Buscar

Compatible con:

La función de búsqueda te permite encontrar eventos y alertas del modelo de datos unificados (UDM) dentro de tu instancia de Google Security Operations con la sintaxis de YARA-L 2.0. La búsqueda incluye una variedad de opciones que te ayudan a navegar por tus datos de la AUA. Puedes buscar eventos de la AUA individuales y grupos de eventos de la AUA vinculados a términos de búsqueda compartidos.

En los sistemas que usan el RBAC de datos, solo puedes ver los datos que coinciden con tus alcances. Para obtener más información, consulta el impacto del RBAC de datos en la Búsqueda.

En el caso de los clientes de Google SecOps, las alertas también se pueden transferir desde conectores y webhooks. También puedes usar la búsqueda para encontrar estas alertas.

Para obtener más información sobre la AUA, consulta Dar formato a los datos de registro como UDM y Lista de campos de la AUA.

Puedes acceder a la búsqueda de Google SecOps con las siguientes opciones:

  • Haz clic en Buscar en la barra de navegación.

  • Ingresa un campo de UDM válido desde cualquier campo de búsqueda en Google SecOps y presiona Ctrl + Intro.

Para obtener una lista de todos los campos de UDM válidos, consulta la lista de campos de UDM.

Buscar

Figura 1. Buscar

En esta sección, se describe cómo usar la función de búsqueda de Google SecOps.

Las consultas de UDM se basan en campos de UDM, que se enumeran en la lista de campos del modelo de datos unificados. También puedes ver los campos de la UDM en el contexto de las búsquedas con los filtros o la búsqueda de registros sin procesar.

Completa los siguientes pasos para ingresar una búsqueda en el campo Búsqueda. Cuando termines de ingresar una búsqueda, haz clic en Run search. Para ajustar la cantidad de eventos que se muestran, haz clic en Más y selecciona Configuración de búsqueda. La interfaz de usuario de Google SecOps solo te permite ingresar una expresión de búsqueda válida. También puedes abrir la ventana del período para ajustar el rango de datos que deseas buscar.

  1. Para buscar eventos, ingresa un nombre de campo de la AUA en el campo de búsqueda. La interfaz de usuario incluye el autocompletado y muestra campos de la AUA válidos según lo que hayas ingresado.

  2. Una vez que hayas ingresado un campo de UDM válido, selecciona un operador válido. La interfaz de usuario muestra los operadores válidos disponibles según el campo de la AUA que ingresaste. Se admiten los operadores siguientes:

    • <, >
    • <=, >=
    • =, !=
    • nocase: Se admite para cadenas.

  3. Una vez que hayas ingresado un operador y un campo de la AUA válidos, ingresa los datos de registro correspondientes que buscas. Se admiten los siguientes tipos de datos:

    • Valores enumerados: La interfaz de usuario muestra una lista de valores enumerados válidos para un campo de la AUA determinado.

    Por ejemplo (usa comillas dobles y mayúsculas): metadata.event_type = "NETWORK_CONNECTION"

    • Valores adicionales: Puedes usar "field[clave] = valor" para buscar eventos en campos adicionales y de etiquetas.

    Por ejemplo: additional.fields["key"]="value"

    • Bools: Puedes usar true o false (todos los caracteres no distinguen mayúsculas de minúsculas y la palabra clave no está entre comillas).

    Por ejemplo: network.dns.response = true

    • Números enteros

    Por ejemplo: target.port = 443

    • Puntos flotantes: Para los campos de la UDM del tipo float, ingresa un valor de punto flotante, como 3.1. También puedes ingresar un número entero, como 3, que es equivalente a ingresar 3.0.

    Por ejemplo, security_result.about.asset.vulnerabilities.cvss_base_score = 3.1 o security_result.about.asset.vulnerabilities.cvss_base_score = 3

    • Expresiones regulares: (la expresión regular debe estar entre caracteres de barra diagonal (/))

    Por ejemplo: principal.ip = /10.*/

    Para obtener más información sobre las expresiones regulares, consulta la página de expresiones regulares.

    • Cadena

    Por ejemplo (se deben usar comillas dobles): metadata.product_name = "Google Cloud VPC Flow Logs"

  4. Puedes usar el operador nocase para buscar cualquier combinación de versiones en mayúsculas y minúsculas de una cadena determinada:

    • principal.hostname != "http-server" nocase
    • principal.hostname = "JDoe" nocase
    • principal.hostname = /dns-server-[0-9]+/ nocase

  5. Las barras inversas y las comillas dobles en las cadenas deben escaparse con un carácter de barra inversa. Por ejemplo:

    • principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
    • target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""

  6. Puedes usar expresiones booleanas para acotar aún más el posible rango de datos que se muestran. En los siguientes ejemplos, se ilustran algunos tipos de expresiones booleanas compatibles (se pueden usar los operadores booleanos AND, OR y NOT):

