Búsqueda de UDM
La función de búsqueda de UDM le permite encontrar eventos y alertas de Modelo de datos unificados (UDM) dentro de su instancia de Chronicle. La búsqueda de UDM incluye una variedad de opciones de búsqueda, lo que le permite navegar por sus datos de UDM. Puede buscar eventos individuales de UDM y grupos de eventos de UDM vinculados a términos de búsqueda compartidos.
Para obtener más información sobre UDM, consulta Da formato a los datos de registro como UDM y Lista de campos del Modelo de datos unificados.
Acceder a la búsqueda de UDM
Para acceder a la Búsqueda de UDM de Chronicle, selecciona Búsqueda de UDM en el menú de aplicaciones en la página de destino de Chronicle. También puedes acceder a la búsqueda de UDM si ingresas un campo de UDM válido desde cualquier campo de búsqueda en Chronicle y presionas CTRL+Intro.
Para obtener una lista de todos los campos de UDM válidos, consulta la Lista de campos de Modelo de datos unificado.
Figura 1: Búsqueda de UDM
Figura 2. Ventana de búsqueda de UDM (que se abre con CTRL + Intro)
Ingresa una búsqueda de UDM
Complete los siguientes pasos para ingresar una búsqueda de UDM en el campo Búsqueda de UDM. Cuando termine de ingresar una búsqueda de UDM, haga clic en EJECUTAR BÚSQUEDA. La interfaz de usuario de Chronicle solo te permite ingresar una expresión de búsqueda de UDM válida. También puede ajustar el rango de datos que desea buscar al abrir la ventana de período.
Figura 3: Ejecutar búsqueda
Las consultas de UDM se basan en campos de UDM, que se enumeran en la lista de campos de Modelo de datos unificado. También puede ver los campos de UDM en el contexto de búsquedas mediante filtros o la búsqueda de registros sin procesar.
Para buscar eventos, ingresa un nombre de campo UDM en el campo de búsqueda. La interfaz de usuario incluye finalización automática y muestra los campos UDM válidos según lo que ingresó.
Una vez que hayas ingresado un campo UDM válido, selecciona un operador válido. La interfaz de usuario muestra los operadores válidos disponibles según el campo de UDM que ingresaste. Se admiten los operadores siguientes:
<, >
<=, >=
=, !=
nocase
: es compatible con strings.
Una vez que hayas ingresado un campo y un operador UDM válidos, ingresa los datos de registro correspondientes que estás buscando. Se admiten los siguientes tipos de datos:
Valores enumerados: la interfaz de usuario muestra una lista de valores enumerados válidos para un campo UDM determinado.
Por ejemplo (usa comillas dobles y todo en mayúsculas):
metadata.event_type = "NETWORK_CONNECTION"
Valores adicionales: puede utilizar "field[key] = value" para buscar campos adicionales y etiquetar los eventos.
Por ejemplo:
additional.fields["key"]="value"
.Booleanos: Puede utilizar
true
ofalse
(todos los caracteres no distinguen entre mayúsculas y minúsculas, y las palabras clave no se escriben entre comillas).Por ejemplo:
network.dns.response = true
.Números enteros
Por ejemplo:
target.port = 443
.Puntos flotantes: para los campos de UDM del tipo
float
, ingresa un valor de punto flotante, como3.1
. También puedes ingresar un número entero, como3
, que equivale a ingresar3.0
.Por ejemplo:
security_result.about.asset.vulnerabilities.cvss_base_score = 3.1
osecurity_result.about.asset.vulnerabilities.cvss_base_score = 3
.Expresiones regulares: (la expresión regular debe estar dentro de los caracteres de barra diagonal//)
Por ejemplo:
principal.ip = /10.*/
.Para obtener más información sobre las expresiones regulares, consulta la página de expresiones regulares.
