Recherche UDM

La fonction de recherche UDM vous permet de trouver des alertes et des événements UDM (Unified Data Model) dans votre instance Chronicle. La recherche UDM comprend différentes options de recherche qui vous permettent de parcourir vos données UDM. Vous pouvez rechercher des événements UDM individuels ou des groupes d'événements UDM liés à des termes de recherche partagés.

Pour les clients Chronicle Security Operations, les alertes peuvent également être ingérées à partir de connecteurs et de webhooks. Vous pouvez également utiliser la recherche UDM pour trouver ces alertes.

Pour en savoir plus sur les UDM, consultez Mettre en forme les données de journal au format UDM et Liste de champs du modèle de données unifié.

Pour accéder à la recherche Chronicle UDM, cliquez sur Rechercher dans la barre de navigation. Vous pouvez également accéder à la recherche UDM en saisissant un champ UDM valide à partir de n'importe quel champ de recherche dans Chronicle, puis en appuyant sur CTRL+Entrée.

Pour obtenir la liste des champs UDM valides, consultez la section Liste de champs du modèle de données unifié.

Recherche UDM

Figure 1. UDM Search

Recherche UDM vide

Figure 2. Fenêtre de recherche UDM s'ouvrant avec CTRL+Entrée

Procédez comme suit pour rechercher un UDM dans le champ Recherche UDM. Lorsque vous avez terminé de saisir une recherche UDM, cliquez sur Lancer la recherche. L'interface utilisateur Chronicle vous permet uniquement de saisir une expression de recherche UDM valide. Vous pouvez également ajuster la plage de données à rechercher en ouvrant la fenêtre correspondante.

Si votre recherche est trop large, Chronicle renvoie un message d'avertissement indiquant que la recherche ne peut pas afficher tous les résultats. Réduisez le champ d'application de la recherche et réexécutez-la. Lorsqu'une recherche est trop large, Chronicle renvoie les résultats les plus récents jusqu'à la limite de recherche (1 million d'événements et 1 000 alertes). Il est possible qu'il y ait beaucoup plus d'événements et d'alertes correspondants, mais qui ne s'affichent pas pour le moment. Tenez-en compte lorsque vous analysez les résultats. Google vous recommande d'appliquer des filtres supplémentaires et d'exécuter la recherche d'origine jusqu'à ce que vous soyez en dessous de la limite. Dans ce cas, appliquez des filtres supplémentaires et relancez la recherche d'origine jusqu'à ce que vous soyez en dessous de la limite.

Date et exécution de la recherche

Figure 3. Effectuer une recherche

Les requêtes UDM sont basées sur des champs UDM, qui sont tous répertoriés dans la liste des champs du modèle de données unifié. Vous pouvez également afficher les champs UDM dans le contexte de recherches à l'aide des filtres ou de la recherche dans le journal brut.

  1. Pour rechercher des événements, saisissez un nom de champ UDM dans le champ de recherche. L'interface utilisateur inclut la saisie automatique et affiche des champs UDM valides, en fonction des informations que vous avez saisies.

  2. Une fois que vous avez saisi un champ UDM valide, sélectionnez un opérateur valide. L'interface utilisateur affiche les opérateurs valides disponibles en fonction du champ UDM que vous avez saisi. Les opérateurs suivants sont acceptés :

    • <, >
    • <=, >=
    • =, !=
    • nocase (compatible avec les chaînes)

  3. Après avoir saisi un champ et un opérateur UDM valides, saisissez les données de journal correspondantes que vous recherchez. Les types de données suivants sont acceptés:

    • Valeurs énumérées:l'interface utilisateur affiche une liste de valeurs énumérées valides pour un champ UDM donné.

      Par exemple (utilisez des guillemets doubles et tout en majuscules): metadata.event_type = "NETWORK_CONNECTION"

    • Valeurs supplémentaires:vous pouvez utiliser 'champ[clé] = valeur' pour rechercher des champs supplémentaires et des libellés pour des événements.