    • A AND B
    • A OR B
    • (A OR B) AND (B OR C) AND (C OR NOT D)

    En los siguientes ejemplos, se muestra cómo podría aparecer la sintaxis real:

    Eventos de acceso al servidor de finanzas: 

    metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"

    Ejemplo de cómo usar una expresión regular para buscar la ejecución de la herramienta psexec.exe en Windows. 

    target.process.command_line = /\bpsexec(.exe)?\b/ nocase

    Ejemplo del uso del operador mayor que (>) para buscar conexiones en las que se enviaron más de 10 MB de datos. 

    metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000

    Ejemplo de uso de varias condiciones para buscar Winword que inicia cmd.exe o powershell.exe. 

        metadata.event_type = "PROCESS_LAUNCH" and
    principal.process.file.full_path = /winword/ and
    (target.process.file.full_path = /cmd.exe/ or
    target.process.file.full_path = /powershell.exe/)

  7. También puedes buscar pares clave-valor específicos en los campos Adicional y Etiqueta.

    Los campos Adicional y Etiqueta se usan como un "todo incluido" personalizable para los datos de eventos que no se ajustan a un campo de la AUA estándar. Los campos adicionales pueden contener varios pares clave-valor. Los campos Label solo pueden contener un solo par clave-valor. Sin embargo, cada instancia del campo solo contiene una clave y un valor únicos. La clave debe ir dentro de los corchetes y el valor debe estar en el lado derecho.

    En los siguientes ejemplos, se muestra cómo buscar eventos que contengan pares clave-valor especificados: 

        additional.fields["pod_name"] = "kube-scheduler"
    metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"
     En el siguiente ejemplo, se muestra cómo usar el operador Y con búsquedas de pares clave-valor: 
        additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"

    Puedes usar la siguiente sintaxis para buscar todos los eventos que contengan la clave especificada (independientemente del valor). 

        additional.fields["pod_name"] != ""
     También puedes usar expresiones regulares y el operador nocase: 
        additional.fields["pod_name"] = /br/
    additional.fields["pod_name"] = bar nocase

  8. También puedes usar comentarios de bloque y de una sola línea.

    En el siguiente ejemplo, se muestra cómo usar un comentario de bloque: 

        additional.fields["pod_name"] = "kube-scheduler"
    /*
    Block comments can span
    multiple lines.
    */
    AND additional.fields["pod_name1"] = "kube-scheduler1"

    En el siguiente ejemplo, se muestra cómo usar un comentario de una sola línea: 

        additional.fields["pod_name"] != "" // my single-line comment

  9. Haz clic en Run search para ejecutar la búsqueda y mostrar el resultado de los eventos en la página Search, en la tabla de cronograma de eventos.

  10. Opcional: Para limitar los resultados, agrega campos de la AUA adicionales de forma manual o con la IU.

Configuración de búsqueda

Puedes definir la cantidad máxima de resultados de tu búsqueda en la configuración de la Búsqueda de la AUA. Esta configuración es específica para cada usuario.

  1. Haz clic en Configuración de búsqueda en Más junto a Ejecutar búsqueda.

  2. Selecciona Cantidad máxima de resultados para devolver. Las opciones son 1K, 10K, 100K, 1M y custom, que pueden tomar valores entre 1 y 1M. El valor predeterminado es 1M. Por lo general, las consultas se ejecutan más rápido cuando eliges un tamaño de conjunto de resultados más pequeño.

La búsqueda muestra demasiados resultados

Si tu búsqueda es demasiado amplia, Google SecOps muestra un mensaje de advertencia que indica que no se pueden mostrar todos los resultados de la búsqueda.

En esos casos, el sistema recupera solo los resultados más recientes, hasta el límite de búsqueda de 1 millón de eventos y 1,000 alertas. Sin embargo, es posible que haya muchos más eventos y alertas coincidentes que no se muestren.

Para asegurarte de capturar todos los resultados relevantes, considera definir mejor tu búsqueda aplicando filtros adicionales. Reducir el alcance de la búsqueda ayuda a reducir el conjunto de datos a un tamaño manejable y mejora la precisión. Te recomendamos que ajustes y vuelvas a ejecutar la búsqueda hasta que los resultados se encuentren dentro del límite de visualización del sistema.

En la página de resultados de la búsqueda, se muestran los 10,000 resultados más recientes. Puedes filtrar y definir mejor los resultados de la búsqueda para mostrar los resultados más antiguos, como alternativa a modificar y volver a ejecutar la búsqueda.

Buscar campos agrupados

Los campos agrupados son alias para grupos de campos de UDM relacionados. Puedes usarlos para consultar varios campos de la AUA al mismo tiempo sin escribir cada campo de forma individual.

