Pesquisa do UDM
A função de pesquisa do UDM permite encontrar eventos e alertas do modelo de dados unificado (UDM, na sigla em inglês) na sua instância do Google Security Operations. A pesquisa UDM inclui várias opções de pesquisa que ajudam a navegar pelos dados do UDM. Você pode pesquisar para eventos de UDM individuais e grupos de eventos de UDM vinculados a termos de pesquisa compartilhados.
Em sistemas que usam o RBAC de dados, só é possível ver dados que correspondem aos seus escopos. Para mais informações, consulte Impacto do RBAC de dados na Pesquisa.
Para os clientes das Operações de segurança do Google, os alertas também podem ser ingeridos pelo conectores e webhooks. Você também pode usar a pesquisa UDM para encontrar esses alertas.
Para mais informações sobre o UDM, consulte Formatar dados de registro como UDM e Lista de campos do modelo de dados unificado.
Acessar a pesquisa do UDM
Para acessar a pesquisa UDM do Google Security Operations, clique em Search na barra de navegação. Você também pode acessar a pesquisa UDM inserindo um campo válido em qualquer campo de pesquisa no Google Security Operations e pressionando CTRL + Enter.
Para conferir uma lista de todos os campos válidos do UDM, consulte Lista de campos do modelo de dados unificado.
Figura 1. Pesquisa do UDM
Figura 2. a janela de pesquisa do UDM que é aberta pressionando CTRL+Enter.
Inserir uma pesquisa do UDM
Siga as etapas abaixo para inserir uma pesquisa de UDM no campo Pesquisa de UDM. Quando você terminar de digitar uma pesquisa UDM, clique em Executar pesquisa. As Operações de segurança do Google interface do usuário só permite inserir uma expressão de pesquisa UDM válida. Você também pode ajustar o intervalo de dados a ser pesquisado abrindo a janela de período.
Se a pesquisa for muito ampla, o Google Security Operations retornará uma mensagem de aviso indicando que ela não pode exibir todos os resultados da pesquisa. Reduza o escopo da pesquisa e execute-a novamente. Quando uma pesquisa é muito ampla, as Operações de segurança do Google retorna os resultados mais recentes até o limite da pesquisa (um milhão de eventos e mil alertas). Talvez haja muitos outros eventos e alertas que correspondem, mas não estão sendo exibidos no momento. Tenha isso em mente ao analisar os resultados. O Google recomenda aplicar filtros adicionais e executar a pesquisa original até você está abaixo do limite.
A página de resultados da pesquisa do UDM mostra os dez mil resultados mais recentes. Você pode filtrar e refinar os resultados da pesquisa para mostrar os resultados mais antigos, como uma alternativa para modificar a pesquisa da UDM e executá-la novamente.
Figura 3. Fazer a pesquisa
As consultas do UDM são baseadas em campos do UDM, que estão listados na lista de campos do modelo de dados unificado. Também é possível conferir os campos do UDM no contexto das pesquisas usando filtros ou a pesquisa de registro bruto.
Para pesquisar eventos, insira um nome de campo do UDM no campo de pesquisa. O usuário interface inclui preenchimento automático e exibe campos de UDM válidos com base no que você inseriu.
Depois de inserir um campo de UDM válido, selecione um operador válido. O usuário exibe os operadores válidos disponíveis com base no campo de UDM digitado. Os seguintes operadores são aceitos:
<, >
<=, >=
=, !=
nocase
: compatível com strings
Depois de inserir um campo e um operador válidos do UDM, insira os dados de registro correspondentes que você está procurando. Há suporte para os seguintes tipos de dados:
Valores enumerados:a interface do usuário mostra uma lista de valores enumerados válidos. valores para um determinado campo do UDM.
Por exemplo (use aspas duplas e letras maiúsculas):
metadata.event_type = "NETWORK_CONNECTION"
Valores adicionais: use 'field[key] = value' para pesquisar eventos adicionais e campos de rótulos.
Por exemplo:
additional.fields["key"]="value"
Bools:use
true
oufalse
. Todos os caracteres diferenciam maiúsculas de minúsculas, e a palavra-chave não pode ficar entre aspas.Por exemplo:
network.dns.response = true
Números inteiros
Por exemplo:
target.port = 443
Pontos flutuantes:para campos de UDM do tipo
float
, insira um pontuação flutuante, como3.1
. Também é possível inserir um número inteiro, como3
, que é equivalente a3.0
.Por exemplo:
security_result.about.asset.vulnerabilities.cvss_base_score = 3.1
ousecurity_result.about.asset.vulnerabilities.cvss_base_score = 3
Expressões regulares: (a expressão regular precisa estar entre barras (/)).
