Recherche UDM

Compatible avec :

La fonction de recherche UDM vous permet de rechercher des événements et des alertes UDM (Unified Data Model) dans votre instance Google Security Operations. La recherche UDM inclut différents qui vous aident à parcourir vos données UDM. Vous pouvez rechercher pour les événements UDM individuels et les groupes d'événements UDM associés à des termes de recherche partagés.

Sur les systèmes qui utilisent le RBAC des données, vous ne pouvez voir que les données qui correspondent à vos champs d'application. Pour en savoir plus, consultez Impact du RBAC sur les données dans la recherche.

Pour les clients Google Security Operations, les alertes peuvent aussi être ingérées les connecteurs et les webhooks. Vous pouvez également utiliser la recherche UDM pour trouver ces alertes.

Pour en savoir plus sur l'UDM, consultez Mettre en forme les données des journaux en tant que UDM et Liste des champs du modèle de données unifié.

Pour accéder à la recherche UDM de Google Security Operations, cliquez sur Rechercher dans la barre de navigation. Vous pouvez également accéder à la recherche UDM en saisissant un champ UDM valide dans n'importe quel champ de recherche de Google Security Operations, puis en appuyant sur CTRL+Entrée.

Pour obtenir la liste de tous les champs UDM valides, consultez la section Liste des champs du modèle de données unifié.

Recherche UDM

Figure 1. Recherche UDM

Recherche UDM vide

Figure 2 Fenêtre de recherche UDM qui s'ouvre avec CTRL+Entrée

Pour saisir une recherche UDM dans le champ UDM Search (Recherche UDM), procédez comme suit : Lorsque vous avez terminé de saisir une recherche UDM, cliquez sur Exécuter la recherche. Google Security Operations l'interface utilisateur vous permet uniquement de saisir une expression de recherche UDM valide. Vous pouvez également ajuster la plage de données à rechercher en ouvrant la fenêtre de la période.

Si votre recherche est trop large, Google Security Operations affiche un message d'avertissement indiquant qu'il ne peut pas afficher tous les résultats de recherche. Réduisez la portée de la recherche et exécutez-la à nouveau. Lorsqu'une recherche est trop large, Google Security Operations renvoie les résultats les plus récents jusqu'à la limite de recherche (un million d'événements et mille alertes). Il pourrait y avoir beaucoup plus d'événements et d'alertes qui correspondent, mais qui ne s'affichent pas pour le moment. Gardez cela à l'esprit lorsque vous analysez les résultats. Google recommande d'appliquer des filtres supplémentaires et d'exécuter la recherche d'origine jusqu'à ce que vous soyez en dessous de la limite.

La page des résultats de recherche UDM affiche les dix mille résultats les plus récents. Vous pouvez filtrer et affiner les résultats de recherche pour afficher les anciens résultats au lieu de modifier la recherche UDM et de la relancer.

Date et recherche d'exécution

Figure 3. Lancer la recherche

Les requêtes UDM sont basées sur des champs UDM, qui sont tous listés dans la liste des champs du modèle de données unifié. Vous pouvez également afficher les champs UDM dans le contexte des recherches à l'aide de filtres ou de la recherche dans les journaux bruts.

  1. Pour rechercher des événements, saisissez un nom de champ UDM dans le champ de recherche. L'interface utilisateur inclut la saisie automatique et affiche les champs UDM valides en fonction de ce que vous avez saisi.

  2. Une fois que vous avez saisi un champ UDM valide, sélectionnez un opérateur valide. L'interface utilisateur affiche les opérateurs valides disponibles en fonction du champ UDM que vous avez saisi. Les opérateurs suivants sont acceptés :

    • <, >
    • <=, >=
    • =, !=
    • nocase : accepté pour les chaînes

  3. Une fois que vous avez saisi un champ et un opérateur UDM valides, saisissez les données de journal correspondantes que vous recherchez. Les types de données suivants sont acceptés :

    • Valeurs énumérées : l'interface utilisateur affiche une liste de valeurs énumérées valides pour un champ UDM donné.

      Par exemple (utilisez des guillemets doubles et tout en majuscules): metadata.event_type = "NETWORK_CONNECTION"

    • Valeurs supplémentaires:vous pouvez utiliser "champ[clé] = valeur". pour rechercher des champs supplémentaires et libellés pour des événements.

      Par exemple : additional.fields["key"]="value"

    • Valeurs booléennes : vous pouvez utiliser true ou false (tous les caractères sont insensibles à la casse et le mot clé n'est pas mis entre guillemets).

      Par exemple : network.dns.response = true

    • Entiers

      Par exemple : target.port = 443

    • Flottants:pour les champs UDM de type float, saisissez une valeur à virgule flottante telle que 3.1. Vous pouvez également saisir un entier, tel que 3, ce qui équivaut à saisir 3.0.

      Par exemple : security_result.about.asset.vulnerabilities.cvss_base_score = 3.1 ou security_result.about.asset.vulnerabilities.cvss_base_score = 3.

    • Expressions régulières : (les expressions régulières doivent se trouver à l'intérieur des barres obliques (/)) :

      Par exemple : principal.ip = /10.*/

      Pour en savoir plus, consultez la page Expressions régulières.