En el siguiente ejemplo, se muestra cómo ingresar una consulta para que coincida con los campos comunes de la AUA que podrían contener la dirección IP especificada: 

    ip = "1.2.3.4"

Puedes hacer coincidir un campo agrupado con una expresión regular y con el operador nocase. También se admiten listas de referencias. Los campos agrupados también se pueden usar en combinación con campos de la AUA normales, como se muestra en el siguiente ejemplo: 

    ip = "5.6.7.8" AND metadata.event_type = "NETWORK_CONNECTION"

Los campos agrupados tienen una sección independiente en Agrupaciones.

Tipos de campos de UDM agrupados

Puedes realizar búsquedas en todos los siguientes campos de la AUA agrupados:

Nombre del campo agrupado Campos de UDM asociados
dominio about.administrative_domain
about.asset.network_domain
network.dns.questions.name
network.dns_domain
principal.administrative_domain
principal.asset.network_domain
target.administrative_domain
target.asset.hostname
target.asset.network_domain
target.hostname
correo electrónico intermediary.user.email_addresses
network.email.from
network.email.to
principal.user.email_addresses
security_result.about.user.email_addresses
target.user.email_addresses
file_path principal.file.full_path
principal.process.file.full_path
principal.process.parent_process.file.full_path
target.file.full_path
target.process.file.full_path
target.process.parent_process.file.full_path
hash about.file.md5
about.file.sha1
about.file.sha256
principal.process.file.md5
principal.process.file.sha1
principal.process.file.sha256
security_result.about.file.sha256
target.file.md5
target.file.sha1
target.file.sha256
target.process.file.md5
target.process.file.sha1
target.process.file.sha256
Nombre de host intermediary.hostname
observer.hostname
principal.asset.hostname
principal.hostname
src.asset.hostname
src.hostname
target.asset.hostname
target.hostname
ip intermediary.ip
observer.ip
principal.artifact.ip
principal.asset.ip
principal.ip
src.artifact.ip
src.asset.ip
src.ip
target.artifact.ip
target.asset.ip
target.ip
espacio de nombres principal.namespace
src.namespace
target.namespace
process_id principal.process.parent_process.pid
principal.process.parent_process.product_specific_process_id
principal.process.pid
principal.process.product_specific_process_id
target.process.parent_process.pid
target.process.parent_process.product_specific_process_id
target.process.pid
target.process.product_specific_process_id
usuario about.user.userid
observer.user.userid
principal.user.user_display_name
principal.user.userid
principal.user.windows_sid
src.user.userid
target.user.user_display_name
target.user.userid
target.user.windows_sid

Cómo encontrar un campo de UDM para la búsqueda

Cuando escribes una consulta de búsqueda, es posible que no sepas qué campo de la AUA incluir. La búsqueda de UDM te permite encontrar rápidamente un nombre de campo de UDM que contenga una cadena de texto en el nombre o que almacene un valor de cadena específico. La función de búsqueda de la UDM no se diseñó para buscar otros tipos de datos, como bytes, booleanos o numéricos. Seleccionas uno o más resultados que muestra la Búsqueda de UDM como punto de partida para una consulta de búsqueda.

Para usar la Búsqueda de UDM, haz lo siguiente:

  1. En la página Búsqueda, ingresa una cadena de texto en el campo Buscar campos de UDM por valor y, luego, haz clic en Búsqueda de UDM.

  2. En el diálogo Búsqueda de UDM, selecciona una o más de las siguientes opciones para especificar el alcance de los datos que se buscarán:

    • Campos de UDM: Busca texto en los nombres de los campos de UDM, por ejemplo: network.dns.questions.name o principal.ip.
    • Valores: Busca texto en los valores asignados a los campos de la AUA, por ejemplo, dns o google.com.

  3. Ingresa o modifica la cadena en el campo de búsqueda. A medida que escribes, los resultados de la búsqueda aparecen en el diálogo.

    Los resultados son ligeramente diferentes cuando se realiza una búsqueda en Campos de UDM en comparación con Valores. Cuando buscas texto en Valores, los resultados aparecen de la siguiente manera:

    • Si la cadena se encuentra al principio o al final del valor, se destaca en el resultado, junto con el nombre del campo de la UDM y la hora en que se transfirió el registro.
    • Si la cadena de texto se encuentra en otra parte del valor, el resultado muestra el nombre del campo de la UDM y el texto Posible coincidencia de valor.

    Buscar en valores

    Figura 2. Buscar dentro de los valores en la Búsqueda de UDM

    • Cuando se busca una cadena de texto en los nombres de los campos de la UDM, la Búsqueda de UDM muestra una coincidencia exacta que se encuentra en cualquier ubicación del nombre.

    Cómo realizar búsquedas en campos de UDM

    Figura 3. Buscar en los campos de UDM en la Búsqueda de UDM

  4. En la lista de resultados, puedes hacer lo siguiente:

    • Haz clic en el nombre de un campo de la AUA para ver una descripción de ese campo.

    • Para seleccionar uno o más resultados, haz clic en la casilla de verificación a la izquierda de cada nombre de campo de la UDM.

    • Haz clic en el botón Restablecer para anular la selección de todos los campos seleccionados en la lista de resultados.