      Par exemple : additional.fields["key"]="value"

    • Valeurs booléennes:vous pouvez utiliser true ou false (tous les caractères ne sont pas sensibles à la casse et le mot clé n'est pas placé entre guillemets).

      Par exemple : network.dns.response = true

    • Entiers

      Par exemple : target.port = 443

    • Flottants:pour les champs UDM de type float, saisissez une valeur à virgule flottante, par exemple 3.1. Vous pouvez également saisir un nombre entier, tel que 3, ce qui équivaut à saisir 3.0.

      Exemples : security_result.about.asset.vulnerabilities.cvss_base_score = 3.1 ou security_result.about.asset.vulnerabilities.cvss_base_score = 3

    • Expressions régulières:l'expression régulière doit se composer de barres obliques (/)

      Par exemple : principal.ip = /10.*/

      Pour en savoir plus sur les expressions régulières, consultez la page Expressions régulières.

    • Chaînes

      Par exemple (utilisez des guillemets doubles): metadata.product_name = "Google Cloud VPC Flow Logs"

  4. Vous pouvez utiliser l'opérateur nocase pour rechercher n'importe quelle combinaison de versions majuscules et minuscules d'une chaîne donnée:

    • principal.hostname != "http-server" nocase
    • principal.hostname = "JDoe" nocase
    • principal.hostname = /dns-server-[0-9]+/ nocase

  5. Les barres obliques inverses et les guillemets doubles dans les chaînes doivent être échappés à l'aide d'un caractère de barre oblique inverse. Exemple :

    • principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
    • target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""

  6. Vous pouvez utiliser des expressions booléennes pour affiner davantage la plage de données affichées. Les exemples suivants illustrent certains types d'expressions booléennes acceptées (vous pouvez utiliser les opérateurs booléens AND, OR et NOT):

    • A AND B
    • A OR B
    • (A OR B) AND (B OR C) AND (C OR NOT D)

    Les exemples suivants illustrent la syntaxe réelle:

    Événements de connexion au serveur de finance: 

    metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"

    Exemple d'utilisation d'une expression régulière pour rechercher l'exécution de l'outil psexec.exe sous Windows. 

    target.process.command_line = /\bpsexec(.exe)?\b/ nocase

    Exemple d'utilisation de l'opérateur plus à (>) pour rechercher des connexions où plus de 10 Mo de données ont été envoyés. 

    metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000

    Exemple utilisant plusieurs conditions pour rechercher Winword en lançant cmd.exe ou powershell.exe 

        metadata.event_type = "PROCESS_LAUNCH" and
    principal.process.file.full_path = /winword/ and
    (target.process.file.full_path = /cmd.exe/ or
    target.process.file.full_path = /powershell.exe/)

  7. Vous pouvez également utiliser la recherche UDM pour rechercher des paires clé-valeur spécifiques dans les champs "Autres" et "Libellé".

    Les champs "Autres" et "Libellé" sont utilisés comme une option de récupération personnalisable pour les données d'événement qui ne rentrent pas dans un champ UDM standard. Les champs supplémentaires peuvent contenir plusieurs paires clé-valeur. Les champs de libellé ne peuvent contenir qu'une seule paire clé-valeur. Cependant, chaque instance du champ ne contient qu'une seule clé et qu'une seule valeur. La clé doit être placée entre crochets et la valeur à droite.

    Les exemples suivants montrent comment rechercher des événements contenant des paires clé/valeur spécifiées: 

        additional.fields["pod_name"] = "kube-scheduler"
    metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"
    L'exemple suivant montre comment utiliser l'opérateur AND avec les recherches de paires clé-valeur: 
        additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"

    Vous pouvez utiliser la syntaxe suivante pour rechercher tous les événements contenant la clé spécifiée (quelle que soit la valeur) : 

        additional.fields["pod_name"] != ""
    Vous pouvez également utiliser des expressions régulières et l'opérateur nocase: 
        additional.fields["pod_name"] = /br/
    additional.fields["pod_name"] = bar nocase