Por exemplo:
principal.ip = /10.*/
Para mais informações sobre expressões regulares, consulte a página de expressões regulares.
Strings
Por exemplo (é preciso usar aspas duplas):
metadata.product_name = "Google Cloud VPC Flow Logs"
Você pode usar o operador
nocase
para pesquisar qualquer combinação de versões maiúsculas e minúsculas de uma determinada string:principal.hostname != "http-server" nocase
principal.hostname = "JDoe" nocase
principal.hostname = /dns-server-[0-9]+/ nocase
As barras invertidas e aspas duplas em strings precisam ser escapadas usando um caractere de barra invertida. Exemplo:
principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""
Você pode usar expressões booleanas para restringir ainda mais o possível intervalo de dados exibidos. Os exemplos a seguir ilustram alguns tipos de expressões booleanas compatíveis (os operadores booleanos
AND
,OR
eNOT
podem ser usados):A AND B
A OR B
(A OR B) AND (B OR C) AND (C OR NOT D)
Os exemplos a seguir ilustram como a sintaxe pode aparecer:
Eventos de login no servidor do Google Finanças:
metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"
Exemplo de uso de uma expressão regular para pesquisar a execução da ferramenta psexec.exe no Windows.
target.process.command_line = /\bpsexec(.exe)?\b/ nocase
Exemplo de uso do operador "mais que" (>) para pesquisar conexões com mais de 10 MB de dados enviados.
metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000
Exemplo de uso de várias condições para pesquisar o cmd.exe ou o powershell.exe de inicialização do Winword.
metadata.event_type = "PROCESS_LAUNCH" and principal.process.file.full_path = /winword/ and (target.process.file.full_path = /cmd.exe/ or target.process.file.full_path = /powershell.exe/)
Também é possível usar a pesquisa da UDM para procurar pares de chave-valor específicos nos campos "Outros" e "Rótulo".
Os campos "Outros" e "Rótulo" são usados como um "catch-all" personalizável para dados de eventos que não se encaixam em um campo padrão do UDM. Os campos adicionais podem conter vários pares de chave-valor. Os campos de rótulo só podem conter um par de chave-valor. No entanto, cada instância do campo contém somente uma chave e um valor. A chave precisa estar dentro dos colchetes, e o valor precisa estar no lado direito.
Os exemplos a seguir mostram como pesquisar eventos que contenham pares de chave-valor especificados:
O exemplo a seguir mostra como usar o operador AND com pesquisas de pares de chave-valor:additional.fields["pod_name"] = "kube-scheduler" metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"
additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"
Você pode usar a seguinte sintaxe para pesquisar todos os eventos que contêm a chave especificada (independentemente do valor)
Também é possível usar expressões regulares e o operadoradditional.fields["pod_name"] != ""
nocase
:additional.fields["pod_name"] = /br/ additional.fields["pod_name"] = bar nocase
Também é possível usar comentários em bloco e de linha única.
O exemplo a seguir mostra como usar um comentário de bloco:
additional.fields["pod_name"] = "kube-scheduler" /* Block comments can span multiple lines. */ AND additional.fields["pod_name1"] = "kube-scheduler1"
O exemplo a seguir mostra como usar um comentário de linha única:
additional.fields["pod_name"] != "" // my single-line comment
Clique em Executar pesquisa para executar a pesquisa da UDM e mostrar os resultados.
Os eventos são exibidos na página Pesquisa do UDM na tabela da linha do tempo de eventos. Para restringir ainda mais os resultados, adicione outros campos do UDM manualmente ou use a interface.
Pesquisar campos agrupados
Os campos agrupados são aliases para grupos de campos UDM relacionados. É possível usá-los para consultar vários campos do UDM ao mesmo tempo, sem digitar cada campo individualmente.
O exemplo a seguir mostra como inserir uma consulta para corresponder aos campos de UDM comuns que podem conter o endereço IP especificado:
ip = "1.2.3.4"
É possível fazer a correspondência de um campo agrupado usando uma expressão regular e o operador nocase
. Também há suporte para listas de referência. Os campos agrupados também podem ser usados com campos UDM normais, como mostrado no exemplo a seguir:
ip = "5.6.7.8" AND metadata.event_type = "NETWORK_CONNECTION"
Os campos agrupados têm uma seção separada em Agregações.