    • Chaînes

      Par exemple (vous devez utiliser des guillemets doubles): metadata.product_name = "Google Cloud VPC Flow Logs"

  4. Vous pouvez utiliser l'opérateur nocase pour rechercher n'importe quelle combinaison de versions majuscules et minuscules d'une chaîne donnée:

    • principal.hostname != "http-server" nocase
    • principal.hostname = "JDoe" nocase
    • principal.hostname = /dns-server-[0-9]+/ nocase

  5. Les barres obliques inverses et les guillemets doubles des chaînes doivent être échappés à l'aide d'une barre oblique inverse. Exemple :

    • principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
    • target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""

  6. Vous pouvez utiliser des expressions booléennes pour réduire encore davantage la plage de données affichées. Les exemples suivants illustrent certains types d'expressions booléennes compatibles (vous pouvez utiliser les opérateurs booléens AND, OR et NOT):

    • A AND B
    • A OR B
    • (A OR B) AND (B OR C) AND (C OR NOT D)

    Les exemples suivants montrent comment la syntaxe réelle peut apparaître :

    Événements de connexion au serveur Finance : 

    metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"

    Exemple d'utilisation d'une expression régulière pour rechercher l'exécution de l'outil psexec.exe sous Windows. 

    target.process.command_line = /\bpsexec(.exe)?\b/ nocase

    Exemple d'utilisation de l'opérateur "plus de" (>) pour rechercher des connexions dans lesquelles plus de 10 Mo de données ont été envoyées. 

    metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000

    Exemple utilisant plusieurs conditions pour rechercher Winword en lançant cmd.exe ou powershell.exe 

        metadata.event_type = "PROCESS_LAUNCH" and
    principal.process.file.full_path = /winword/ and
    (target.process.file.full_path = /cmd.exe/ or
    target.process.file.full_path = /powershell.exe/)

  7. Vous pouvez également utiliser la recherche UDM pour rechercher des paires clé-valeur spécifiques dans les champs "Additional" (Supplémentaire) et "Label" (Libellé).

    Les champs "Additional" (Supplémentaire) et "Label" (Libellé) sont utilisés comme "tout-en-un" personnalisable pour les données d'événement qui ne rentrent pas dans un champ UDM standard. Les champs supplémentaires peuvent contenir plusieurs paires clé/valeur. Les champs de libellé ne peuvent contenir qu'une seule paire clé-valeur. Cependant, chaque instance du champ ne contient qu'une seule clé et une seule valeur. La clé doit être placée entre crochets et la valeur doit se trouver à droite.

    Les exemples suivants montrent comment rechercher des événements contenant des paires clé-valeur spécifiées: 

        additional.fields["pod_name"] = "kube-scheduler"
    metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"
     L'exemple suivant montre comment utiliser l'opérateur AND dans les recherches de paires clé-valeur: 
        additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"

    Vous pouvez utiliser la syntaxe suivante pour rechercher tous les événements contenant la clé spécifiée (quelle que soit la valeur) : 

        additional.fields["pod_name"] != ""
     Vous pouvez également utiliser des expressions régulières et l'opérateur nocase: 
        additional.fields["pod_name"] = /br/
    additional.fields["pod_name"] = bar nocase

  8. Vous pouvez également utiliser des commentaires par blocs et sur une seule ligne.

    L'exemple suivant montre comment utiliser un commentaire de blocage: 

        additional.fields["pod_name"] = "kube-scheduler"
    /*
    Block comments can span
    multiple lines.
    */
    AND additional.fields["pod_name1"] = "kube-scheduler1"

    L'exemple suivant montre comment utiliser un commentaire sur une seule ligne: 

        additional.fields["pod_name"] != "" // my single-line comment

  9. Cliquez sur Run Search (Lancer la recherche) pour exécuter votre recherche UDM et afficher les résultats.

  10. Les événements s'affichent sur la page Recherche dans la base de données UDM dans le tableau de la chronologie des événements. Vous pouvez affiner davantage les résultats en ajoutant des champs UDM supplémentaires manuellement ou à l'aide de l'interface.

Rechercher dans les champs groupés

Les champs groupés sont des alias de groupes de champs UDM associés. Vous pouvez les utiliser pour interroger plusieurs champs UDM en même temps sans avoir à les saisir individuellement.

L'exemple suivant montre comment saisir une requête pour faire correspondre les champs UDM courants susceptibles de contenir l'adresse IP spécifiée : 

    ip = "1.2.3.4"

Vous pouvez faire correspondre un champ groupé à l'aide d'une expression régulière et de l'opérateur nocase. Les listes de références sont également acceptées. Les champs groupés peuvent également être utilisés en combinaison avec des champs UDM standards, comme illustré dans l'exemple suivant: 

    ip = "5.6.7.8" AND metadata.event_type = "NETWORK_CONNECTION"

Les champs regroupés figurent dans une section distincte de Agrégations.