Strings
Por ejemplo (debes usar comillas dobles):
metadata.product_name = "Google Cloud VPC Flow Logs"
Puedes usar el operador
nocase
para buscar cualquier combinación de versiones en mayúsculas y minúsculas de una string determinada:principal.hostname != "http-server" nocase
principal.hostname = "JDoe" nocase
principal.hostname = /dns-server-[0-9]+/ nocase
Las barras inversas y las comillas dobles en las strings deben escaparse con un carácter de barra invertida. Por ejemplo:
principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""
Puedes usar expresiones booleanas para acotar aún más el posible intervalo de datos que se muestra. En los siguientes ejemplos, se ilustran algunos tipos de expresiones booleanas compatibles (se pueden usar operadores booleanos
AND
,OR
yNOT
):A AND B
A OR B
(A OR B) AND (B OR C) AND (C OR NOT D)
Los siguientes ejemplos ilustran cómo podría aparecer la sintaxis real:
Eventos de acceso al servidor financiero:
metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"
Ejemplo de cómo usar una expresión regular para buscar la ejecución de la herramienta psexec.exe en Windows
target.process.command_line = /\bpsexec(.exe)?\b/ nocase
Ejemplo de cómo usar el operador mayor que (>) para buscar conexiones de más de 10 MB de datos enviados
metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000
Ejemplo en el que se usan varias condiciones para buscar Winword que inicie cmd.exe o powershell.exe.
metadata.event_type = "PROCESS_LAUNCH" and principal.process.file.full_path = /winword/ and (target.process.file.full_path = /cmd.exe/ or target.process.file.full_path = /powershell.exe/)
También puedes usar la Búsqueda de UDM para buscar pares clave-valor específicos en los campos Adicionales y Etiqueta.
Los campos adicionales y de etiquetas se usan como datos de captura personalizados para los datos de eventos que no se ajustan a un campo de UDM estándar. Los campos adicionales pueden contener varios pares clave-valor. Los campos de etiqueta solo pueden contener un solo par clave-valor. Sin embargo, cada instancia del campo contiene una sola clave y un solo valor. La clave debe estar dentro de los corchetes y el valor debe estar a la derecha.
En los siguientes ejemplos, se muestra cómo buscar eventos que contengan pares clave-valor especificados:
additional.fields["pod_name"] = "kube-scheduler" metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"
En el siguiente ejemplo, se muestra cómo usar el operador AND con búsquedas de pares clave-valor:additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"
Puede usar la siguiente sintaxis para buscar todos los eventos que contengan la clave especificada (independientemente del valor)
additional.fields["pod_name"] != ""
También puedes usar expresiones regulares y la opción nocase:additional.fields["pod_name"] = /br/ additional.fields["pod_name"] = bar nocase
También puedes bloquear los comentarios de una sola línea y bloquearlos.
En el siguiente ejemplo, se muestra cómo usar un comentario de bloqueo:
additional.fields["pod_name"] = "kube-scheduler" /* Block comments can span multiple lines. */ AND additional.fields["pod_name1"] = "kube-scheduler1"
En el siguiente ejemplo, se muestra cómo usar un comentario de una sola línea:
additional.fields["pod_name"] != "" // my single-line comment
Haga clic en EJECUTAR BÚSQUEDA para ejecutar su búsqueda de UDM y mostrar los resultados.
Los eventos se muestran en la página Búsqueda de UDM en la tabla de cronograma de eventos. Puedes restringir los resultados aún más si agregas campos UDM adicionales de forma manual o mediante la interfaz.
Ver alertas en la Búsqueda de UDM
Para ver las alertas, haga clic en la pestaña Alertas a la derecha de la pestaña Eventos en la esquina superior derecha de la página Búsqueda de UDM.
Cómo aparecen las alertas
Chronicle evalúa los eventos que se muestran en la búsqueda de UDM con respecto a los eventos que existen para las alertas en el entorno del cliente. Cuando un evento de búsqueda coincide con un evento presente en una alerta, se muestra en el cronograma de la alerta y en la tabla de alertas resultante.
Definición de eventos y alertas
Un evento se genera a partir de una fuente de registro sin procesar que se transfiere a Chronicle y se procesa mediante el proceso de transferencia y normalización de Chronicle. Se pueden generar varios eventos desde un único registro de origen de registro sin procesar. Un evento representa un conjunto de datos relevantes para la seguridad que se generan a partir de ese registro sin procesar.
En una búsqueda de UDM, una alerta se define como una detección de reglas YARA-L con las alertas habilitadas. Consulte cómo ejecutar una regla en comparación con los datos activos para obtener más información.
