válidos, consulta la Lista de campos del modelo de datos unificado.

Búsqueda de UDM

Figura 1: Búsqueda de UDM

Búsqueda de UDM en blanco

Figura 2. Ventana de búsqueda de UDM que se abre con CTRL + Intro

Completa los siguientes pasos para ingresar una búsqueda de UDM en el campo UDM Search. Cuando termines de ingresar una búsqueda de UDM, haz clic en Ejecutar búsqueda. Google Security Operations la interfaz de usuario solo te permite ingresar una expresión de búsqueda de UDM válida. También puedes abrir la ventana del período para ajustar el rango de datos que se buscarán.

Si la búsqueda es demasiado amplia, Google Security Operations mostrará un mensaje de advertencia lo que indica que no se pueden mostrar todos los resultados de la búsqueda. Reducir el alcance de la búsqueda y volver a ejecutarla. Cuando una búsqueda es demasiado amplia, Google Security Operations devuelve los resultados más recientes hasta alcanzar el límite de búsqueda (un millón de eventos y mil alertas). Puede haber muchos más eventos y alertas que coincidan, pero que no se muestran en este momento. Ten en cuenta esto cuando analices los resultados. Google recomienda aplicar filtros adicionales y ejecutar la búsqueda original hasta estás por debajo del límite.

La página de resultados de búsqueda de UDM muestra los diez mil resultados más recientes. Puedes filtrar y definir mejor los resultados de la búsqueda para mostrar los resultados más antiguos, como alternativa a modificar la búsqueda de la AUA y volver a ejecutarla.

Búsqueda de fecha y ejecución

Figura 3: Ejecutar búsqueda

Las consultas de UDM se basan en campos de UDM, los cuales se enumeran en el Lista de campos del modelo de datos unificado También puedes ver los campos de UDM dentro del contexto de las búsquedas con Filtros o Búsqueda de registros sin procesar.

  1. Para buscar eventos, ingresa un nombre de campo de UDM en el campo de búsqueda. El usuario incluye la función de autocompletar y muestra campos de UDM válidos según lo que ingresaste.

  2. Una vez que hayas ingresado un campo de UDM válido, selecciona un operador válido. El usuario muestra los operadores válidos disponibles según el campo de UDM que ingresaste. Se admiten los operadores siguientes:

    • <, >
    • <=, >=
    • =, !=
    • nocase: Se admite para cadenas.
  3. Una vez que hayas ingresado un campo y un operador de UDM válidos, ingresa el de registro que estás buscando. Se admiten los siguientes tipos de datos:

    • Valores enumerados: La interfaz de usuario muestra una lista de valores enumerados válidos para un campo de la AUA determinado.

      Por ejemplo (usa comillas dobles y mayúsculas): metadata.event_type = "NETWORK_CONNECTION"

    • Valores adicionales: Puede usar "field[key] = value". para buscar campos adicionales y de etiquetas para los eventos.

      Por ejemplo: additional.fields["key"]="value"

    • Booleanos: Puedes usar true o false (todos los caracteres no distinguen mayúsculas de minúsculas y la palabra clave no está entre comillas).

      Por ejemplo: network.dns.response = true

    • Números enteros

      Por ejemplo: target.port = 443

    • Números de punto flotante: Para los campos UDM del tipo float, ingresa un valor de punto flotante, como 3.1. También puedes ingresar un número entero, como 3, que equivale a ingresar 3.0.

      Por ejemplo, security_result.about.asset.vulnerabilities.cvss_base_score = 3.1 o security_result.about.asset.vulnerabilities.cvss_base_score = 3.

    • Expresiones regulares: (la expresión regular debe contener caracteres de barra oblicua (/))

      Por ejemplo: principal.ip = /10.*/

      Para obtener más información sobre las expresiones regulares, consulta la página Expresiones regulares.

    • Cadenas

      Por ejemplo (debes usar comillas dobles): metadata.product_name = "Google Cloud VPC Flow Logs"

  4. Puedes usar el operador nocase para buscar cualquier combinación de versiones en mayúsculas y minúsculas de una cadena determinada:

    • principal.hostname != "http-server" nocase
    • principal.hostname = "JDoe" nocase
    • principal.hostname = /dns-server-[0-9]+/ nocase
  5. Las barras inversas y las comillas dobles en las cadenas deben escaparse con un carácter de barra inversa. Por ejemplo:

    • principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
    • target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""
  6. Puedes utilizar expresiones booleanas para reducir aún más el rango posible de los datos que se muestran. En los siguientes ejemplos, se muestran algunos tipos de expresiones booleanas admitidas (se pueden usar operadores booleanos AND, OR y NOT):

    • A AND B
    • A OR B
    • (A OR B) AND (B OR C) AND (C OR NOT D)