Tipos de campos UDM agrupados
É possível pesquisar em todos os seguintes campos agrupados do UDM:
Nome do campo agrupado | Campos do UDM associados |
domínio | about.administrative_domain about.asset.network_domain network.dns.questions.name network.dns_domain principal.administrative_domain principal.asset.network_domain target.administrative_domain target.asset.hostname target.asset.network_domain target.hostname |
intermediary.user.email_addresses
network.email.from network.email.to principal.user.email_addresses security_result.about.user.email_addresses target.user.email_addresses |
|
file_path | principal.file.full_path
principal.process.file.full_path principal.process.parent_process.file.full_path target.file.full_path target.process.file.full_path target.process.parent_process.file.full_path |
jogo da velha | about.file.md5
about.file.sha1 about.file.sha256 principal.process.file.md5 principal.process.file.sha1 principal.process.file.sha256 security_result.about.file.sha256 target.file.md5 target.file.sha1 target.file.sha256 target.process.file.md5 target.process.file.sha1 target.process.file.sha256 |
nome do host | intermediary.hostname
observer.hostname principal.asset.hostname principal.hostname src.asset.hostname src.hostname target.asset.hostname target.hostname |
ip | intermediary.ip
observer.ip principal.artifact.ip principal.asset.ip principal.ip src.artifact.ip src.asset.ip src.ip target.artifact.ip target.asset.ip target.ip |
namespace | principal.namespace
src.namespace target.namespace |
process_id | principal.process.parent_process.pid
principal.process.parent_process.product_specific_process_id principal.process.pid principal.process.product_specific_process_id target.process.parent_process.pid target.process.parent_process.product_specific_process_id target.process.pid target.process.product_specific_process_id |
usuário | about.user.userid
observer.user.userid principal.user.user_display_name principal.user.userid principal.user.windows_sid src.user.userid target.user.user_display_name target.user.userid target.user.windows_sid |
Encontrar um campo do UDM para a consulta de pesquisa
Ao escrever uma consulta de pesquisa do UDM, talvez você não saiba qual campo de UDM incluir. A Pesquisa de UDM permite encontrar rapidamente um nome de campo de UDM que contém uma string de texto no nome ou que armazena um valor de string específico. Ele não é usado para pesquisar outros tipos de dados, como bytes, booleanos, ou numéricos. Você seleciona um ou mais resultados retornados pela pesquisa do UDM como ponto de partida para uma consulta de pesquisa do UDM.
Para usar a pesquisa de UDM, faça o seguinte:
Na página Pesquisa de UDM, insira uma string de texto no campo Pesquisar campos de UDM por valor. e clique em Pesquisa de UDM.
Na caixa de diálogo Pesquisa de UDM, selecione uma ou mais das seguintes opções: para especificar o escopo dos dados a serem pesquisados:
- Campos de UDM: pesquise texto em nomes de campos do UDM, por exemplo
network.dns.questions.name
ouprincipal.ip
. - Valores: pesquise texto nos valores atribuídos aos campos do UDM, por exemplo,
dns
ougoogle.com
.
- Campos de UDM: pesquise texto em nomes de campos do UDM, por exemplo
Insira ou modifique a string no campo de pesquisa. Conforme você digita, os resultados da pesquisa na caixa de diálogo.
Os resultados são um pouco diferentes ao pesquisar em campos de UDM e em comparação com Valores. Ao pesquisar texto em Valores, os resultados aparecem da seguinte forma:
- Se a string for encontrada no início ou no fim do valor, ela será destacada no resultado, junto com o nome do campo do UDM e o horário em que o registro foi transferido.
- Se a string de texto for encontrada em outro lugar no valor, o resultado exibirá o nome do campo de UDM e o texto Possível correspondência de valor.
Pesquisar valores na pesquisa do UDM
- Ao pesquisar uma string de texto nos nomes de campos do UDM, a pesquisa do UDM retorna uma correspondência exata encontrada em qualquer local do nome.
Pesquisar nos campos do UDM da pesquisa do UDM
Na lista de resultados, é possível fazer o seguinte:
Clique no nome de um campo do UDM para conferir a descrição dele.
Selecione um ou mais resultados clicando na caixa de seleção à esquerda do nome de cada campo do UDM.
Clique no botão Redefinir para desmarcar todos os campos selecionados na lista de resultados.
Para anexar os resultados selecionados ao campo Pesquisa de UDM, clique no botão Anexar à pesquisa.
Você também pode copiar o resultado selecionado usando o botão Copy UDM. feche a caixa de diálogo UDM Lookup e cole a string de consulta de pesquisa no no campo Pesquisa de UDM.
O Google Security Operations converte o resultado selecionado em uma string de consulta de pesquisa UDM como o nome do campo do UDM ou um par nome-valor. Se você anexar vários resultados, cada um deles será adicionado ao final de uma consulta existente no campo de pesquisa da UDM usando o operador
OR
.A string de consulta anexada é diferente dependendo do tipo de correspondência retornado pela busca de UDM.