  5. Para agregar los resultados seleccionados al campo Búsqueda, haz clic en Agregar a la búsqueda.

    Puedes copiar el resultado seleccionado con el botón Copiar UDM, cerrar el diálogo Búsqueda de UDM y pegar la cadena de búsqueda en el campo Búsqueda.

    Google SecOps convierte el resultado seleccionado en una cadena de consulta de búsqueda como el nombre del campo de la UDM o un par nombre-valor. Si agregas varios resultados, cada uno se agrega al final de una consulta existente en el campo de búsqueda con el operador OR.

    La cadena de consulta adjunta es diferente según el tipo de coincidencia que devuelve la Búsqueda de la UDM.

    • Si el resultado coincide con una cadena de texto en un nombre de campo de la UDM, el nombre completo del campo de la UDM se agrega a la consulta. A continuación, se muestra un ejemplo:

    principal.artifact.network.dhcp.client_hostname

    • Si el resultado coincide con una cadena de texto al principio o al final de un valor, el par nombre-valor contiene el nombre del campo de la AUA y el valor completo en el resultado. Los siguientes son ejemplos:

    metadata.log_type = "PCAP_DNS"

    network.dns.answers.name = "dns-A901F3j.hat.example.com"

    • Si el resultado incluye el texto Posible coincidencia de valor, el par nombre-valor contiene el nombre del campo de la UDM y una expresión regular que contiene el término de búsqueda. A continuación, se muestra un ejemplo:

    principal.process.file.full_path = /google/ NOCASE

  6. Edita la búsqueda para que se adapte a tu caso de uso. La cadena de consulta que genera la búsqueda de la UDM sirve como punto de partida para ingresar una búsqueda completa.

Resumen del comportamiento de la búsqueda de UDM

En esta sección, se proporcionan más detalles sobre las funciones de la Búsqueda de UDM.

  • La Búsqueda de UDM busca datos transferidos después del 10 de agosto de 2023. No se buscarán los datos transferidos antes de este momento. Muestra los resultados que se encuentran en los campos de la UDM que no se enriquecieron. No muestra coincidencias en los campos enriquecidos. Para obtener información sobre los campos enriquecidos en comparación con los no enriquecidos, consulta Cómo ver eventos en el visor de eventos.
  • Las búsquedas que usan la Búsqueda de UDM no distinguen mayúsculas de minúsculas. El término hostname muestra el mismo resultado que HostName.
  • Los guiones (-) y los guiones bajos (_) en una cadena de texto de consulta se ignoran cuando se busca en Valores. Las cadenas de texto dns-l y dnsl muestran el valor dns-l.

  • Cuando buscas Valores, la Búsqueda de UDM no muestra coincidencias en los siguientes casos:

    Coincide con los siguientes campos de la AUA:
    • metadata.product_log_id
    • network.session_id
    • security_result.rule_id
    • network.parent_session_id
    Coincidencias en campos de UDM con una ruta de acceso completa que finaliza en uno de los siguientes valores:
    • .pid
      Por ejemplo, target.process.pid.
    • .asset_id
      Por ejemplo, principal.asset_id.
    • .product_specific_process_id
      Por ejemplo, principal.process.product_specific_process_id.
    • .resource.id
      Por ejemplo, principal.resource.id.

    • Cuando buscas Valores, la Búsqueda de la AUA muestra el mensaje Posible coincidencia de valor en el resultado cuando se encuentra una coincidencia en los siguientes casos:
    Coincide con los siguientes campos de la AUA:
    • metadata.description
    • security_result.description
    • security_result.detection_fields.value
    • security_result.summary
    • network.http.user_agent
    Coincide en campos con una ruta de acceso completa que termina en uno de los siguientes valores:
    • .command_line
      Por ejemplo, principal.process.command_line.
    • .file.full_path
      Por ejemplo, principal.process.file.full_path.
    • .labels.value
      Por ejemplo, src.labels.value.
    • .registry.registry_key
      Por ejemplo, principal.registry.registry_key.
    • .url
      Por ejemplo, principal.url.
    Coincide en campos con una ruta de acceso completa que comienza con los siguientes valores: additional.fields.value.
    Por ejemplo, additional.fields.value.null_value.

Para ver las alertas, haz clic en la pestaña Alertas, que se encuentra junto a la pestaña Eventos, en la esquina superior derecha de la página Búsqueda.

Cómo se muestran las alertas

Google SecOps evalúa los eventos que se muestran en la búsqueda en función de los eventos que existen para las alertas en el entorno del cliente. Cuando un evento de búsqueda coincide con un evento presente en una alerta, se muestra en el cronograma de alertas y en la tabla de alertas resultante.

Definición de eventos y alertas

Un evento se genera a partir de una fuente de registro sin procesar que se transfiere a Google SecOps y que se procesa mediante el proceso de transferencia y normalización de Google SecOps. Se pueden generar varios eventos a partir de un solo registro de fuente de registro sin procesar. Un evento representa un conjunto de datos relevantes para la seguridad que se generan a partir de ese registro sin procesar.