Types de champs UDM groupés

Vous pouvez effectuer une recherche dans tous les champs UDM groupés suivants:

Nom du champ groupé Champs UDM associés
domaine about.administrative_domain
about.asset.network_domain
network.dns.questions.name
network.dns_domain
principal.administrative_domain
principal.asset.network_domain
target.administrative_domain
target.asset.hostname
target.asset.network_domain
target.hostname
e-mail intermediary.user.email_addresses
network.email.from
network.email.to
principal.user.email_addresses
security_result.about.user.email_addresses
target.user.email_addresses
file_path principal.file.full_path
principal.process.file.full_path
principal.process.parent_process.file.full_path
target.file.full_path
target.process.file.full_path
target.process.parent_process.file.full_path
hash about.file.md5
about.file.sha1
about.file.sha256
principal.process.file.md5
principal.process.file.sha1
principal.process.file.sha256
security_result.about.file.sha256
target.file.md5
target.file.sha1
target.file.sha256
target.process.file.md5
target.process.file.sha1
target.process.file.sha256
nom d'hôte intermediary.hostname
observer.hostname
principal.asset.hostname
principal.hostname
src.asset.hostname
src.hostname
target.asset.hostname
target.hostname
ip intermediary.ip
observer.ip
principal.artifact.ip
principal.asset.ip
principal.ip
src.artifact.ip
src.asset.ip
src.ip
target.artifact.ip
target.asset.ip
target.ip
espace de noms principal.namespace
src.namespace
target.namespace
process_id principal.process.parent_process.pid
principal.process.parent_process.product_specific_process_id
principal.process.pid
principal.process.product_specific_process_id
target.process.parent_process.pid
target.process.parent_process.product_specific_process_id
target.process.pid
target.process.product_specific_process_id
utilisateur about.user.userid
observer.user.userid
principal.user.user_display_name
principal.user.userid
principal.user.windows_sid
src.user.userid
target.user.user_display_name
target.user.userid
target.user.windows_sid

Trouver un champ UDM pour une requête de recherche

Lorsque vous rédigez une requête de recherche UDM, vous ne savez peut-être pas quel champ UDM inclure. La recherche UDM vous permet de trouver rapidement un nom de champ UDM contenant une chaîne de texte dans le nom ou qui stocke une valeur de chaîne spécifique. Il n'est pas destiné à être utilisé pour rechercher d'autres types de données, tels que des octets, des valeurs booléennes, ou numérique. Vous sélectionnez un ou plusieurs résultats renvoyés par la recherche UDM comme point de départ d'une requête de recherche UDM.

Pour utiliser la recherche UDM, procédez comme suit :

  1. Sur la page Recherche UDM, saisissez une chaîne de texte dans le champ Rechercher des champs UDM par valeur. puis cliquez sur UDM Lookup.

  2. Dans la boîte de dialogue Recherche UDM, sélectionnez une ou plusieurs des options suivantes pour spécifier la portée des données à rechercher :

    • Champs UDM : recherchez du texte dans les noms de champs UDM, par exemple network.dns.questions.name ou principal.ip.
    • Values (Valeurs) : recherchez du texte dans les valeurs attribuées aux champs UDM (par exemple, dns). ou google.com.

  3. Saisissez ou modifiez la chaîne dans le champ de recherche. À mesure que vous saisissez du texte, les résultats de recherche s'affichent dans la boîte de dialogue.

    Les résultats sont légèrement différents lorsque vous effectuez une recherche dans Champs UDM par rapport à Valeurs. Lorsque vous recherchez du texte dans Valeurs, les résultats s'affichent comme suit :

    • Si la chaîne se trouve au début ou à la fin de la valeur, il est mis en surbrillance dans le résultat, avec le nom du champ UDM et l'heure le journal a été ingéré.
    • Si la chaîne de texte est trouvée ailleurs dans la valeur, le résultat affiche le nom du champ UDM et le texte Correspondance de valeur possible.

    Rechercher dans les valeurs

    Rechercher des valeurs dans la recherche UDM

    • Lorsque vous recherchez une chaîne de texte dans les noms de champs UDM, la recherche UDM renvoie une correspondance exacte trouvée à n'importe quel endroit du nom.

    Rechercher dans les champs UDM

    Rechercher dans les champs UDM dans la recherche UDM

  4. Dans la liste des résultats, vous pouvez effectuer les opérations suivantes :

    • Cliquez sur le nom d'un champ UDM pour afficher sa description.

    • Sélectionnez un ou plusieurs résultats en cochant la case située à gauche de chaque nom de champ UDM.

    • Cliquez sur le bouton Réinitialiser pour désélectionner tous les champs sélectionnés dans la liste des résultats.

  5. Pour ajouter les résultats sélectionnés au champ Recherche UDM, cliquez sur le bouton Ajouter à la recherche.

    Vous pouvez également copier le résultat sélectionné à l'aide du bouton Copier la UDM, puis fermer la boîte de dialogue Recherche UDM et coller la chaîne de requête de recherche dans le champ Recherche UDM.

    Google Security Operations convertit le résultat sélectionné en chaîne de requête de recherche UDM en tant que nom de champ UDM ou paire nom-valeur. Si vous ajoutez plusieurs résultats, chaque résultat est ajouté à la fin d'une requête existante dans le champ de recherche UDM à l'aide de l'opérateur OR.

    La chaîne de requête ajoutée diffère selon le type de correspondance renvoyé par Recherche UDM.