    En los siguientes ejemplos, se muestra cómo podría aparecer la sintaxis real:

    Eventos de acceso al servidor de finanzas:

    metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"

    Ejemplo de uso de una expresión regular para buscar la ejecución de la herramienta psexec.exe en Windows.

    target.process.command_line = /\bpsexec(.exe)?\b/ nocase

    Ejemplo del uso del operador “más que” (>) para buscar conexiones en las que se enviaron más de 10 MB de datos.

    metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000

    Ejemplo que usa varias condiciones para buscar Winword inicia cmd.exe o powershell.exe.

        metadata.event_type = "PROCESS_LAUNCH" and
        principal.process.file.full_path = /winword/ and
        (target.process.file.full_path = /cmd.exe/ or
        target.process.file.full_path = /powershell.exe/)

  7. También puedes usar la búsqueda de UDM para buscar pares clave-valor específicos en los campos Adicionales y Etiqueta.

    Los campos Adicional y Etiqueta se usan como un "todo incluido" personalizable para los datos de eventos que no se ajustan a un campo de la AUA estándar. Los campos adicionales pueden contener varios pares clave-valor. Los campos de etiqueta solo pueden contener un solo par clave-valor. Sin embargo, cada instancia del campo contiene solo una clave y un único valor. La clave debe ir dentro de los corchetes y el valor debe estar en el lado derecho.

    En los siguientes ejemplos, se muestra cómo buscar eventos que contienen pares clave-valor especificados:

        additional.fields["pod_name"] = "kube-scheduler"
        metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"
    En el siguiente ejemplo, se muestra cómo usar el operador Y con búsquedas de pares clave-valor:
        additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"

    Puedes usar la siguiente sintaxis para buscar todos los eventos que contengan la clave especificada (sin importar el valor):

        additional.fields["pod_name"] != ""
    También puedes usar expresiones regulares y el operador nocase:
        additional.fields["pod_name"] = /br/
        additional.fields["pod_name"] = bar nocase

  8. También puedes usar comentarios de bloqueo y de una sola línea.

    En el siguiente ejemplo, se muestra cómo usar un comentario de bloque:

        additional.fields["pod_name"] = "kube-scheduler"
        /*
        Block comments can span
        multiple lines.
        */
        AND additional.fields["pod_name1"] = "kube-scheduler1"

    En el siguiente ejemplo, se muestra cómo usar un comentario de una sola línea:

        additional.fields["pod_name"] != "" // my single-line comment

  9. Haz clic en Run Search para ejecutar tu búsqueda de UDM y mostrar los resultados.

  10. Los eventos se muestran en la página Búsqueda de UDM, en la tabla del cronograma de eventos. Puedes acotar los resultados aún más agregando campos UDM adicionales de forma manual o usando la interfaz.

Buscar campos agrupados

Los campos agrupados son alias para grupos de campos UDM relacionados. Puedes usarlas para consultar varios campos de UDM al mismo tiempo sin tener que escribir cada campo de forma individual.

En el siguiente ejemplo, se muestra cómo ingresar una consulta para que coincida con los campos de UDM comunes que podrían contener la dirección IP especificada:

    ip = "1.2.3.4"

Puedes hacer coincidir un campo agrupado mediante una expresión regular y el operador nocase. También se admiten listas de referencia. Los campos agrupados también se pueden usar en combinación con campos UDM normales, como se muestra en el siguiente ejemplo:

    ip = "5.6.7.8" AND metadata.event_type = "NETWORK_CONNECTION"

Los campos agrupados tienen una sección separada en Filtros rápidos.

Tipos de campos UDM agrupados

Puedes buscar en todos los siguientes campos de UDM agrupados:

Nombre del campo agrupado Campos de UDM asociados
dominio about.administrative_domain
about.asset.network_domain
network.dns.questions.name
network.dns_domain
principal.administrative_domain
principal.asset.network_domain
target.administrative_domain
target.asset.hostname
target.asset.network_domain
target.hostname
correo electrónico intermediary.user.email_addresses
network.email.from
network.email.to
principal.user.email_addresses
security_result.about.user.email_addresses
target.user.email_addresses
file_path principal.file.full_path
principal.process.file.full_path
principal.process.parent_process.file.full_path
target.file.full_path
target.process.file.full_path
target.process.parent_process.file.full_path
hash about.file.md5
about.file.sha1
about.file.sha256
principal.process.file.md5
principal.process.file.sha1
principal.process.file.sha256
security_result.about.file.sha256
target.file.md5
target.file.sha1
target.file.sha256
target.process.file.md5
target.process.file.sha1
target.process.file.sha256
Nombre de host intermediary.hostname
observer.hostname
principal.asset.hostname
principal.hostname
src.asset.hostname
src.hostname
target.asset.hostname
target.hostname
ip intermediary.ip
observer.ip
principal.artifact.ip
principal.asset.ip
principal.ip
src.artifact.ip
src.asset.ip
src.ip
target.artifact.ip
target.asset.ip
target.ip
espacio de nombres principal.namespace
src.namespace
target.namespace
process_id principal.process.parent_process.pid
principal.process.parent_process.product_specific_process_id
principal.process.pid
principal.process.product_specific_process_id
target.process.parent_process.pid
target.process.parent_process.product_specific_process_id
target.process.pid
target.process.product_specific_process_id
usuario about.user.userid
observer.user.userid
principal.user.user_display_name
principal.user.userid
principal.user.windows_sid
src.user.userid
target.user.user_display_name
target.user.userid
target.user.windows_sid