Se pueden transferir otras fuentes de datos a Chronicle como alertas, como las Alertas de halcones de Crowdstrike. Estas alertas no se mostrarán en la búsqueda de UDM, a menos que el motor de detección de Chronicle las procese como una regla YARA-L.
Figura 4: Cronograma de alertas
Los eventos asociados con una o más alertas se marcan con un chip de Alerta en el cronograma de eventos. Si hay varias alertas asociadas con el cronograma, el chip muestra la cantidad de alertas asociadas.
El cronograma muestra las 1,000 alertas más recientes obtenidas de los resultados de la búsqueda. Cuando se alcanza el límite de 1,000, no se recuperan más alertas. Para asegurarte de ver todos los resultados relevantes para tu búsqueda, define mejor la búsqueda con filtros.
Cómo investigar una alerta
Para obtener más información sobre una alerta, haz clic en ella. Esto abrirá el Visualizador de alertas en el lado derecho de esa alerta, que muestra los detalles de la alerta, incluida la ventana de detección y la puntuación de riesgo.
Figura 5: Visualizador de alertas
Para ver más detalles sobre una alerta, haz clic en Ver detalles. La página Detalles de la alerta se abre para obtener más información sobre esa alerta.
Figura 6: Detalles de la alerta
Cómo usar listas de referencia en búsquedas de UDM
El proceso para aplicar listas de referencia en Reglas también se puede usar en la búsqueda. Se pueden incluir hasta siete listas en una sola consulta de búsqueda. Se admiten todos los tipos de listas de referencia (string, expresión regular, CIDR).
Puede crear listas de las variables a las que desea realizar un seguimiento. Por ejemplo, puedes crear una lista de direcciones IP sospechosas:
// Field value exists in reference list principal.ip IN %suspicious_ips
Además, puedes usar varias listas mediante AND
o OR
:
// multiple lists can be used with AND or OR principal.ip IN %suspicious_ips AND principal.hostname IN %suspicious_hostnames
Definir mejor los resultados de la búsqueda
Puedes usar la interfaz de usuario de búsqueda de UDM para filtrar y definir mejor los resultados como alternativa a modificar la búsqueda de UDM y volver a ejecutarla.
Gráfico de cronograma
El gráfico de cronograma proporciona una representación gráfica de la cantidad de eventos y alertas que se producen cada día que aparecen en la búsqueda actual de UDM. Los eventos y las alertas se muestran en el mismo gráfico de cronograma, que está disponible en la pestaña Eventos y Alertas.
El ancho de cada barra depende del intervalo de tiempo buscado. Por ejemplo, cada barra representa 10 minutos cuando la búsqueda abarca 24 horas de datos. Este gráfico se actualiza de forma dinámica a medida que modificas la búsqueda de UDM existente.
Figura 8: Gráfico de cronograma de eventos
Ajuste del intervalo de tiempo
Puede ajustar el intervalo de tiempo del gráfico moviendo los controles deslizantes blancos hacia la izquierda y la derecha para ajustar el intervalo de tiempo y enfocarse en el período de interés. A medida que ajusta el intervalo de tiempo, las tablas de UDM Fields and Values y Events se actualizan para reflejar la selección actual. También puede hacer clic en una sola barra del gráfico para ver solo los eventos de ese período.
Una vez que ajuste el intervalo de tiempo, aparecerán las casillas de verificación Eventos filtrados y Eventos de la consulta, lo que le permitirá limitar aún más los tipos de eventos que se muestren.
Figura 9: Gráfico de cronograma de eventos con controles de intervalo de tiempo
Modifique la búsqueda de UDM con Filtros rápidos
Con los Filtros rápidos, puede delimitar aún más su búsqueda de UDM. Puedes desplazarte por la lista de campos UDM o buscar campos o valores específicos de UDM con el campo Search. Los campos de UDM que se enumeran aquí están asociados a las listas existentes de eventos generados por tu búsqueda de UDM. Cada campo de UDM incluye la cantidad de eventos de su búsqueda de UDM actual que también incluyen esta información. La lista de campos de UDM muestra la cantidad total de valores únicos dentro de un campo. Esta función te permite buscar tipos específicos de datos de registro que podrían ser de mayor interés.