Se o resultado corresponder a uma string de texto em um nome de campo do UDM, o campo do UDM completo é anexado à consulta. Veja um exemplo abaixo.
principal.artifact.network.dhcp.client_hostname
Se o resultado corresponder a uma string de texto no início ou no fim de um valor, o par nome-valor contém o nome do campo UDM e o o valor completo no resultado. Confira alguns exemplos:
metadata.log_type = "PCAP_DNS"
network.dns.answers.name = "dns-A901F3j.hat.example.com"
Se o resultado incluir o texto Possível correspondência de valor, o par nome-valor contém o nome do campo do UDM e uma expressão regular com o termo de pesquisa. Veja um exemplo abaixo.
principal.process.file.full_path = /google/ NOCASE
Edite a consulta de pesquisa do UDM para corresponder ao seu caso de uso. A string de consulta que A pesquisa do UDM gerada é um ponto de partida para escrever uma consulta de pesquisa do UDM completa.
Resumo do comportamento de pesquisa de UDM
Esta seção fornece mais detalhes sobre os recursos de pesquisa de UDM.
- Dados de pesquisas de UDM Lookup ingeridos após 10 de agosto de 2023. Os dados ingeridos antes disso não são pesquisados. Ele retorna resultados encontrados em campos de UDM não enriquecidos. Ele não retorna correspondências para campos enriquecidos. Para saber mais sobre campos enriquecidos e não enriquecidos, consulte Conferir eventos no Visualizador de eventos.
- As pesquisas que utilizam UDM não diferenciam maiúsculas de minúsculas. O termo
hostname
retorna o mesmo resultado queHostName
. - Hifens (
-
) e sublinhados (_
) em uma string de texto de consulta são ignorados ao procurar Valores. As strings de textodns-l
ednsl
retornam o valordns-l
. Ao pesquisar Valores, a pesquisa do UDM não retorna correspondências nos seguintes casos:
Corresponde aos seguintes campos do UDM: metadata.product_log_id
network.session_id
security_result.rule_id
network.parent_session_id
Corresponde a campos do UDM com um caminho completo que termina em um dos seguintes valores: .pid
Por exemplo,target.process.pid
..asset_id
Por exemplo,principal.asset_id
..product_specific_process_id
Por exemplo,principal.process.product_specific_process_id
..resource.id
Por exemplo,principal.resource.id
.
Ao pesquisar Valores, a Pesquisa UDM exibe a mensagem Possível correspondência de valor no resultado quando uma correspondência for encontrada nos seguintes casos:
Correspondências nos seguintes campos de UDM: metadata.description
security_result.description
security_result.detection_fields.value
security_result.summary
network.http.user_agent
Corresponde a campos com um caminho completo que termina em um dos seguintes valores: .command_line
Por exemplo,principal.process.command_line
..file.full_path
Por exemplo,principal.process.file.full_path
..labels.value
Por exemplo,src.labels.value
..registry.registry_key
Por exemplo,principal.registry.registry_key
..url
Por exemplo,principal.url
.
Corresponde a campos com um caminho completo que começa com os seguintes valores: additional.fields.value.
Por exemplo,additional.fields.value.null_value
.
Ver alertas na pesquisa do UDM
Para isso, clique na guia Alertas à direita da guia Eventos, no canto superior direito da página Pesquisa do UDM.
Como os alertas são exibidos
O Google Security Operations avalia os eventos retornados na pesquisa do UDM em relação aos eventos de alertas no ambiente do cliente. Quando um evento de consulta de pesquisa corresponde a um evento presente em um alerta, ele é exibido na linha do tempo do alerta e na tabela de alertas resultante.
Definição de eventos e alertas
Um evento é gerado a partir de uma origem de registro bruta que é ingerida pelas Google Security Operations e processada pelo processo de ingestão e normalização desse serviço. Vários eventos podem ser gerados a partir de um único registro de origem de registro bruto. Um evento representa um conjunto de pontos de dados relevantes para a segurança gerados a partir desse registro bruto.
Em uma pesquisa UDM, um alerta é definido como uma detecção de regra YARA-L com alertas ativados. Consulte como executar uma regra contra dados ativos para saber mais.
Outras fontes de dados podem ser ingeridas no Google Security Operations como alertas, como os alertas do Crowdstrike Falcon. Esses alertas não aparecem na pesquisa do UDM, a menos que sejam processados pelo mecanismo de detecção das Operações de segurança do Google como uma regra YARA-L.
Os eventos associados a um ou mais alertas são marcados com um ícone de alerta na linha do tempo do evento. Se houver vários alertas associados à linha do tempo, o ícone vai mostrar o número de alertas associados.