Busca un campo de UDM para la búsqueda

Cuando escribes una consulta de búsqueda de UDM, es posible que no sepas qué campo de UDM incluir. UDM Lookup te permite encontrar rápidamente un nombre de campo UDM que contiene una cadena de texto en el nombre o que almacena un valor de cadena específico. No está diseñado para usarse para buscar otros tipos de datos, como bytes, datos booleanos, o numéricos. Selecciona uno o más resultados devueltos por UDM Lookup como como punto de partida para una búsqueda de UDM.

Para usar la Búsqueda de UDM, haz lo siguiente:

  1. En la página Búsqueda de UDM, ingresa una cadena de texto en el campo Buscar campos de UDM por valor. y, luego, en UDM Lookup.

  2. En el cuadro de diálogo UDM Lookup, selecciona una o más de las siguientes opciones: Opciones para especificar el alcance de los datos que se buscarán:

    • Campos de UDM: Busca texto en nombres de campos de UDM, por ejemplo. network.dns.questions.name o principal.ip.
    • Valores: Busca texto en los valores asignados a campos de UDM, por ejemplo, dns o google.com.
  3. Ingresa o modifica la cadena en el campo de búsqueda. A medida que escribes, los resultados de la búsqueda en el cuadro de diálogo.

    Los resultados son ligeramente diferentes cuando se busca en Campos de UDM en comparación con Valores: Cuando buscas texto en Valores, los resultados aparecen de la siguiente manera:

    • Si la cadena se encuentra al principio o al final del valor, se destaca en el resultado, junto con el nombre del campo de UDM y la hora de que se haya transferido el registro.
    • Si la cadena de texto se encuentra en otra parte del valor, se mostrará el resultado. el nombre del campo de UDM y el texto Posible coincidencia de valores.

    Buscar dentro de los valores

    Buscar dentro de los valores de UDM Lookup

    • Cuando se busca una cadena de texto en los nombres de campos de la UDM, la Búsqueda de la UDM muestra una coincidencia exacta que se encuentra en cualquier ubicación del nombre.

    Cómo buscar en campos de UDM

    Cómo buscar en los campos de UDM en UDM Lookup

  4. En la lista de resultados, puedes hacer lo siguiente:

    • Haz clic en el nombre de un campo de UDM para ver una descripción de ese campo.

    • Para seleccionar uno o más resultados, haz clic en la casilla de verificación que se encuentra a la izquierda de cada nombre de campo de la AUA.

    • Haz clic en el botón Restablecer para anular la selección de todos los campos en la lista de resultados.

  5. Para agregar los resultados seleccionados al campo Búsqueda de UDM, haz clic en el Botón Agregar a la búsqueda:

    También puedes copiar el resultado seleccionado con el botón Copiar UDM. Luego, cierra el diálogo UDM Lookup y pega la cadena de consulta de búsqueda en el campo UDM Search.

    Google Security Operations convierte el resultado seleccionado en una cadena de consulta de UDM, como el nombre del campo de UDM o un par nombre-valor. Si agregas varios resultados, cada resultado se agrega al final de una consulta existente en el campo de búsqueda de UDM mediante el operador OR.

    La cadena de consulta anexada es diferente según el tipo de coincidencia que devuelva Búsqueda de UDM.

    • Si el resultado coincide con una cadena de texto en un nombre de campo UDM, el campo UDM completo el nombre completo a la consulta. A continuación, se muestra un ejemplo:

      principal.artifact.network.dhcp.client_hostname

    • Si el resultado coincide con una cadena de texto al principio o al final de un valor, el par nombre-valor contiene el nombre del campo de la AUA y el valor completo en el resultado. Estos son algunos ejemplos:

      metadata.log_type = "PCAP_DNS"

      network.dns.answers.name = "dns-A901F3j.hat.example.com"

    • Si el resultado incluye el texto Posible coincidencia de valor, el par nombre-valor contiene el nombre del campo de la AUA y una expresión regular que contiene el término de búsqueda. A continuación, se muestra un ejemplo:

      principal.process.file.full_path = /google/ NOCASE

  6. Edita la búsqueda de la AUA para que se adapte a tu caso de uso. La cadena de consulta que La consulta de UDM generada es un punto de partida para escribir una consulta de búsqueda de UDM completa.