Los campos de UDM se enumeran en el siguiente orden:
- Los campos con el evento más alto se consideran para los recuentos de eventos más bajos.
- Los campos con solo 1 valor son siempre los últimos.
- Los campos que tengan el mismo recuento de eventos, están ordenados alfabéticamente de la A a la Z.
Figura 10: Filtros rápidos
Cómo modificar un filtro rápido
Si selecciona un valor de campo UDM en la lista de Filtros rápidos y hace clic en el ícono de menú, tendrá la opción de Mostrar solo los eventos que también incluyen ese valor de campo UDM o de Filtrar ese valor de campo UDM. Si el campo de UDM almacena valores de números enteros (ejemplo: target.port
), también verás opciones para filtrar por <,>,<=,>=
. Las opciones de filtro acortan la lista de eventos que se muestran.
También puedes fijar campos (mediante el ícono de alfiler) en Quick Filter para guardarlos como favorito. Aparecerán en la parte superior de la lista de Filtros rápidos.
Figura 11: Ejemplo: Selecciona "Mostrar solo".
Estos filtros UDM adicionales también se agregan al campo de filtro de eventos anterior. El campo de eventos de filtro lo ayuda a realizar un seguimiento de los campos UDM adicionales que agregó a la búsqueda de UDM. También puedes quitar con rapidez estos campos UDM adicionales según sea necesario.
Figura 12: Filtrar eventos
Si hace clic en el ícono de menú Eventos de filtro o en Agregar filtro a la izquierda, se abrirá una ventana que le permitirá seleccionar campos UDM adicionales.
Figura 13: Ventana de filtro de eventos
Cuando haces clic en APPLY to Search and Run, los campos de UDM se agregan al campo Filtrar eventos (consulta la Figura 8), y los eventos mostrados se filtran según esos filtros adicionales. También puede hacer clic en Apply to Search and Run para agregarlos al campo principal de Búsqueda de UDM en la parte superior de la página. La búsqueda se ejecuta automáticamente de nuevo con los mismos parámetros de fecha y hora. Google recomienda restringir la búsqueda lo más posible antes de hacer clic en APLICAR para buscar y ejecutar. Esto ayuda a mejorar la precisión y reduce los tiempos de búsqueda.
Ver eventos en la tabla Eventos
Todos estos filtros y controles actualizarán la lista de eventos que se muestra en la tabla Eventos. Haga clic en cualquiera de los eventos de la lista para abrir el visor de registros, donde podrá examinar el registro sin procesar y el registro de UDM para ese evento. Si haces clic en la marca de tiempo de un evento, también puedes navegar a los activos, la dirección IP, el dominio, el hash o la vista de usuario asociados. También puede usar el campo Buscar en la parte superior de la tabla para buscar un evento específico.
Figura 14: Tabla de eventos
Ver alertas en la tabla de alertas
Para ver las alertas, haz clic en la pestaña Alertas que se encuentra sobre la derecha de la pestaña Eventos. Puede utilizar los Filtros rápidos para ordenar las alertas de la siguiente manera:
- Caso
- Nombre
- Prioridad
- Gravedad
- Estado
- Veredictos
Esto le permite enfocarse en las alertas más importantes para usted.
Las alertas se muestran en el mismo período que los eventos en la pestaña Eventos. Esto le permite ver con facilidad la conexión entre eventos y alertas.
Si deseas obtener más información acerca de una alerta específica, haz clic en la alerta, y se abrirá una página individual con los detalles de la alerta que contiene información más detallada acerca de esa alerta.
Ver eventos en Event Viewer
Si te desplazas sobre un evento en la tabla Eventos, aparece el ícono del visualizador de eventos abierto en el lado derecho del evento destacado. Haz clic en él para abrir el Visualizador de eventos.
Figura 15: Visualizador de eventos
La ventana Registro sin procesar muestra el registro sin procesar original en cualquiera de los siguientes formatos:
- Datos
- JSON
- XML
- CSV
- Hexadecimal/ASCII
La ventana de UDM muestra el registro de UDM estructurado. Puedes colocar el cursor sobre cualquiera de los campos de UDM y una ventana emergente mostrará su definición. Si seleccionas la casilla de verificación de los campos de UDM, obtienes opciones adicionales:
Puedes copiar el registro de UDM. Selecciona uno o más campos UDM y, luego, la opción Copiar UDM en el menú desplegable Ver acciones. Los campos y los valores de UDM se copian en el portapapeles del sistema.