A linha do tempo exibe os 1.000 alertas mais recentes recuperados dos resultados da pesquisa. Quando o limite de mil é atingido, nenhum outro alerta é recuperado. Para garantir que você veja todos os resultados relevantes para sua pesquisa, refine a pesquisa com filtros.
Como investigar um alerta
Se quiser saber como usar o gráfico de alertas e os Detalhes do alerta para investigar um alerta, siga as etapas em Investigar um alerta.
Usar listas de referência nas pesquisas da UDM
O processo para aplicar listas de referência em Regras também pode ser usado na pesquisa. É possível incluir até sete listas em uma única consulta de pesquisa. Todos os tipos de listas de referência (string, expressão regular, CIDR) são aceitos.
Você pode criar listas de qualquer variável que queira acompanhar. Por exemplo, você pode criar uma lista de endereços IP suspeitos:
// Field value exists in reference list principal.ip IN %suspicious_ips
Você pode usar várias listas com AND
ou OR
:
// multiple lists can be used with AND or OR principal.ip IN %suspicious_ips AND principal.hostname IN %suspicious_hostnames
Refinar os resultados da pesquisa
É possível usar a interface do usuário da pesquisa UDM para filtrar e refinar resultados como uma alternativa para modificar a pesquisa UDM e executá-la novamente.
Gráfico de linhas do tempo
O gráfico de linhas do tempo mostra uma representação gráfica do número de eventos e alertas que ocorrem a cada dia e que estão sendo mostrados pela pesquisa atual da UDM. Os eventos e alertas são mostrados no mesmo gráfico de linha do tempo, que está disponível nas guias Eventos e Alertas.
A largura de cada barra depende do intervalo de tempo pesquisado. Por exemplo, cada barra representa 10 minutos quando a pesquisa abrange 24 horas de dados. Esse gráfico é atualizado dinamicamente conforme você modifica a pesquisa UDM atual.
Ajuste do período
Ajuste o intervalo de tempo do gráfico movendo os controles deslizantes brancos para a esquerda e direita, ajustando o intervalo de tempo e se concentre no período de interesse. À medida que você ajusta o período, as tabelas "Campos", "Valores" e "Eventos" do UDM são atualizadas para refletir a seleção atual. Você também pode clicar em uma única barra no gráfico para listar apenas os eventos desse período.
Depois de ajustar o período, as caixas de seleção Eventos filtrados e Eventos de consulta vão aparecer, permitindo que você limite ainda mais os tipos de eventos exibidos.
Figura 4. Gráfico de linha do tempo de eventos com controles de período
Modificar a pesquisa UDM com agregações
Com as agregações, você pode restringir ainda mais sua pesquisa de UDM. Você pode rolar pela lista de campos do UDM ou pesquisar campos ou valores específicos do UDM usando o campo "Pesquisar". Os campos do UDM listados aqui estão associados às listas de eventos geradas pela sua pesquisa do UDM. Cada campo do UDM inclui o número de eventos na sua pesquisa do UDM atual que também incluem esse dado. A lista de campos de UDM exibe o número exclusivo total de valores dentro de um campo. Esse recurso permite encontrar tipos específicos de dados de registro que possam ser ainda mais interessantes.
Os campos do UDM são listados na seguinte ordem:
- Campos com as contagens mais altas de eventos para as contagens mais baixas de eventos.
- Campos com apenas um valor são sempre os últimos.
- Os campos com o mesmo total de contagem de eventos são ordenados em ordem alfabética de A a Z.
Figura 5. Agregações
Modificar agregações
Se você selecionar um valor de campo do UDM na lista de agregações e clicar no ícone do menu, vai ter a opção de Mostrar apenas eventos que também incluem o valor do campo de UDM ou Filtrar o valor desse campo de UDM. Se o campo de UDM armazenar valores inteiros (exemplo: target.port
), você também verá opções para filtrar por <,>,<=,>=
. As opções de filtro encurtam a lista de eventos exibidos.
Também é possível fixar campos (usando o ícone de fixação) nas agregações para salvá-los como favoritos. Elas aparecem na parte de cima da lista "Agregações".
Figura 6. Exemplo: selecionar "Mostrar apenas"
Esses outros filtros do UDM também são adicionados ao campo de eventos do filtro. O campo "Filtrar eventos" ajuda a acompanhar os campos adicionais do UDM que você adicionou à pesquisa do UDM. Também é possível remover rapidamente esses campos adicionais de UDM, conforme necessário.
Figura 7. filtrar eventos
Se você clicar no ícone do menu "Filtrar eventos" ou em Adicionar filtro à esquerda, uma janela será aberta para selecionar outros campos do UDM.