Resumen del comportamiento de la búsqueda de UDM

En esta sección, se proporcionan más detalles sobre las capacidades de UDM Lookup.

  • La Búsqueda de UDM busca datos transferidos después del 10 de agosto de 2023. Datos transferidos antes de que esto no se busque. Muestra los resultados que se encuentran en los campos de la AUA no enriquecidos. No muestra coincidencias con campos enriquecidos. Para obtener información sobre los campos enriquecidos y no enriquecidos, consulta Visualiza eventos en el Visor de eventos.
  • Las búsquedas que utilizan UDM Lookup no distinguen mayúsculas de minúsculas. El término hostname muestra la mismo resultado que HostName.
  • Los guiones (-) y los guiones bajos (_) en una cadena de texto de consulta se ignoran cuando se busca en Valores. Se muestran las cadenas de texto dns-l y dnsl el valor dns-l
  • Cuando se busca Values, UDM Lookup no muestra coincidencias en los siguientes casos:

    Coincidencias en los siguientes campos de UDM:
    • metadata.product_log_id
    • network.session_id
    • security_result.rule_id
    • network.parent_session_id
    Las coincidencias en los campos UDM con una ruta de acceso completa que termina en uno de los los siguientes valores:
    • .pid
      Por ejemplo: target.process.pid.
    • .asset_id
      Por ejemplo: principal.asset_id.
    • .product_specific_process_id
      Por ejemplo: principal.process.product_specific_process_id.
    • .resource.id
      Por ejemplo: principal.resource.id.

  • Al buscar Valores, UDM Lookup muestra el mensaje Posible coincidencia de valores en el resultado cuando se encuentra una coincidencia en los siguientes casos:

    Coincidencias en los siguientes campos de UDM:
    • metadata.description
    • security_result.description
    • security_result.detection_fields.value
    • security_result.summary
    • network.http.user_agent
    Coincide en campos con una ruta de acceso completa que termina en uno de los siguientes valores:
    • .command_line
      Por ejemplo: principal.process.command_line.
    • .file.full_path
      Por ejemplo, principal.process.file.full_path.
    • .labels.value
      Por ejemplo: src.labels.value.
    • .registry.registry_key
      Por ejemplo: principal.registry.registry_key.
    • .url
      Por ejemplo: principal.url.
    Coincide en campos con una ruta de acceso completa que comienza con los siguientes valores: additional.fields.value.
    Por ejemplo, additional.fields.value.null_value.

Para ver las alertas, haz clic en la pestaña Alertas a la derecha de la pestaña Eventos en la esquina superior derecha de la página Búsqueda de UDM.

Cómo se muestran las alertas

Google Security Operations evalúa los eventos que se muestran en la búsqueda de UDM en comparación con los eventos que existen para las alertas en el entorno del cliente. Cuando un evento de consulta de búsqueda coincide con un evento presente en una alerta, se muestra en el cronograma de alertas y en la tabla de alertas resultante.

Definición de eventos y alertas

Un evento se genera a partir de una fuente de registro sin procesar que se transfiere a Google Security Operations y se procesa mediante el proceso de transferencia y normalización de esta plataforma. Se pueden generar múltiples eventos a partir de un único registro fuente de registro sin procesar. Un evento representa un conjunto de datos relevantes para la seguridad que se generan a partir de ese registro sin procesar.

En una búsqueda de UDM, una alerta se define como una detección de reglas de YARA-L con alertas habilitadas. Consulta cómo ejecutar una regla con datos en tiempo real para obtener más información.

Se pueden transferir otras fuentes de datos a Google Security Operations en forma de alertas, como las alertas de Crowdstrike Falcon. Estas alertas no aparecen en la búsqueda de la AUA, a menos que el motor de detección de Google Security Operations las procese como una regla YARA-L.

Los eventos que están asociados con una o más alertas se marcan con un chip de alerta en el Cronograma de eventos. Si hay varias alertas asociadas con el cronograma, el chip mostrará las cantidades de alertas asociadas.

La línea de tiempo muestra las 1,000 alertas más recientes recuperadas de los resultados de la búsqueda. Cuando se alcanza el límite de 1,000, no se recuperan más alertas. Define mejor la búsqueda con filtros para asegurarte de ver todos los resultados relevantes.