    • Si le résultat correspond à une chaîne de texte d'un nom de champ UDM, le champ UDM complet est ajouté à la requête. En voici un exemple :

      principal.artifact.network.dhcp.client_hostname

    • Si le résultat correspond à une chaîne de texte au début ou à la fin d'une valeur, la paire nom-valeur contient le nom du champ UDM et la valeur complète dans le résultat. Voici quelques exemples :

      metadata.log_type = "PCAP_DNS"

      network.dns.answers.name = "dns-A901F3j.hat.example.com"

    • Si le résultat inclut le texte Correspondance de valeur possible, la paire nom/valeur contient le nom du champ UDM et une expression régulière contenant le terme de recherche. En voici un exemple :

      principal.process.file.full_path = /google/ NOCASE

  6. Modifiez la requête de recherche UDM pour répondre à votre cas d'utilisation. La chaîne de requête La recherche UDM générée constitue un point de départ pour rédiger une requête de recherche UDM complète.

Résumé du comportement de la recherche UDM

Cette section fournit plus d'informations sur les fonctionnalités de recherche UDM.

  • Données de recherche ingérées par UDM Lookup après le 10 août 2023. Les données ingérées avant cette date ne sont pas recherchées. Elle renvoie les résultats trouvés dans les champs UDM non enrichis. Il ne renvoie pas de correspondances avec les champs enrichis. Pour en savoir plus sur les champs "Enrichi" et "Non enrichi", consultez Afficher des événements dans l'observateur d'événements.
  • Les recherches UDM Lookup ne sont pas sensibles à la casse. Le terme hostname renvoie même résultat que HostName.
  • Les traits d'union (-) et les traits de soulignement (_) dans une chaîne de texte de requête sont ignorés lorsque en recherchant Values (Valeurs). Les chaînes de texte dns-l et dnsl renvoient toutes les deux la valeur dns-l.

  • Lors de la recherche de valeurs, UDM Lookup ne renvoie pas de correspondances dans les cas suivants:

    Correspondances dans les champs UDM suivants:
    • metadata.product_log_id
    • network.session_id
    • security_result.rule_id
    • network.parent_session_id
    Correspondances dans les champs UDM avec un chemin d'accès complet se terminant par l'une des valeurs suivantes :
    • .pid
      Par exemple target.process.pid.
    • .asset_id
      Par exemple principal.asset_id.
    • .product_specific_process_id
      Par exemple principal.process.product_specific_process_id.
    • .resource.id
      Par exemple, principal.resource.id.

  • Lors de la recherche de Valeurs, UDM Lookup affiche le message Correspondance de valeur possible. dans le résultat lorsqu'une correspondance est trouvée dans les cas suivants:

    Correspondances dans les champs UDM suivants :
    • metadata.description
    • security_result.description
    • security_result.detection_fields.value
    • security_result.summary
    • network.http.user_agent
    Correspond aux champs avec un chemin d'accès complet se terminant par l'une des valeurs suivantes :
    • .command_line
      Par exemple principal.process.command_line.
    • .file.full_path
      Par exemple principal.process.file.full_path.
    • .labels.value
      Par exemple, src.labels.value.
    • .registry.registry_key
      Par exemple, principal.registry.registry_key.
    • .url
      Par exemple principal.url.
    Correspond aux champs avec un chemin d'accès complet commençant par les valeurs suivantes : additional.fields.value.
    Par exemple additional.fields.value.null_value.

Pour afficher les alertes, cliquez sur l'onglet Alertes à droite de l'onglet Événements en haut à droite de la page Recherche dans la base de données UDM.

Mode d'affichage des alertes

Google Security Operations compare les événements renvoyés lors de la recherche UDM aux événements qui existent pour les alertes dans l'environnement client. Lorsqu'un événement de requête de recherche correspond à un événement présent dans une alerte, il s'affiche dans la chronologie de l'alerte et dans le tableau des alertes qui en résulte.

Définition d'événements et d'alertes

Un événement est généré à partir d'une source de journal brute qui est ingéré dans Google Security Operations et traité par le processus d'ingestion et de normalisation de Google Security Operations. Plusieurs événements peuvent être générés à partir d'un seul enregistrement de source de journal brut. Un événement représente un ensemble de points de données pertinents pour la sécurité générés à partir de ce journal brut.

Dans une recherche UDM, une alerte est définie comme une détection de règle YARA-L avec l'alerte activée. Pour en savoir plus, consultez la section Exécuter une règle concernant des données actives.

D'autres sources de données peuvent être ingérées dans Google Security Operations sous forme d'alertes telles que les alertes CrowdStrike Falcon. Ces alertes ne s'affichent pas dans la recherche UDM, sauf si elles sont traitées par le moteur de détection Google Security Operations en tant que règle YARA-L.

Les événements associés à une ou plusieurs alertes sont signalés par un chip d'alerte dans la chronologie des événements. Si plusieurs alertes sont associées à la chronologie, le chip affiche le nombre d'alertes associées.

La chronologie affiche les 1 000 alertes les plus récentes extraites des résultats de recherche. Lorsque cette limite est atteinte, plus aucune alerte n'est récupérée. Pour afficher tous les résultats pertinents, affinez votre recherche à l'aide de filtres.