Figura 8. Filtrar janela de eventos
Quando você clica em APLICAR na pesquisa e execução, os campos de UDM são adicionados ao campo "Filtrar eventos", e os eventos exibidos são filtrados com base nesses filtros adicionais. Você também pode clicar em Aplicar à pesquisa e executar para adicionar esses dados ao campo principal de pesquisa da UDM na parte de cima da página. A pesquisa é executada novamente de forma automática com os mesmos parâmetros de data e hora. O Google recomenda restringir o máximo possível sua pesquisa antes de clicar em APLICAR na pesquisa e execução. Isso ajuda a melhorar a precisão e reduz o tempo de pesquisa.
Mostrar eventos na tabela "Eventos"
Todos esses filtros e controles atualizam a lista de eventos exibidos na tabela "Eventos". Clique em qualquer um dos eventos listados para abrir o Visualizador de registros, onde você pode examinar o registro bruto e o registro do UDM para esse evento. Se você clicar no carimbo de data/hora de um evento, também poderá navegar até a visualização associada de recurso, endereço IP, domínio, hash ou usuário. Você também pode usar o campo de pesquisa na parte superior da tabela para encontrar um evento específico.
Conferir alertas na tabela "Alertas"
Para conferir os alertas, clique na guia Alertas no lado direito da guia Eventos. Você pode usar as agregações para classificar os alertas por:
- Caso
- Nome
- Prioridade
- Severity
- Status
- Veredito
Isso ajuda você a se concentrar nos alertas mais importantes.
Os alertas aparecem no mesmo período que os eventos na guia "Eventos". Isso ajuda a ver a conexão entre eventos e alertas.
Se quiser saber mais sobre um alerta específico, clique nele para abrir uma página de detalhes com informações mais detalhadas.
Visualizar eventos no Visualizador de eventos
Se você mantiver o cursor sobre um evento na tabela "Eventos", o ícone do visualizador de eventos aberto vai aparecer no lado direito do evento destacado. Clique nele para abrir o Visualizador de eventos.
A janela "Registro bruto" exibe o sinal bruto original em um dos seguintes formatos:
- Dados brutos
- JSON
- XML
- CSV
- Hex/ASCII
A janela do UDM mostra o registro estruturado do UDM. Mantenha o cursor sobre qualquer um dos campos da UDM para conferir a definição. Ao marcar a caixa de seleção dos campos do UDM, você tem mais opções:
Você pode copiar o registro do UDM. Selecione um ou mais campos de UDM e selecione a opção Copy UDM no menu suspenso View Actions. Os campos e os valores do UDM são copiados para a área de transferência do sistema.
Para adicionar os campos do UDM como colunas na tabela "Eventos", selecione a opção Adicionar colunas no menu suspenso Ações de visualização.
Cada campo do UDM é marcado com um ícone que indica se o campo contém dados enriquecidos ou não. Os rótulos dos ícones são os seguintes:
- U: os campos não enriquecidos contêm valores preenchidos durante o processo de normalização usando dados do registro bruto original.
E: os campos enriquecidos contêm valores que o Google Security Operations preenche para fornecer mais contexto sobre artefatos em um ambiente do cliente. Para mais informações, consulte Como as Operações de segurança do Google aprimoram os dados de eventos e entidades.
Figura 9. Campos de UDM no Visualizador de eventos
Use a opção "Colunas" para a pesquisa do UDM
Use a opção Colunas para ajustar quais colunas de informações são exibidas na tabela "Eventos". O menu Colunas é exibido. As opções disponíveis variam de acordo com os tipos de eventos retornados pela pesquisa do UDM.
Você pode salvar o conjunto de colunas selecionado aqui clicando em Salvar. Atribua um nome ao conjunto de colunas selecionadas e clique em Salvar novamente. Para carregar um conjunto de colunas salvas, clique em Carregar e selecione o conjunto de colunas salvas na lista.
Também é possível fazer o download dos eventos exibidos clicando no menu de três pontos e selecionando Fazer o download como CSV. Isso vai fazer o download de todos os resultados da pesquisa até um milhão de eventos. A interface do usuário vai indicar o número de eventos para download.
Figura 10. colunas de pesquisa do UDM
Usar a tabela dinâmica para analisar eventos
Com a tabela dinâmica, você pode analisar eventos usando expressões e funções em relação aos resultados da pesquisa da UDM.
Conclua as etapas a seguir para abrir e configurar a tabela dinâmica:
Faça uma pesquisa UDM.
Clique na guia Pivot para abrir a tabela dinâmica.