Cómo investigar una alerta

Si quieres aprender a usar el Gráfico de alertas y los Detalles de la alerta para investigar una alerta, sigue los pasos descritos en Investiga una alerta.

Cómo usar listas de referencia en las búsquedas de UDM

El proceso para aplicar listas de referencia en Reglas también se puede utilizar en la búsqueda. Se pueden incluir hasta siete listas en una sola búsqueda. Se admiten todos los tipos de listas de referencia (cadenas, expresiones regulares, CIDR).

Puedes crear listas de cualquier variable de la que desees hacer un seguimiento. Por ejemplo, puedes crear una lista de direcciones IP sospechosas:

// Field value exists in reference list
principal.ip IN %suspicious_ips

Además, puedes usar varias listas con AND o OR:

// multiple lists can be used with AND or OR
principal.ip IN %suspicious_ips AND
principal.hostname IN %suspicious_hostnames

Definir mejor los resultados de la búsqueda

Puedes usar la interfaz de usuario de búsqueda de UDM para filtrar y definir mejor los resultados, como alternativa a modificar la búsqueda de UDM y volver a ejecutarla.

Gráfico de cronogramas

El gráfico de cronogramas proporciona una representación gráfica de la cantidad de eventos y alertas que ocurren cada día y que aparecen en la búsqueda de UDM actual. Los eventos y las alertas se muestran en el mismo gráfico de cronograma, que está disponible en las pestañas Eventos y Alertas.

El ancho de cada barra depende del intervalo de tiempo de la búsqueda. Por ejemplo, cada barra representa 10 minutos cuando la búsqueda abarca 24 horas de datos. Este gráfico se actualiza de forma dinámica a medida que modificas la búsqueda de UDM existente.

Ajuste del intervalo de tiempo

Para ajustar el intervalo de tiempo del gráfico, mueve los controles deslizantes blancos de izquierda a derecha para ajustar el intervalo de tiempo y enfocarte en el período de interés. A medida que ajustas el intervalo de tiempo, las tablas de campos, valores y eventos de UDM se actualizan para reflejar la selección actual. También puedes hacer clic en una sola barra del gráfico para mostrar solo los eventos de ese período.

Cuando hayas ajustado el intervalo de tiempo, aparecerán las casillas de verificación Eventos filtrados y Eventos de la consulta, lo que te permitirá limitar aún más los tipos de eventos que se muestran.

Gráfico de cronogramas de eventos con controles de intervalo de tiempo

Figura 4: Gráfico de cronogramas de eventos con controles de intervalo de tiempo

Cómo modificar la búsqueda de UDM con filtros rápidos

Con los filtros rápidos, puedes acotar aún más tu búsqueda de UDM. Puedes desplazarte por la lista de campos de UDM o buscar valores o campos de UDM específicos con el campo de búsqueda. Los campos de la AUA que se enumeran aquí están asociados con las listas existentes de eventos que genera tu búsqueda de la AUA. Cada campo de UDM incluye la cantidad de eventos dentro de tu búsqueda de UDM actual que también incluyen este dato. La lista de campos de UDM muestra la cantidad total de valores únicos dentro de un campo. Esta función te permite buscar tipos particulares de datos de registro que podrían ser de mayor interés.

Los campos de UDM se enumeran en el siguiente orden:

  1. De los campos con la mayor cantidad de eventos a los que tienen la menor cantidad de eventos.
  2. Los campos con un solo valor son siempre últimos.
  3. Los campos con exactamente el mismo recuento total de eventos se ordenan alfabéticamente de la A a la Z.

Filtros rápidos

Figura 5: Filtros rápidos

Cómo modificar un filtro rápido

Si seleccionas un valor de campo de UDM en la lista de Filtros rápidos y haces clic en el ícono de menú, tendrás la opción de Mostrar solo eventos que también incluyan ese valor de campo de UDM o Filtrar ese valor de campo de UDM. Si el campo UDM almacena valores de números enteros (por ejemplo: target.port), también verás opciones para filtrar por <,>,<=,>=. Las opciones de filtro acortan la lista de eventos que se muestran.

También puedes fijar campos (con el ícono de fijar) en Filtro rápido para guardarlos como favoritos. Aparecen en la parte superior de la lista de Filtros rápidos.

Solo el programa

Figura 6: Ejemplo: Seleccionar solo el programa

Estos filtros adicionales del UDM también se agregan al campo de eventos de filtro. El campo de eventos de filtro te ayuda a hacer un seguimiento de los campos de UDM adicionales que agregaste a la búsqueda de UDM. También puedes quitar rápidamente estos campos UDM adicionales según sea necesario.

Filtrar eventos

Figura 7. Filtra eventos

Si haces clic en el ícono del menú Filter events o Add Filter a la izquierda, se abrirá una ventana que te permitirá seleccionar campos de UDM adicionales.