En la búsqueda, una alerta se define como una detección de reglas de YARA-L con alertas habilitadas. Consulta Cómo ejecutar una regla en datos en vivo para obtener más información.

Se pueden transferir otras fuentes de datos a Google SecOps como alertas, como las alertas de Crowdstrike Falcon. Estas alertas no aparecen en la búsqueda, a menos que el motor de detección de Google SecOps las procese como una regla de YARA-L.

Los eventos asociados con una o más alertas se marcan con un chip de alerta en el Cronograma de eventos. Si hay varias alertas asociadas con el cronograma, el chip muestra la cantidad de alertas asociadas.

En el cronograma, se muestran las 1,000 alertas más recientes recuperadas de los resultados de la búsqueda. Cuando se alcanza el límite de 1,000, no se recuperan más alertas. Para asegurarte de ver todos los resultados relevantes para tu búsqueda, define mejor tu búsqueda con filtros.

Cómo investigar una alerta

Si quieres aprender a usar el gráfico de alertas y los detalles de las alertas para investigar una alerta, sigue los pasos que se describen en Cómo investigar una alerta.

Cómo usar listas de referencia en las búsquedas

El proceso para aplicar listas de referencia en las reglas también se puede usar en la búsqueda. Se pueden incluir hasta siete listas en una sola búsqueda. Se admiten todos los tipos de listas de referencia (cadena, expresión regular, CIDR).

Puedes crear listas de cualquier variable de la que quieras hacer un seguimiento. Por ejemplo, puedes crear una lista de direcciones IP sospechosas: 

// Field value exists in reference list
principal.ip IN %suspicious_ips

Además, puedes usar varias listas con AND o OR:

// multiple lists can be used with AND or OR
principal.ip IN %suspicious_ips AND
principal.hostname IN %suspicious_hostnames

Define mejor los resultados de la búsqueda

Puedes usar la interfaz de usuario de la búsqueda para filtrar y definir mejor los resultados como una alternativa a modificar y volver a ejecutar la búsqueda.

Gráfico de cronogramas

El gráfico de cronogramas proporciona una representación gráfica de la cantidad de eventos y alertas que se producen cada día y que muestra la búsqueda actual. Los eventos y las alertas se muestran en el mismo gráfico de cronograma, que está disponible en las pestañas Eventos y Alertas.

El ancho de cada barra depende del intervalo de tiempo que se busca. Por ejemplo, cada barra representa 10 minutos cuando la búsqueda abarca 24 horas de datos. Este gráfico se actualiza de forma dinámica a medida que modificas la búsqueda existente.

Ajuste del intervalo de tiempo

Para ajustar el período del gráfico, mueve los controles deslizantes blancos hacia la izquierda y la derecha para enfocarte en el período que te interesa. A medida que ajustas el período, las tablas Campos y valores de la AUA y Eventos se actualizan para reflejar la selección actual. También puedes hacer clic en una sola barra del gráfico para mostrar solo los eventos de ese período.

Una vez que hayas ajustado el intervalo de tiempo, aparecerán las casillas de verificación Eventos filtrados y Consultar eventos, lo que te permitirá limitar aún más los tipos de eventos que se muestran.

Gráfico de cronogramas de eventos con controles de intervalo de tiempo

Figura 4: Gráfico de cronogramas de eventos con controles de intervalo de tiempo

Modifica la búsqueda de la AUA con agregaciones

Con las agregaciones, puedes acotar aún más tu búsqueda de la AUA. Puedes desplazarte por la lista de campos de UDM o buscar campos o valores de UDM específicos con el campo de búsqueda. Los campos de la AUA que se enumeran aquí están asociados con las listas existentes de eventos que genera tu búsqueda de la AUA. Cada campo de la AUA incluye la cantidad de eventos de tu búsqueda actual de la AUA que también incluyen este dato. La lista de campos de la AUA muestra la cantidad total de valores únicos dentro de un campo. Esta función te permite buscar tipos particulares de datos de registro que podrían ser de mayor interés.

Los campos de la UDM se enumeran en el siguiente orden:

  1. De los campos con la mayor cantidad de eventos a los que tienen la menor cantidad.
  2. Los campos con solo 1 valor siempre son los últimos.
  3. Los campos con el mismo recuento de eventos total se ordenan alfabéticamente de la A a la Z.

Datos recopilados

Figura 5. Agrupaciones

Modifica las agregaciones

Si seleccionas un valor de campo de la AUA en la lista Agrupaciones y haces clic en el ícono de menú, se te brinda la opción de Mostrar solo los eventos que también incluyen ese valor de campo de la AUA o de Filtrar ese valor de campo de la AUA. Si el campo de la UDM almacena valores enteros (por ejemplo, target.port), también verás opciones para filtrar por <,>,<=,>=. Las opciones de filtro acortan la lista de eventos que se muestran.