Examiner une alerte

Pour découvrir comment utiliser le graphique d'alerte et les détails de l'alerte afin d'examiner une alerte, suivez les étapes décrites dans Examiner une alerte.

Utiliser des listes de référence dans les recherches UDM

Le processus d'application des listes de référence dans la section "Règles" peut également être utilisé dans la recherche. Une requête de recherche peut contenir jusqu'à sept listes. Tous les types de listes de référence (chaîne, expression régulière, CIDR) sont acceptés.

Vous pouvez créer des listes de toutes les variables que vous souhaitez suivre. Par exemple, vous pouvez créer une liste d'adresses IP suspectes : 

// Field value exists in reference list
principal.ip IN %suspicious_ips

Vous pouvez également utiliser plusieurs listes en utilisant AND ou OR:

// multiple lists can be used with AND or OR
principal.ip IN %suspicious_ips AND
principal.hostname IN %suspicious_hostnames

Affiner les résultats de recherche

Vous pouvez utiliser l'interface utilisateur de la recherche UDM pour filtrer et affiner les résultats au lieu de modifier la recherche UDM et de l'exécuter à nouveau.

Graphique chronologique

Le graphique des chronologies fournit une représentation graphique du nombre d'événements et d'alertes qui se produisent chaque jour et qui sont affichés par la recherche UDM actuelle. Les événements et les alertes sont affichés dans le même graphique chronologique, disponible dans les onglets Événements et Alertes.

La largeur de chaque barre dépend de l'intervalle de temps recherché. Par exemple, chaque barre représente 10 minutes lorsque la recherche couvre 24 heures de données. Ce graphique est mis à jour de manière dynamique à mesure que vous modifiez la recherche UDM existante.

Ajustement de la période

Vous pouvez ajuster la période du graphique en déplaçant les curseurs blancs vers la gauche ou vers la droite pour vous concentrer sur la période qui vous intéresse. Lorsque vous ajustez la période, les tables "Champs UDM", "Valeurs UDM" et "Événements" sont mises à jour pour refléter la sélection actuelle. Vous pouvez également cliquer sur une barre du graphique pour afficher uniquement les événements de la période sélectionnée.

Une fois que vous avez modifié la période, les cases Événements filtrés et Événements de requête s'affichent, ce qui vous permet de limiter davantage les types d'événements affichés.

Graphique des chronologies des événements avec commandes de plage temporelle

Figure 4. Graphique chronologique des événements avec sélecteurs de période

Modifier la recherche UDM avec des agrégations

Les agrégations vous permettent d'affiner davantage votre recherche de données utilisateur. Vous pouvez faire défiler la liste des champs UDM ou rechercher des champs ou des valeurs UDM spécifiques à l'aide du champ de recherche. Les champs UDM répertoriés ici sont associés aux listes d'événements existantes générées par votre recherche UDM. Chaque champ UDM inclut le nombre d'événements de votre recherche UDM actuelle qui incluent également cette donnée. La liste des champs UDM affiche le nombre total de valeurs uniques dans un champ. Cette fonctionnalité vous permet de rechercher des types de données de journaux spécifiques qui pourraient vous intéresser.

Les champs UDM sont listés dans l'ordre suivant:

  1. Champs avec le nombre d'événements le plus élevé au nombre d'événements le plus faible.
  2. Les champs ne comportant qu'une seule valeur sont toujours placés en dernier.
  3. Les champs présentant exactement le même nombre total d'événements sont classés par ordre alphabétique de A à Z.

Agrégations

Figure 5 Agrégations

Modifier les agrégations

Si vous sélectionnez une valeur de champ UDM dans la liste "Agrégations" et que vous cliquez sur l'icône de menu, vous avez la possibilité d'afficher uniquement les événements qui incluent également cette valeur de champ UDM ou d'exclure cette valeur du champ UDM. Si le champ UDM stocke des valeurs entières (par exemple, target.port), des options de filtrage par <,>,<=,>= s'afficheront également. Les options de filtre réduisent la liste des événements affichés.

Vous pouvez également épingler des champs (à l'aide de l'icône en forme de punaise) dans "Agrégations" pour les enregistrer en tant que favoris. Elles apparaissent en haut de la liste "Agrégations".

Afficher uniquement

Figure 6 Exemple : Sélectionnez "Afficher uniquement".

Ces filtres UDM supplémentaires sont également ajoutés au champ "Filtrer les événements". Le champ "Événements de filtrage" vous permet de suivre les champs UDM supplémentaires que vous avez ajoutés à la recherche UDM. Si nécessaire, vous pouvez également supprimer rapidement ces champs UDM supplémentaires.

Filtrer les événements

Figure 7. Filtrer les événements

Si vous cliquez sur l'icône de menu "Filtrer les événements" ou sur Ajouter un filtre à gauche, une fenêtre s'ouvre pour vous permettre de sélectionner d'autres champs UDM.