Especifique um valor de Agrupar por para agrupar os eventos por um campo de UDM específico. Você pode mostrar os resultados usando a formatação maiúsculas/minúsculas padrão ou apenas letras minúsculas, selecionando letras minúsculas no menu. Essa opção está disponível apenas para campos de string. É possível especificar até cinco valores de Agrupar por clicando em Adicionar campo.
Se o valor Agrupar por for um dos campos de nome de host, você terá outras opções de transformação:
- Domínio de nível N principal: escolha o nível do domínio a ser exibido.
Por exemplo, usar um valor de 1 exibe apenas o domínio de nível superior
(como
com
,gov
ouedu
). O valor 3 mostra próximos dois níveis dos nomes de domínio (comogoogle.co.uk
). - Get Registered Domain: mostra apenas o nome do domínio
registrado (como
google.com
,nytimes.com
eyoutube.com
).
Se o valor de Agrupar por for um dos campos de IP, você terá outras opções de transformação:
- Tamanho do prefixo CIDR(IP) CIDR em bits: é possível especificar de 1 a 32 para endereços IPv4. Para endereços IPv6, é possível especificar valores de até 128.
Se o valor Agrupar por incluir um carimbo de data/hora, você terá outras opções de transformação:
- (Tempo) Resolução em milissegundos
- (Tempo) Resolução em segundos
- (Time) Resolução em minutos
- (Tempo) Resolução em horas
- (Tempo) Resolução em dias
- Domínio de nível N principal: escolha o nível do domínio a ser exibido.
Por exemplo, usar um valor de 1 exibe apenas o domínio de nível superior
(como
Especifique um valor para o pivot na lista de campos nos resultados. É possível especificar até cinco valores. Depois de especificar um campo, selecione uma opção Resumo. Você pode resumir usando as seguintes opções:
- ponderada
- count
- count distinct
- média
- stddev
- min
- max
Especifique um valor de Contagem de eventos para retornar o número de eventos identificados para essa pesquisa e tabela dinâmica específica da UDM.
As opções Resumir não são universalmente compatíveis com os campos Agrupar por. Por exemplo, as opções soma, média, desvio padrão, mínimo e máximo só podem ser aplicadas a campos numéricos. Se você tentar associar uma opção Resumir incompatível a um campo Agrupar por, vai receber uma mensagem de erro.
Especifique um ou mais campos de UDM e selecione uma ou mais classificações usando a opção Ordenar por.
Clique em Aplicar quando tudo estiver pronto. Os resultados são mostrados na tabela dinâmica.
(Opcional) Para fazer o download da tabela dinâmica, clique em
e selecione Fazer o download como CSV. Se você não tiver selecionado uma tabela dinâmica, esta opção estará desativada.
Fazer uma pesquisa na Pesquisa rápida
Clique em Pesquisas rápidas para abrir a janela de pesquisas rápidas. Essa janela exibe as pesquisas salvas e o histórico de pesquisas.
Clique em qualquer uma das pesquisas listadas para carregá-la no campo de pesquisa do UDM.
Clique em Executar pesquisa quando estiver tudo pronto.
As pesquisas listadas são salvas na sua conta do Google Security Operations. Se você precisar modificar alguma pesquisa salva (por exemplo, renomear uma pesquisa existente), excluir pesquisas salvas ou excluir pesquisas do histórico, abra o Gerenciador de pesquisa clicando em Ver todas as pesquisas.
Visão geral das pesquisas salvas e do histórico de pesquisa
Use o Gerenciador de pesquisa para recuperar pesquisas salvas e ver seu histórico de pesquisa clicando em Gerenciador de pesquisa. As pesquisas salvas e o histórico de pesquisa são armazenados na sua conta de Operações de segurança do Google. As pesquisas salvas e o histórico de pesquisa só podem ser vistos e acessados pelo usuário individual, a menos que você use o recurso Compartilhar uma pesquisa para compartilhar a pesquisa com sua organização. Selecione uma pesquisa salva para conferir mais informações, incluindo o título e a descrição.
Salvar uma pesquisa
Para salvar uma pesquisa:
Na página de pesquisa do UDM, clique em Salvar para salvar sua pesquisa do UDM para mais tarde. O Gerenciador de pesquisa é aberto. O Google recomenda que você dê um nome significativo à pesquisa salva e uma descrição em texto simples do que está procurando. Também é possível criar uma nova pesquisa UDM no Gerenciador de pesquisa clicando em
. As ferramentas padrão de edição e conclusão do UDM também estão disponíveis aqui.(Opcional) Especifique variáveis de marcador de posição no formato
${<variable name>}
usando o mesmo formato usado para variáveis no YARA-L. Se você adicionar uma variável a uma pesquisa UDM, também precisará incluir um comando para ajudar o usuário a entender quais informações ele precisa inserir antes de fazer a pesquisa. Todas as variáveis precisam ser preenchidas com valores antes da execução de uma pesquisa.Por exemplo, você pode adicionar
metadata.vendor_name = ${vendor_name}
à sua pesquisa de UDM. Para${vendor_name}
, você precisa adicionar uma solicitação para futuros usuários, como "Digite o nome do fornecedor para sua pesquisa". Sempre que um usuário carregar essa pesquisa no futuro, ele terá que inserir o nome do fornecedor para poder executá-la.Clique em Salvar edições quando terminar.