Para agregar los campos de UDM como columnas en la tabla Eventos, selecciona la opción Agregar columnas del menú desplegable Ver acciones.
Usar la opción Columnas para la búsqueda de UDM
Utilice la opción Columnas para ajustar las columnas de información que se muestran en la tabla Eventos. Aparecerá el menú emergente Columnas. Las opciones disponibles varían según los tipos de eventos que muestra la búsqueda de UDM.
De forma opcional, puede guardar el conjunto de columnas que seleccionó aquí. Para ello, haga clic en Guardar. Asigne un nombre al conjunto de columnas seleccionadas y vuelva a hacer clic en Guardar. Para cargar un conjunto de columnas guardadas, haga clic en Cargar y seleccione el conjunto de columnas guardadas de la lista.
Para descargar los eventos que se muestran, haz clic en el menú de tres puntos y selecciona Descargar como CSV. Se descargarán todos los resultados de la búsqueda hasta un millón de eventos. La interfaz de usuario indicará la cantidad de eventos que se descargarán.
Figura 16: Columnas de Búsqueda de UDM
Cómo realizar una búsqueda en Búsquedas rápidas
Haga clic en Búsquedas rápidas para abrir la ventana de Búsquedas rápidas. Esta ventana muestra tus búsquedas guardadas y el historial de búsqueda.
Haga clic en cualquiera de las búsquedas enumeradas para cargarla en el campo de búsqueda de UDM.
Haz clic en Ejecutar búsqueda cuando estés listo.
Las búsquedas enumeradas se guardan en tu cuenta de Chronicle. Si necesitas modificar alguna de las búsquedas guardadas (por ejemplo, cambiar el nombre de una búsqueda existente), eliminar búsquedas guardadas o eliminar las búsquedas del historial de búsquedas, abre el Administrador de búsquedas haciendo clic en Ver todas las búsquedas.
Cómo usar plantillas en Búsquedas rápidas
- Para abrir las Búsquedas rápidas, haz clic en Búsquedas rápidas a la derecha de Búsqueda de UDM.
- Aparecerán tres paneles: Saved (Guardados), Templates (Plantillas) y History (Historial). Templates contiene plantillas prediseñadas. Cada una incluye una breve descripción de la tarea que realizará la búsqueda.
- Cuando haces clic en una de las plantillas, se puede cargar directamente en el editor (si no se necesita información) o abrirse en un panel nuevo (si se necesita una entrada).
- Si elige una que requiera entradas (por ejemplo, Accesos de usuario por producto/proveedor), ingrese los valores obligatorios en los campos abiertos. Debe completar todos los campos si es necesario realizar la búsqueda.
- Después de ingresar su información, haga clic en Cargar búsqueda. Esto cargará la plantilla en el editor.
Para salir de Búsquedas rápidas, haga clic en Cancelar y se lo redirigirá nuevamente al panel de Búsquedas rápidas.
Las búsquedas enumeradas se guardan en tu cuenta de Chronicle. Si necesitas modificar alguna de las búsquedas guardadas (por ejemplo, cambiar el nombre de una búsqueda existente), eliminar búsquedas guardadas o eliminar las búsquedas del historial de búsquedas, abre el Administrador de búsquedas haciendo clic en Ver todas las búsquedas.
Figura 17: Ventana de Búsquedas rápidas
Descripción general de las búsquedas guardadas y del historial de búsqueda
Usa el Administrador de búsqueda para recuperar búsquedas guardadas y hacer clic en Administrador de búsqueda para ver tu historial de búsqueda. Las búsquedas guardadas y el historial de búsqueda se almacenan en tu cuenta de Chronicle. Solo los usuarios individuales pueden ver las búsquedas guardadas y el historial de búsqueda, a menos que utilicen la función de búsqueda compartida para compartir la búsqueda con su organización.