Fenêtre &quot;Filtrer les événements&quot;

Figure 8. Fenêtre "Filtrer les événements"

Lorsque vous cliquez sur APPLIQUER à la recherche et à l'exécution, les champs UDM sont ajoutés au champ "Filtrer les événements", et les événements affichés sont filtrés en fonction de ces filtres supplémentaires. Vous pouvez également cliquer sur Appliquer à la recherche et à l'exécution pour les ajouter au champ de recherche UDM principal en haut de la page. La recherche est automatiquement exécutée à nouveau avec les mêmes paramètres de date et d'heure. Nous vous recommandons d'affiner au maximum votre recherche avant de cliquer sur APPLIQUER à la recherche et à l'exécution. Cela permet d'améliorer la précision et de réduire les temps de recherche.

Afficher les événements dans le tableau "Événements"

Tous ces filtres et commandes modifient la liste des événements affichés dans le tableau "Événements". Cliquez sur l'un des événements de la liste pour ouvrir la visionneuse de journaux, où vous pouvez examiner le journal brut et l'enregistrement UDM de cet événement. Si vous cliquez sur le code temporel d'un événement, vous pouvez également accéder à la vue "Élément", "Adresse IP", "Domaine", "Hachage" ou "Utilisateur" associée. Vous pouvez également utiliser le champ de recherche en haut du tableau pour rechercher un événement spécifique.

Afficher les alertes dans le tableau "Alertes"

Pour afficher les alertes, cliquez sur l'onglet Alertes à droite de l'onglet Événements. Vous pouvez utiliser les agrégations pour trier les alertes par :

  • Cas
  • Nom
  • Priorité
  • Gravité
  • État
  • Évaluation

Vous pouvez ainsi vous concentrer sur les alertes les plus importantes pour vous.

Les alertes sont affichées à la même période que les événements dans l'onglet "Événements". Cela vous permet de voir le lien entre les événements et les alertes.

Si vous souhaitez en savoir plus sur une alerte spécifique, cliquez dessus. Une page individuelle d'informations s'ouvre alors, plus détaillée sur celle-ci.

Afficher les événements dans l'Observateur d'événements

Si vous maintenez le pointeur sur un événement dans le tableau "Événements", l'icône du visionneuse d'événements s'affiche à droite de l'événement mis en surbrillance. Cliquez dessus pour ouvrir l'Observateur d'événements.

La fenêtre "Journal brut" affiche le signe brut d'origine dans l'un des formats suivants:

  • Brut
  • JSON
  • XML
  • CSV
  • Code hexadécimal/ASCII

La fenêtre UDM affiche l'enregistrement UDM structuré. Vous pouvez maintenir le pointeur sur n'importe quel champ UDM pour afficher la définition correspondante. En cochant la case des champs UDM, vous obtenez des options supplémentaires:

  • Vous pouvez copier l'enregistrement UDM. Sélectionnez un ou plusieurs champs UDM, puis l'option Copier la stratégie UDM dans le menu déroulant Afficher les actions. Les champs et valeurs UDM sont copiés dans le presse-papiers du système.

  • Vous pouvez ajouter les champs UDM en tant que colonnes dans le tableau "Événements" en sélectionnant l'option Ajouter des colonnes dans le menu déroulant Afficher les actions.

Chaque champ UDM est associé à une icône indiquant si le champ contient données enrichies ou non enrichies. Les libellés d'icône sont les suivants:

  • U: les champs non enrichis contiennent des valeurs renseignées lors du processus de normalisation en utilisant les données du journal brut d’origine.

  • E : Les champs enrichis contiennent des valeurs que Google Security Operations renseigne pour fournir un contexte supplémentaire sur les artefacts dans un environnement client. Pour plus d'informations, consultez Comment Google Security Operations enrichit les données d'événements et d'entités.

    Champs UDM enrichis et non enrichis

Figure 9 Champs UDM dans l'observateur d'événements

Utilisez l'option Colonnes pour définir les colonnes d'informations à afficher dans le tableau "Événements". Le menu Colonnes s'affiche. Les options disponibles varient en fonction des types d'événements renvoyés par la recherche UDM.

Vous pouvez éventuellement enregistrer l'ensemble de colonnes que vous avez sélectionné ici en cliquant sur Enregistrer. Attribuez un nom à l'ensemble de colonnes sélectionnées, puis cliquez à nouveau sur Enregistrer. Pour charger un ensemble de colonnes enregistrées, cliquez sur Charger, puis sélectionnez l'ensemble de colonnes enregistrées dans la liste.

Vous pouvez également télécharger les événements affichés en cliquant sur le menu à trois points, puis en sélectionnant Télécharger au format CSV. Tous les résultats de recherche seront téléchargés, jusqu'à un million d'événements. L'interface utilisateur indique le nombre d'événements qu'elle téléchargera.

Colonnes de recherche UDM

Figure 10. Colonnes de recherche UDM

Utiliser le tableau croisé dynamique pour analyser les événements

Le tableau croisé dynamique vous permet d'analyser les événements à l'aide d'expressions et de fonctions par rapport aux résultats de la recherche UDM.

Pour ouvrir et configurer le tableau croisé dynamique, procédez comme suit:

  1. Exécutez une recherche UDM.

  2. Cliquez sur l'onglet Tableau croisé dynamique pour ouvrir le tableau croisé dynamique.

  3. Indiquez une valeur Grouper par pour regrouper les événements par champ UDM spécifique. Vous pouvez afficher les résultats en majuscules par défaut ou en minuscules uniquement en sélectionnant minuscules dans le menu. Cette option n'est disponible que pour les champs de chaîne. Vous pouvez spécifier jusqu'à cinq valeurs Grouper par en cliquant sur Ajouter un champ.