Para acessar as pesquisas salvas, clique em Gerenciador de pesquisa e depois na guia Salvas.
Recuperar uma pesquisa salva
Para recuperar e executar uma pesquisa salva:
No Gerenciador de pesquisa, clique na guia Salvos.
Selecione uma pesquisa salva na lista. Essas pesquisas são salvas na sua conta de Operações de segurança do Google. Para excluir uma pesquisa, clique em
e selecione Excluir pesquisa.Você pode mudar o nome da pesquisa e a descrição. Clique em Salvar edições quando terminar.
Clique em Carregar pesquisa. A pesquisa é carregada no campo principal de pesquisa do UDM.
Clique em Executar pesquisa para conferir os eventos associados a ela.
Recuperar uma pesquisa do seu histórico
Para recuperar e realizar uma pesquisa do seu histórico:
No Gerenciador de pesquisa, clique em Histórico.
Selecione uma pesquisa no histórico. O histórico de pesquisa é salvo na sua conta do Google Security Operations. Para excluir uma pesquisa, clique em
Clique em Carregar pesquisa. A pesquisa é carregada no campo principal de pesquisa do UDM.
Clique em Run Search para conferir os eventos associados a essa pesquisa.
Limpar, desativar ou ativar o histórico de pesquisa
Para limpar, desativar ou ativar o histórico de pesquisa:
No Gerenciador de pesquisa, clique na guia Histórico.
Clique em
.Selecione Limpar histórico para limpar o histórico de pesquisa.
Clique em Desativar histórico para desativar o histórico de pesquisa. Você tem as seguintes opções:
Somente desativar: desative o histórico de pesquisa.
Desativar e limpar: desative o histórico de pesquisa e exclua o histórico de pesquisa salvo.
Se você desativou o histórico de pesquisa anteriormente, ative-o novamente clicando em Ativar histórico de pesquisa.
Clique em Fechar para sair do Gerenciador de pesquisa.
Compartilhar uma pesquisa
As pesquisas compartilhadas permitem que você compartilhe pesquisas com o restante da sua equipe. Na guia Salvos, você pode compartilhar ou excluir pesquisas. Também é possível filtrar as pesquisas clicando no ícone de filtro ao lado da barra de pesquisa e classificar as pesquisas por Mostrar tudo, Google SecOps definido, Criado por mim ou Compartilhado.
Não é possível editar uma pesquisa compartilhada que não é sua.
- Clique em Salvo.
- Clique na pesquisa que você quer compartilhar.
- Clique em no lado direito da pesquisa. Uma caixa de diálogo com a opção de compartilhar sua pesquisa é exibida.
- Clique em Share With Your Organization.
- Uma caixa de diálogo vai aparecer informando que o compartilhamento da pesquisa vai ficar visível para as pessoas na sua organização. Você quer mesmo compartilhar? Clique em Compartilhar.
Se você quiser que a pesquisa fique visível apenas para você, clique em
e em Parar compartilhamento. Se interromper o compartilhamento, só você vai poder usar essa pesquisa.Campos de UDM que podem ou não ser transferidos por download para CSV da plataforma
Os campos UDM com e sem suporte para download são mostrados nas subseções a seguir.
Campos aceitos
É possível fazer o download dos seguintes campos para um arquivo CSV na plataforma:
usuário
nome do host
nome do processo
tipo de evento
timestamp
Registro bruto (válido apenas quando os registros brutos estiverem ativados para o cliente)
Todos os campos que começam com "udm.additional"
Tipos de campo válidos
É possível fazer o download dos seguintes tipos de campos em um arquivo CSV:
double
float
int32
uint32
int64
uint64
bool
string
enum
bytes
google.protobuf.Timestamp
google.protobuf.Duration
Campos sem suporte
Campos que começam com "udm" (not udm.additional) e não é possível fazer o download de uma das seguintes condições em CSV:
O aninhamento do campo tem mais de 10 profundidades no protótipo de udm.
O tipo de dados é "Mensagem" ou "Grupo".
A seguir
Para saber como usar dados enriquecidos com contexto na pesquisa do UDM, consulte Usar dados enriquecidos pelo contexto na pesquisa do UDM.