Ventana de filtrar eventos

Figura 8: Ventana de filtrar eventos

Cuando haces clic en APPLY to Search and Run, los campos de UDM se agregan al campo Filter events, y los eventos que se muestran se filtran en función de esos filtros adicionales. También puedes hacer clic en Apply to Search and Run para agregarlas al campo principal de búsqueda de UDM en la parte superior de la página. La búsqueda se vuelve a ejecutar automáticamente con los mismos parámetros de fecha y hora. Google recomienda reducir la búsqueda tanto como sea posible antes de hacer clic en APLICAR a Búsqueda y ejecución. Esto ayuda a mejorar la precisión y reduce los tiempos de búsqueda.

Ver eventos en la tabla Eventos

Todos estos filtros y controles actualizarán la lista de eventos que se muestra en la tabla Eventos. Haz clic en cualquiera de los eventos de la lista para abrir el Visor de registros, en el que puedes examinar el registro sin procesar y el registro de la AUA de ese evento. Si haces clic en la marca de tiempo de un evento, también puedes navegar a la vista asociada del recurso, la dirección IP, el dominio, el hash o el usuario. También puedes usar el campo de búsqueda en la parte superior de la tabla para buscar un evento específico.

Ver alertas en la tabla Alertas

Para ver las alertas, haz clic en la pestaña Alertas en el lado derecho de la pestaña Eventos. Puedes usar Filtros rápidos para ordenar las alertas por:

  • Caso
  • Nombre
  • Prioridad
  • Gravedad
  • Estado
  • Veredicto

Esto te ayuda a concentrarte en las alertas que más te importan.

Las alertas se muestran en el mismo período que los eventos en la pestaña Eventos. Esto te ayuda a ver la conexión entre los eventos y las alertas.

Si quieres obtener más información sobre una alerta específica, haz clic en ella. Se abrirá una página de detalles de la alerta individual que contiene información más detallada sobre ella.

Cómo ver eventos en el Visor de eventos

Si mantienes el puntero sobre un evento en la tabla Eventos, aparecerá el ícono de visualización de eventos abierto en el lado derecho del evento destacado. Haz clic en él para abrir el Visor de eventos.

La ventana Registro sin procesar muestra el signo sin procesar original en cualquiera de los siguientes formatos:

  • Sin procesar
  • JSON
  • XML
  • CSV
  • Hexadecimal/ASCII

La ventana de UDM muestra el registro de UDM estructurado. Puedes mantener el puntero sobre cualquiera de los campos de UDM para ver la definición de UDM. Si seleccionas la casilla de verificación de los campos de UDM, obtendrás las siguientes opciones:

  • Puedes copiar el registro de la UDM. Selecciona uno o más campos de UDM y, luego, la opción Copiar UDM del menú desplegable Ver acciones. Los campos y los valores de UDM se copian en el portapapeles del sistema.

  • Puedes agregar los campos de UDM como columnas en la tabla Eventos. Para ello, selecciona la opción Agregar columnas del menú desplegable Ver acciones.

Cada campo de UDM está etiquetado con un ícono que indica si el campo contiene como datos enriquecidos o sin enriquecer. Las etiquetas de los íconos son las siguientes:

  • U: Los campos sin enriquecer contienen valores propagados durante el proceso de normalización. con datos del registro original sin procesar.
  • E: Los campos enriquecidos contienen valores que Google Security Operations propaga para proporcionar contexto adicional sobre los artefactos en un entorno de cliente. Para obtener más información, consulta Cómo Google Security Operations enriquece los datos de eventos y entidades.

    Campos UDM enriquecidos y no enriquecidos

Figura 9: Campos de UDM en el Visor de eventos

Usa la opción Columnas para ajustar las columnas de información que se muestran en la tabla Eventos. Se muestra el menú Columnas. Las opciones disponibles varían según los tipos de eventos que muestra la búsqueda de la AUA.

De manera opcional, puedes hacer clic en Guardar para guardar el conjunto de columnas que seleccionaste aquí. Asigna un nombre al conjunto de columnas seleccionadas y vuelve a hacer clic en Guardar. Para cargar un conjunto de columnas guardadas, haz clic en Load y selecciona el conjunto de columnas guardadas de la lista.

También puedes descargar los eventos que se muestran. Para ello, haz clic en el menú de tres puntos y selecciona Descargar como CSV. Se descargarán todos los resultados de la búsqueda hasta un millón de eventos. La interfaz de usuario indicará la cantidad de eventos que se descargarán.