    Si la valeur Grouper par correspond à l'un des champs de nom d'hôte, vous disposez d'options de transformation supplémentaires:

    • Domaine principal de niveau N : sélectionnez le niveau du domaine à afficher. Par exemple, si vous utilisez la valeur 1, seul le domaine de premier niveau s'affiche (par exemple, com, gov ou edu). Si vous utilisez la valeur 3, les deux niveaux suivants des noms de domaine s'affichent (par exemple, google.co.uk).
    • Obtenir le domaine enregistré : affiche uniquement le nom de domaine enregistré (par exemple, google.com, nytimes.com et youtube.com).

    Si la valeur Grouper par correspond à l'un des champs d'adresse IP, vous disposez d'options de transformation supplémentaires :

    • Longueur du préfixe CIDR(IP) en bits : vous pouvez spécifier une valeur comprise entre 1 et 32 pour les adresses IPv4. Pour les adresses IPv6, vous pouvez spécifier des valeurs jusqu'à 128.

    Si la valeur Grouper par inclut un code temporel, vous disposez d'options de transformation supplémentaires :

    • (Durée) Résolution en millisecondes
    • (Temps) Résolution en secondes
    • (Temps) Résolution en minutes
    • (Heure) Résolution en heures
    • (Temps) Résolution en jours

  4. Spécifiez une valeur pour votre pivot dans la liste des champs de vos résultats. Vous pouvez spécifier jusqu'à cinq valeurs. Après avoir spécifié un champ, vous devez sélectionner une option Récapitulatif. Vous pouvez résumer les informations à l'aide des options suivantes :

    • pondérée
    • count
    • count distinct
    • moyen
    • stddev
    • min
    • max

    Spécifiez la valeur Nombre d'événements pour renvoyer le nombre d'événements identifiés pour cette recherche UDM et ce tableau croisé dynamique spécifique.

    Les options Récapituler ne sont pas universellement compatibles avec les champs Grouper par. Par exemple, les options sum, average, stddev, min et max ne peuvent être appliquées qu'aux champs numériques. Si vous essayez d'associer une option Récapituler incompatible à un champ Regrouper par, un message d'erreur s'affiche.

  5. Spécifiez un ou plusieurs champs UDM, puis sélectionnez un ou plusieurs trieurs à l'aide de l'option Ordonner par.

  6. Cliquez sur Appliquer lorsque vous êtes prêt. Les résultats s'affichent dans le tableau croisé dynamique.

  7. (Facultatif) Pour télécharger le tableau croisé dynamique, cliquez sur et sélectionnez Télécharger au format CSV. Si vous n'avez pas sélectionné de pivot, cette option est désactivée.

Effectuer une recherche dans les recherches rapides

  1. Cliquez sur Recherches rapides pour ouvrir la fenêtre correspondante. Cette fenêtre affiche vos recherches enregistrées et l'historique des recherches.

  2. Cliquez sur l'une des recherches listées pour la charger dans le champ de recherche UDM.

  3. Cliquez sur Exécuter la recherche lorsque vous êtes prêt.

Les recherches listées sont enregistrées dans votre compte Google Security Operations. Pour modifier l'une de vos recherches enregistrées (par exemple, renommer une recherche existante), ou supprimer des recherches enregistrées ou des recherches de votre historique, ouvrez le Gestionnaire de recherche en cliquant sur Afficher toutes les recherches.

Présentation des recherches enregistrées et de l'historique des recherches

Pour récupérer des recherches enregistrées et afficher votre historique de recherche, cliquez sur Gestionnaire de recherche. Les recherches enregistrées et l'historique des recherches sont tous deux stockés dans votre compte Google Security Operations. Les recherches enregistrées et l'historique des recherches ne sont visibles et accessibles que par un utilisateur individuel, sauf si vous utilisez la fonctionnalité Partager une recherche pour partager votre recherche avec votre organisation. Sélectionnez une recherche enregistrée pour afficher des informations supplémentaires, y compris le titre et la description.

Pour enregistrer une recherche :

  1. Sur la page de recherche UDM, cliquez sur Save (Enregistrer) pour enregistrer votre recherche UDM afin de la réutiliser ultérieurement. Le Gestionnaire de recherche s'ouvre. Google vous recommande de donner à votre recherche enregistrée un nom pertinent et une description en texte brut de ce que vous recherchez. Vous pouvez également créer une recherche UDM dans le Gestionnaire de recherche en cliquant sur . Les outils standards d'édition et de complétion UDM sont également disponibles ici.

  2. (Facultatif) Spécifiez des variables d'espace réservé au format ${<variable name>} en utilisant le même format que celui utilisé pour les variables dans YARA-L. Si vous ajoutez une variable à une recherche UDM, vous devez également inclure une invite pour aider l'utilisateur à comprendre quelles informations il doit saisir avant d'effectuer la recherche. Toutes les variables doivent être renseignées avec des valeurs avant l'exécution d'une recherche.