También puedes fijar campos (con el ícono de fijar) en Agrupaciones para guardarlos como favoritos. Aparecen en la parte superior de la lista Agrupaciones.

Solo mostrar

Figura 6. Ejemplo: Selecciona Mostrar solo.

Estos filtros adicionales del UDM también se agregan al campo de eventos de filtro. El campo de eventos de filtro te ayuda a hacer un seguimiento de los campos de la AUA adicionales que agregaste a la búsqueda y a quitarlos según sea necesario.

Cuando haces clic en Aplicar a la búsqueda y ejecutar, los eventos que se muestran se filtran según esos filtros adicionales, y se actualiza el campo de búsqueda principal en la parte superior de la página. La búsqueda se vuelve a ejecutar automáticamente con los mismos parámetros de fecha y hora.

Filtrar eventos

Figura 7. Filtrar eventos

Si haces clic en Agregar filtro, se abrirá una ventana que te permitirá seleccionar campos de la UDM adicionales.

Ventana Filtrar eventos

Figura 8. Ventana para filtrar eventos.

Cómo ver eventos en la tabla Eventos

Todos estos filtros y controles actualizarán la lista de eventos que se muestra en la tabla Eventos. Haz clic en cualquiera de los eventos de la lista para abrir el Visor de registros, en el que puedes examinar el registro sin procesar y el registro de la UDM de ese evento. Si haces clic en la marca de tiempo de un evento, también puedes navegar al recurso, la dirección IP, el dominio, el hash o la vista de usuario asociados. También puedes usar el campo de búsqueda en la parte superior de la tabla para encontrar un evento específico.

Cómo ver las alertas en la tabla Alertas

Para ver las alertas, haz clic en la pestaña Alertas en el lado derecho de la pestaña Eventos. Puedes usar las agregaciones para ordenar las alertas según los siguientes criterios:

  • Caso
  • Nombre
  • Prioridad
  • Gravedad
  • Estado
  • Veredicto

Esto te ayuda a enfocarte en las alertas que son más importantes para ti.

Las alertas se muestran en el mismo período que los eventos en la pestaña Eventos. Esto te permite ver la conexión entre los eventos y las alertas.

Si quieres obtener más información sobre una alerta específica, haz clic en ella y se abrirá una página de detalles de la alerta individual que contiene información más detallada sobre esa alerta.

Cómo ver eventos en el Visor de eventos

Si colocas el puntero sobre un evento en la tabla Eventos, aparecerá el ícono del visor de eventos abierto en el lado derecho del evento destacado. Haz clic en él para abrir el Visualizador de eventos.

La ventana Registro sin procesar muestra el signo sin procesar original en cualquiera de los siguientes formatos:

  • Sin procesar
  • JSON
  • XML
  • CSV
  • Hexadecimal/ASCII

La ventana de la UDM muestra el registro estructurado de la UDM. Puedes mantener el puntero sobre cualquiera de los campos de la UDM para ver su definición. Si seleccionas la casilla de verificación de los campos de la UDM, verás opciones adicionales:

  • Copia el registro de la UDM. Selecciona uno o más campos de la UDM y, luego, la opción Copiar UDM en la lista Ver acciones. Los campos y los valores de la UDM se copian en el portapapeles del sistema.

  • Agrega los campos de la AUA como columnas: Selecciona la opción Agregar columnas en la lista Ver acciones.

Cada campo de la UDM está etiquetado con un ícono que indica si el campo contiene datos enriquecidos o no enriquecidos. Las etiquetas de los íconos son las siguientes:

  • U: Los campos no enriquecidos contienen valores propagados durante el proceso de normalización con datos del registro sin procesar original.

  • E: Los campos enriquecidos contienen valores que Google SecOps propaga para proporcionar contexto adicional sobre los artefactos en un entorno del cliente. Para obtener más información, consulta Cómo SecOps de Google enriquece los datos de eventos y entidades.

    Campos del UDM enriquecidos y no enriquecidos

Figura 9. Campos de UDM en el Visor de eventos.

Usa la opción Columnas para personalizar las columnas que se muestran en la tabla Eventos. Se muestra el menú Columnas, que ofrece diferentes opciones según los tipos de eventos que muestra la búsqueda.

Guarda el conjunto de columnas

De forma opcional, puedes guardar el conjunto de columnas que seleccionaste aquí haciendo clic en Guardar. Asigna un nombre al conjunto de columnas seleccionadas y vuelve a hacer clic en Guardar. Para cargar un conjunto de columnas guardadas, haz clic en Cargar y selecciona el conjunto de columnas guardadas de la lista.

Columnas de búsqueda de UDM

Para descargar los eventos que se muestran, haz clic en Más y selecciona Descargar como CSV. Se descargarán todos los resultados de la búsqueda hasta 1 millón de eventos. La interfaz de usuario indicará la cantidad de eventos que descargará.