Columnas de búsqueda de UDM

Figura 10. Columnas de búsqueda de UDM

Cómo usar la tabla dinámica para analizar eventos

La tabla dinámica te permite analizar eventos utilizando expresiones y funciones con respecto a los resultados de la búsqueda de UDM.

Completa los siguientes pasos para abrir y configurar la tabla dinámica:

  1. Ejecutar una búsqueda de UDM

  2. Haz clic en la pestaña Tabla dinámica para abrir la tabla dinámica.

  3. Especifica un valor de Agrupar por para agrupar los eventos por un campo de la AUA específico. Puedes mostrar los resultados con las mayúsculas predeterminadas o solo con minúsculas seleccionando minúsculas en el menú. Esta opción solo está disponible para campos de cadenas. Puedes especificar hasta 5 valores en Agrupar por haciendo clic en Agregar campo.

    Si tu valor Agrupar por es uno de los campos de nombre de host, tendrás opciones de transformación adicionales:

    • Dominio de nivel N principal: Elige qué nivel del dominio quieres mostrar. Por ejemplo, si usas un valor de 1, solo se muestra el dominio de nivel superior (como com, gov o edu). Si usas un valor de 3, se muestran los siguientes dos niveles de los nombres de dominio (como google.co.uk).
    • Obtener dominio registrado: Muestra solo el nombre del dominio registrado (como google.com, nytimes.com y youtube.com).

    Si el valor de Agrupar por es uno de los campos de IP, tienes opciones de transformación adicionales:

    • Longitud del prefijo de CIDR(IP) en bits: Puedes especificar de 1 a 32 para las direcciones IPv4. Para las direcciones IPv6, puedes especificar valores de hasta 128.

    Si tu valor Agrupar por incluye una marca de tiempo, tendrás opciones de transformación adicionales:

    • Resolución (tiempo) en milisegundos
    • Resolución(tiempo) en segundos
    • (Tiempo) Resolución en minutos
    • Resolución(tiempo) en horas
    • Resolución(Tiempo) en días
  4. Especifica un valor para tu tabla dinámica de la lista de Campos de los resultados. Puedes especificar hasta 5 valores. Después de especificar un campo, debes seleccionar una opción de Resumen. Puedes usar las siguientes opciones para hacer resúmenes:

    • ponderada
    • count
    • count distinto
    • promedio
    • stddev
    • min
    • max

    Especifica un valor de Conteo de eventos (Event Count) para que devuelva la cantidad de eventos identificados para esta búsqueda de UDM y tabla dinámica en particular.

    Las opciones Resumir no son universalmente compatibles con los campos Agrupar por. Por ejemplo, las opciones sum, average, stddev, min y max solo se pueden aplicar a campos numéricos. Si intentas asociar una opción Resumir incompatible con un campo Agrupar por, recibirás un mensaje de error.

  5. Especifica uno o más campos de UDM y selecciona uno o más ordenamientos con la opción Order By.

  6. Cuando esté todo listo, haz clic en Aplicar. Los resultados se muestran en la tabla dinámica.

  7. (Opcional) Para descargar la tabla dinámica, haz clic en y selecciona Descargar como CSV. Si no seleccionaste un elemento dinámico, esta opción se inhabilitará.

Cómo ejecutar una búsqueda en Búsquedas rápidas

  1. Haz clic en Búsquedas rápidas para abrir la ventana Búsquedas rápidas. En esta ventana, se muestran las búsquedas guardadas y el historial de búsqueda.

  2. Haz clic en cualquiera de las búsquedas que aparecen en la lista para cargarla en el campo de búsqueda de la AUA.

  3. Haz clic en Ejecutar búsqueda cuando estés listo.

Las búsquedas que se muestran se guardan en tu cuenta de Google Security Operations. Si necesitas modificar alguna de las búsquedas guardadas (por ejemplo, cambiar el nombre de una búsqueda existente), eliminar búsquedas guardadas o eliminar búsquedas del historial de búsqueda, abre el Administrador de búsquedas. Para ello, haz clic en Ver todas las búsquedas.

Descripción general del historial de búsqueda y las búsquedas guardadas

Haz clic en Administrador de búsqueda para usar el Administrador de búsqueda y recuperar búsquedas guardadas y ver tu historial de búsqueda. Las búsquedas guardadas y el historial de búsqueda se almacenan en tu cuenta de Google Security Operations. Solo el usuario individual puede ver y acceder a las búsquedas guardadas y el historial de búsqueda, a menos que uses la función Compartir una búsqueda para compartirla con tu organización. Selecciona una búsqueda guardada para ver información adicional, incluidos el título y la descripción.