    Par exemple, vous pouvez ajouter metadata.vendor_name = ${vendor_name} à votre recherche UDM. Pour ${vendor_name}, vous devez ajouter une invite pour les futurs utilisateurs, par exemple "Saisissez le nom du fournisseur pour votre recherche". À chaque fois qu'un utilisateur chargera cette recherche, il sera invité à saisir le nom du fournisseur avant de pouvoir exécuter la recherche.

  3. Cliquez sur Enregistrer les modifications lorsque vous avez terminé.

  4. Pour afficher les recherches enregistrées, cliquez sur Gestionnaire de recherche, puis sur l'onglet Enregistrés.

Pour récupérer et exécuter une recherche enregistrée :

  1. Dans le Gestionnaire de recherche, cliquez sur l'onglet Enregistrées.

  2. Sélectionnez une recherche enregistrée dans la liste. Ces recherches enregistrées sont enregistrées dans votre compte Google Security Operations. Pour supprimer une recherche, cliquez sur , puis sélectionnez Supprimer la recherche.

  3. Vous pouvez modifier le nom et la description de la recherche. Cliquez sur Enregistrer les modifications lorsque vous avez terminé.

  4. Cliquez sur Charger la recherche. La recherche est chargée dans le champ principal de recherche UDM.

  5. Cliquez sur Exécuter la recherche pour afficher les événements associés à cette recherche.

Récupérer une recherche de votre historique des recherches

Pour récupérer et exécuter une recherche à partir de votre historique des recherches :

  1. Dans le Gestionnaire de recherche, cliquez sur Historique.

  2. Sélectionnez une recherche dans votre historique des recherches. Votre historique des recherches est enregistré dans votre compte Google Security Operations. Vous pouvez supprimer une recherche en cliquant sur

  3. Cliquez sur Charger la recherche. La recherche est chargée dans le champ de recherche principal de l'UDM.

  4. Cliquez sur Exécuter la recherche pour afficher les événements associés à cette recherche.

Effacer, désactiver ou activer l'historique des recherches

Pour effacer, désactiver ou activer l'historique des recherches:

  1. Dans le Gestionnaire de recherche, cliquez sur l'onglet Historique.

  2. Cliquez sur .

  3. Sélectionnez Effacer l'historique pour effacer l'historique des recherches.

  4. Cliquez sur Désactiver l'historique pour désactiver l'historique des recherches. Vous pouvez:

    • Désactiver uniquement : désactive l'historique des recherches.

    • Désactiver et effacer : désactivez l'historique des recherches et supprimez l'historique enregistré.

  5. Si vous avez désactivé l'historique des recherches, vous pouvez le réactiver en cliquant sur Activer l'historique des recherches.

  6. Cliquez sur Fermer pour quitter le Gestionnaire de recherche.

Partager une recherche

Les recherches partagées vous permettent de partager des recherches avec le reste de votre équipe. Dans l'onglet Enregistrées, vous pouvez partager ou supprimer des recherches. Vous pouvez également filtrer vos recherches en cliquant sur l'icône de filtre à côté de la barre de recherche, puis les trier par Tout afficher, Définie par Google SecOps, Par moi ou Partagée.

Vous ne pouvez pas modifier une recherche partagée qui ne vous appartient pas.

  1. Cliquez sur Enregistrés.
  2. Cliquez sur la recherche que vous souhaitez partager.
  3. Cliquez sur . à droite de la recherche. Une boîte de dialogue s'affiche avec l'option permettant de partager votre recherche.
  4. Cliquez sur Partager avec votre organisation.
  5. Une boîte de dialogue indique que le partage de votre recherche sera visible par les membres de votre organisation. Voulez-vous vraiment partager ? Cliquez sur Partager,

Si vous souhaitez que vous seul puissiez voir la recherche, cliquez sur , puis sur Arrêter le partage. Si vous arrêtez le partage, vous seul pourrez utiliser cette recherche.

Champs UDM pouvant ou non être téléchargés au format CSV à partir de la plate-forme

Les champs UDM compatibles et non compatibles pour le téléchargement sont indiqués dans les sous-sections suivantes.

Champs pris en charge

Vous pouvez télécharger les champs suivants depuis la plate-forme sous forme de fichier CSV:

  • utilisateur

  • nom d'hôte

  • nom du processus

  • type d'événement

  • timestamp

  • journal brut (valide uniquement lorsque les journaux bruts sont activés pour le client)

  • Tous les champs commençant par "udm.additional"

Types de champs valides

Vous pouvez télécharger les types de champs suivants au format CSV:

  • double

  • float

  • int32

  • uint32

  • int64

  • uint64

  • Bool

  • chaîne

  • énum

  • bytes

  • google.protobuf.Timestamp

  • google.protobuf.Duration

Champs non acceptés

Les champs commençant par "udm" (et non udm.additional) et répondant à l'une des conditions suivantes ne peuvent pas être téléchargés au format CSV :

  • L'imbrication du champ est supérieure à 10 niveaux dans le protocole udm.

  • Les données sont de type "Message" ou "Groupe".

Étape suivante

Pour savoir comment utiliser les données enrichies de contexte dans la recherche UDM, consultez Utiliser les données enrichies de contexte dans la recherche UDM.