Buscar columnas

Figura 10: Buscar columnas

Usa la tabla dinámica para analizar eventos

La tabla dinámica te permite analizar eventos con expresiones y funciones en función de los resultados de la búsqueda.

Completa los siguientes pasos para abrir y configurar la tabla dinámica:

  1. Ejecuta una búsqueda.

  2. Haz clic en la pestaña Pivot para abrir la tabla dinámica.

  3. Especifica un valor de Agrupar por para agrupar los eventos por un campo de la AUA específico. Puedes mostrar los resultados con la mayúscula predeterminada o solo en minúsculas seleccionando minúsculas en el menú. Esta opción solo está disponible para los campos de cadena. Para especificar hasta 5 valores de Agrupar por, haz clic en Agregar campo.

    Si el valor de Agrupar por es uno de los campos de nombre de host, tendrás opciones de transformación adicionales:

    • Dominio de nivel N principal: Elige qué nivel del dominio quieres mostrar. Por ejemplo, si usas un valor de 1, solo se muestra el dominio de nivel superior (como com, gov o edu). Si usas un valor de 3, se muestran los siguientes dos niveles de los nombres de dominio (como google.co.uk).
    • Obtener dominio registrado: Muestra solo el nombre de dominio registrado (como google.com, nytimes.com y youtube.com).

    Si el valor de Agrupar por es uno de los campos de IP, tienes opciones de transformación adicionales:

    • Longitud del prefijo CIDR(IP) en bits: Puedes especificar de 1 a 32 para direcciones IPv4. Para las direcciones IPv6, puedes especificar valores de hasta 128.

    Si el valor de Agrupar por incluye una marca de tiempo, tendrás opciones de transformación adicionales:

    • Resolución(tiempo) en milisegundos
    • Resolución(tiempo) en segundos
    • (Tiempo) Resolución en minutos
    • (Tiempo) Resolución en horas
    • (Tiempo) Resolución en días

  4. Especifica un valor para tu eje de pivote en la lista de campos de los resultados. Puedes especificar hasta 5 valores. Después de especificar un campo, debes seleccionar una opción de Resumen. Puedes usar las siguientes opciones para hacer resúmenes:

    • ponderada
    • count
    • count distinct
    • promedio
    • stddev
    • min
    • max

  5. Especifica un valor de Cantidad de eventos para mostrar la cantidad de eventos identificados para esta búsqueda y tabla dinámica en particular.

    Las opciones de Resumen no son compatibles de forma universal con los campos Agrupar por. Por ejemplo, las opciones sum, average, stddev, min y max solo se pueden aplicar a campos numéricos. Si intentas asociar una opción incompatible de Resumen con un campo Agrupar por, recibirás un mensaje de error.

  6. Especifica uno o más campos de la AUA y selecciona uno o más ordenaciones con la opción Ordenar por.

  7. Haz clic en Apply cuando tengas todo listo. Los resultados se muestran en la tabla dinámica.

  8. Opcional: Para descargar la tabla dinámica, haz clic en Más y selecciona Descargar como CSV. Si no seleccionaste un eje, esta opción estará inhabilitada.

Descripción general de las búsquedas guardadas y el historial de búsqueda

Si haces clic en Administrador de búsqueda, podrás recuperar las búsquedas guardadas y ver tu historial de búsqueda. Selecciona una búsqueda guardada para ver información adicional, como el título y la descripción.

Las búsquedas guardadas y el historial de búsquedas tienen las siguientes características:

  • Se almacenan en tu cuenta de Google SecOps.

  • Solo el usuario individual puede verlas y acceder a ellas, a menos que uses la función Compartir una búsqueda para compartirla con tu organización.

Para guardar una búsqueda, haz lo siguiente:

  1. En la página Búsqueda, haz clic en Más junto a Ejecutar búsqueda y, luego, en Guardar búsqueda para usarla más tarde. Se abrirá el diálogo Administrador de búsqueda. Te recomendamos que le des a tu búsqueda guardada un nombre significativo y una descripción en texto sin formato de lo que buscas. También puedes crear una búsqueda nueva desde el diálogo Administrador de búsqueda haciendo clic en Agregar. Las herramientas de edición y finalización estándar de la UDM también están disponibles aquí.

  2. Opcional: Especifica las variables de marcador de posición en el formato ${<variable name>} con el mismo formato que se usa para las variables en YARA-L. Si agregas una variable a una búsqueda, también debes incluir un mensaje para ayudar al usuario a comprender la información que debe ingresar antes de ejecutar la búsqueda. Todas las variadas deben propagarse con valores antes de que se ejecute una búsqueda.

    Por ejemplo, puedes agregar metadata.vendor_name = ${vendor_name} a tu búsqueda. Para ${vendor_name}, debes agregar una instrucción para los usuarios futuros, como Enter the name of the vendor for your search. Cada vez que un usuario carga esta búsqueda en el futuro, se le solicita que ingrese el nombre del proveedor antes de ejecutarla.