Figura 18: Search Manager
Cómo usar plantillas en Search Manager
- Abre el Administrador de búsqueda. Para ello, haz clic en la pestaña Administrador de búsqueda junto a Búsquedas rápidas.
- Aparecerán tres pestañas: Guardado, Plantillas y, también, Historial. Haz clic en Plantillas.
- Elige la plantilla que deseas usar.
- Si seleccionó una plantilla que requiere entradas adicionales, ingrese la información necesaria en los campos abiertos y, luego, haga clic en Cargar búsqueda. Si seleccionó una plantilla que no requiere que ingrese información, haga clic en Cargar búsqueda.
Guardar una búsqueda
Para guardar una búsqueda:
En la página de búsqueda de UDM, haz clic en GUARDAR para guardar tu búsqueda de UDM y usarla más adelante. Se abrirá Search Manager. Google recomienda asignarle un nombre significativo a tu búsqueda guardada.
Haga clic en Guardar cambios cuando haya finalizado.
Para ver las búsquedas guardadas, haz clic en Administrador de búsqueda y, luego, en la pestaña Búsquedas guardadas.
Recuperar una búsqueda guardada
Para recuperar y ejecutar una búsqueda guardada:
Haga clic en Búsquedas guardadas.
Seleccione una búsqueda guardada de la lista. Las búsquedas guardadas se guardan en tu cuenta de Chronicle. Para borrar una búsqueda, haz clic en Borrar.
Puedes cambiar el nombre de la búsqueda. Haga clic en Guardar cambios cuando haya finalizado.
Haz clic en Load Search. La búsqueda se carga en el campo de búsqueda principal de UDM.
Haga clic en EJECUTAR BÚSQUEDA para ver los eventos asociados con esta búsqueda.
Recuperar una búsqueda del historial de búsqueda
Para recuperar y ejecutar una búsqueda desde tu historial de búsqueda:
Haz clic en Historial de búsquedas.
Selecciona una búsqueda en el historial de búsquedas. El historial de búsqueda se guarda en tu cuenta de Chronicle. Para borrar una búsqueda, haz clic en Borrar.
Haz clic en Load Search. La búsqueda se carga en el campo de búsqueda principal de UDM.
Haga clic en EJECUTAR BÚSQUEDA para ver los eventos asociados con esta búsqueda.
Cómo borrar, inhabilitar o habilitar el historial de búsqueda
Para borrar, inhabilitar o habilitar el historial de búsqueda:
Haz clic en
.Selecciona Borrar el historial de búsqueda para borrar el historial.
Haz clic en Inhabilitar para inhabilitar el historial de búsquedas. Tendrás las siguientes opciones:
Inhabilitar solo: inhabilita el historial de búsqueda.
Inhabilitar y borrar: Inhabilita el historial de búsqueda y borra el historial guardado.
Si inhabilitaste el historial de búsqueda anteriormente, puedes volver a habilitarlo haciendo clic en Habilitar historial de búsqueda.
Haz clic en Cerrar para salir de la ventana de Search Manager.
Compartir una búsqueda
Las búsquedas compartidas le permiten compartir búsquedas con el resto del equipo. En la pestaña Búsquedas guardadas, puedes compartir, duplicar o borrar búsquedas. Para filtrar tus búsquedas, también puedes hacer clic en el ícono de filtro junto a la barra de búsqueda y ordenar las búsquedas por Todos, Compartidos o Editado por mí.
Si modifica una búsqueda compartida, tendrá que guardarla como su propia búsqueda guardada. Las modificaciones no actualizarán la Búsqueda compartida original.
- Haga clic en Búsquedas guardadas.
- Haz clic en la búsqueda que quieres compartir.
- Haz clic en en el lado derecho de la búsqueda. Aparecerá un cuadro de diálogo con la opción de compartir tu búsqueda.
- Haz clic en Compartir con todos.
- Aparecerá una ventana emergente que le indicará que los miembros de su organización podrán compartir su búsqueda. ¿Estás seguro de que deseas compartirlo? Haz clic en Sí, compartir.
Si quieres que solo tú puedas ver la búsqueda, haz clic en
y, luego, en Hacer privada. Si dejas de compartir, solo tú puedes usar esta búsqueda.