Para guardar una búsqueda, sigue estos pasos:

  1. En la página Búsqueda de UDM, haz clic en Guardar para guardar tu búsqueda de UDM para más adelante. Se abrirá el Administrador de búsqueda. Google recomienda asignarle a tu búsqueda guardada un nombre significativo y una descripción de texto sin formato de lo que estás buscando. También puedes crear una nueva búsqueda de UDM desde Search Manager haciendo clic en . Las herramientas estándar de edición y finalización de UDM también están disponibles aquí.

  2. Especifica las variables de marcador de posición en el formato ${<variable name>} con el mismo formato que se usa para las variables en YARA-L (opcional). Si agregas una variable a una búsqueda de UDM, también debes incluir una instrucción para ayudar al usuario a comprender qué información debe ingresar antes de realizar la búsqueda. Todas las variables deben completarse con valores antes de que se ejecute una búsqueda.

    Por ejemplo, puedes agregar metadata.vendor_name = ${vendor_name} a tu búsqueda de UDM. En el caso de ${vendor_name}, debes agregar un mensaje para los usuarios futuros, como "Ingresa el nombre del proveedor para tu búsqueda". Cada vez que un usuario cargue esta búsqueda en el futuro, se le pedirá que ingrese el nombre del proveedor para poder realizar la búsqueda.

  3. Haz clic en Guardar cambios cuando hayas terminado.

  4. Para ver las búsquedas guardadas, haz clic en Administrador de búsqueda y, luego, en la pestaña Guardadas.

Para recuperar y ejecutar una búsqueda guardada:

  1. En el Administrador de búsqueda, haz clic en la pestaña Guardado.

  2. Selecciona una búsqueda guardada de la lista. Estas búsquedas guardadas se guardan en tu cuenta de Google Security Operations. Para borrar una búsqueda, haz clic en y selecciona Borrar búsqueda.

  3. Puedes cambiar el nombre de la búsqueda y la descripción. Haz clic en Guardar cambios cuando hayas terminado.

  4. Haz clic en Load Search. La búsqueda se carga en el campo de búsqueda principal del UDM.

  5. Haz clic en Ejecutar búsqueda para ver los eventos asociados con esta búsqueda.

Cómo recuperar una búsqueda de tu historial de búsqueda

Para recuperar y ejecutar una búsqueda desde tu historial de búsqueda, haz lo siguiente:

  1. En el Administrador de búsqueda, haz clic en Historial.

  2. Selecciona una búsqueda de tu historial de búsqueda. El historial de búsqueda se guarda en tu cuenta de Google Security Operations. Para borrar una búsqueda, haz clic en .

  3. Haz clic en Load Search. La búsqueda se carga en el campo de búsqueda principal de UDM.

  4. Haz clic en Ejecutar búsqueda para ver los eventos asociados con esta búsqueda.

Borra, inhabilita o habilita el historial de búsqueda

Para borrar, inhabilitar o habilitar el historial de búsqueda, haz lo siguiente:

  1. En el Administrador de búsqueda, haz clic en la pestaña Historial.

  2. Haz clic en .

  3. Selecciona Borrar historial para borrar el historial de búsqueda.

  4. Haz clic en Inhabilitar historial para inhabilitar el historial de búsqueda. Tienes las siguientes opciones:

    • Opt-Out Only: Se inhabilita el historial de búsqueda.

    • Inhabilitar y borrar: Inhabilita el historial de búsqueda y borra el historial de búsqueda guardado.

  5. Si inhabilitaste el historial de búsqueda, puedes volver a habilitarlo haciendo clic en Habilitar el historial de búsquedas.

  6. Haz clic en Cerrar para salir del Administrador de búsqueda.

Compartir una búsqueda

Las búsquedas compartidas le permiten compartir búsquedas con el resto de su equipo. En la pestaña Guardados, puedes compartir o borrar búsquedas. También puedes filtrar tus búsquedas haciendo clic en el ícono de filtro junto a la barra de búsqueda y ordenarlas por Mostrar todo, Definido por Google SecOps, De mi autoría o Compartido.

No puedes editar una búsqueda compartida que no sea tuya.

  1. Haz clic en Guardado.
  2. Haz clic en la búsqueda que quieres compartir.
  3. Haz clic en . en el lado derecho de la búsqueda. Aparecerá un cuadro de diálogo con la opción de compartir la búsqueda.
  4. Haz clic en Compartir con la organización.
  5. Aparecerá un diálogo que indica que las personas de tu organización podrán ver la opción Compartir búsqueda. ¿Seguro que quieres compartir? Haz clic en Compartir

Si quieres que solo tú puedas ver la búsqueda, haz clic en y, luego, en Dejar de compartir. Si dejas de compartir, solo tú podrás usar esta búsqueda.

¿Qué sigue?

Para obtener información sobre cómo usar datos enriquecidos en contexto en la Búsqueda de UDM, consulta Usa datos enriquecidos para UDM.