  3. Haz clic en Guardar cambios cuando termines.

  4. Para ver las búsquedas guardadas, haz clic en Administrador de búsquedas y, luego, en la pestaña Guardadas.

Para recuperar y ejecutar una búsqueda guardada, haz lo siguiente:

  1. En el diálogo Administrador de búsqueda, selecciona una búsqueda guardada de la lista de la izquierda. Estas búsquedas guardadas se guardan en tu cuenta de Google SecOps.

  2. Opcional: Para borrar una búsqueda, haz clic en Más y selecciona Borrar búsqueda. Solo puedes borrar las búsquedas que creaste.

  3. Puedes cambiar el nombre de la búsqueda y la descripción. Haz clic en Guardar modificaciones cuando termines.

  4. Haz clic en Cargar búsqueda. La búsqueda se carga en el campo de búsqueda principal.

  5. Haz clic en Run Search para ver los eventos asociados con esta búsqueda.

Cómo recuperar una búsqueda de tu historial de búsqueda

Para recuperar y ejecutar una búsqueda desde tu historial de búsqueda, haz lo siguiente:

  1. En el Administrador de búsqueda, haz clic en Historial.

  2. Selecciona una búsqueda de tu historial de búsqueda. Tu historial de búsqueda se guarda en tu cuenta de Google SecOps. Para borrar una búsqueda, haz clic en Borrar.

  3. Haz clic en Cargar búsqueda. La búsqueda se carga en el campo de búsqueda principal.

  4. Haz clic en Ejecutar búsqueda para ver los eventos asociados con esta búsqueda.

Borra, inhabilita o habilita el historial de búsqueda

Para borrar, inhabilitar o habilitar el historial de búsqueda, haz lo siguiente:

  1. En el Administrador de búsqueda, haz clic en la pestaña Historial.

  2. Haz clic en Más.

  3. Selecciona Borrar historial para borrar el historial de búsqueda.

  4. Haz clic en Inhabilitar historial para inhabilitar el historial de búsqueda. Tienes las siguientes opciones:

    • Solo inhabilitar: Inhabilita el historial de búsqueda.

    • Inhabilitar y borrar: Inhabilita el historial de búsqueda y borra el historial de búsqueda guardado.

  5. Si inhabilitaste el historial de búsqueda, puedes volver a habilitarlo haciendo clic en Habilitar el historial de búsqueda.

  6. Haz clic en Cerrar para salir del Administrador de Búsqueda.

Cómo compartir una búsqueda

Las búsquedas compartidas te permiten compartir búsquedas con tu equipo. En la pestaña Guardado, puedes compartir o borrar búsquedas. También puedes filtrar tus búsquedas haciendo clic en filter_altFiltrar junto a la barra de búsqueda y ordenarlas por Mostrar todo, Definido por Google SecOps, De mi autoría o Compartido.

No puedes editar una búsqueda compartida que no sea tuya.

  1. Haz clic en Guardado.
  2. Haz clic en la búsqueda que quieres compartir.
  3. Haz clic en Más en el lado derecho de la búsqueda. Aparecerá un diálogo con la opción para compartir tu búsqueda.
  4. Haz clic en Compartir con tu organización.
  5. Aparecerá un diálogo que indica que las personas de tu organización podrán ver que compartes tu búsqueda. ¿Seguro que quieres compartir? Haz clic en Compartir

Si quieres que solo tú puedas ver la búsqueda, haz clic en Más y, luego, en Dejar de compartir. Si dejas de compartirla, solo tú podrás usar esta búsqueda.

Campos de la AUA que se pueden o no descargar a CSV desde la plataforma

En las siguientes sub secciones, se muestran los campos de la UDM compatibles y no compatibles para la descarga.

Campos disponibles

Puedes descargar los siguientes campos a un archivo CSV desde la plataforma:

  • usuario

  • Nombre de host

  • nombre del proceso

  • tipo de evento

  • timestamp

  • registro sin procesar (solo es válido cuando los registros sin procesar están habilitados para el cliente)

  • Todos los campos que comienzan con "udm.additional"

Tipos de campos válidos

Puedes descargar los siguientes tipos de campos en un archivo CSV:

  • double

  • float

  • int32

  • uint32

  • int64

  • uint64

  • bool

  • string

  • enum

  • bytes

  • google.protobuf.Timestamp

  • google.protobuf.Duration

Campos no compatibles

Los campos que comienzan con "udm" (no udm.additional) y cumplen con cualquiera de las siguientes condiciones no se pueden descargar en CSV:

  • El anidamiento del campo tiene más de 10 niveles de profundidad en el proto de udm.

  • El tipo de datos es Mensaje o Grupo.

¿Qué sigue?

Para obtener información sobre cómo usar datos enriquecidos con contexto en la búsqueda, consulta Cómo usar datos enriquecidos con contexto en la búsqueda.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.