  8. Vous pouvez également utiliser des commentaires bloqués ou sur une seule ligne.

    L'exemple suivant montre comment utiliser un commentaire de bloc: 

        additional.fields["pod_name"] = "kube-scheduler"
    /*
    Block comments can span
    multiple lines.
    */
    AND additional.fields["pod_name1"] = "kube-scheduler1"

    L'exemple suivant montre comment utiliser un commentaire sur une seule ligne: 

        additional.fields["pod_name"] != "" // my single-line comment

  9. Cliquez sur Lancer la recherche pour lancer votre recherche UDM et afficher les résultats.

  10. Les événements sont affichés sur la page Recherche UDM du tableau de la chronologie des événements. Vous pouvez affiner davantage les résultats en ajoutant des champs UDM supplémentaires manuellement ou via l'interface.

Rechercher des champs groupés

Les champs groupés sont des alias de groupes de champs UDM associés. Vous pouvez ainsi interroger plusieurs champs UDM simultanément sans avoir à les saisir individuellement.

L'exemple suivant montre comment saisir une requête pour établir une correspondance avec les champs UDM courants pouvant contenir l'adresse IP spécifiée: 

    ip = "1.2.3.4"

Vous pouvez mettre en correspondance un champ groupé à l'aide d'une expression régulière et de l'opérateur nocase. Les listes de référence sont également acceptées. Les champs groupés peuvent également être combinés aux champs UDM standards, comme illustré dans l'exemple suivant: 

    ip = "5.6.7.8" AND metadata.event_type = "NETWORK_CONNECTION"

Les champs groupés disposent d'une section distincte dans la section Filtres rapides.

Types de champs UDM groupés

Vous pouvez effectuer une recherche dans tous les champs UDM groupés suivants:

Nom des champs groupés Champs UDM associés
domaine about.administrative_domain
about.asset.network_domain
network.dns.questions.name
network.dns_domain
principal.administrative_domain
principal.asset.network_domain
target.administrative_domain
target.asset.Hostname
target.asset.network_domain
target.nom_hôte
e-mail intermediary.user.email_addresses
network.email.from
network.email.to
principal.user.email_addresses
security_result.about.user.email_addresses
target.user.email_addresses
file_path principal.file.full_path
principal.process.file.full_path
principal.process.parent_process.file.full_path
target.file.full_path
target.process.file.full_path
target.process.parent_process.file.full_path
hash about.file.md5
about.file.sha1
about.file.sha256
principal.process.file.md5
principal.process.file.sha1
principal.process.file.sha256
security_result.about.file.sha256
target.file.md5file
target.sha.md5 target.sha.
nom d'hôte intermediary.username
ip intermediary.ip
observer.ip
principal.artifact.ip
principal.asset.ip
principal.ip
src.artifact.ip
src.asset.ip
src.ip
target.artifact.ip
target.asset.ip
target.ip
espace de noms principal.namespace
src.namespace
target.namespace
ID_processus principal.process.parent_process.pid
principal.process.parent_process.product_specific_process_id
principal.process.pid
principal.process.product_specific_process_id
target.process.parent_process.pid
target.process.parent_process.product_specific_process_id
target.process.pid_target.process.product_specific_id
target.process.product_specific_id
user about.user.userid
observer.user.userid
principal.user.user_display_name
principal.user.userid
principal.user.windows_sid
src.user.userid
target.user.user_display_name
target.user.userid
target.user.windows_sid

Trouver un champ UDM pour la requête de recherche

Lorsque vous rédigez une requête de recherche UDM, vous ne savez peut-être pas quel champ UDM inclure. UDM Lookup vous permet de trouver rapidement un nom de champ UDM dont le nom contient une chaîne de texte ou qui stocke une valeur de chaîne spécifique. Il n'est pas destiné à être utilisé pour rechercher d'autres types de données, tels que des octets, des valeurs booléennes ou des valeurs numériques. Vous sélectionnez un ou plusieurs résultats renvoyés par UDM Lookup comme point de départ d'une requête de recherche UDM.

Pour utiliser UDM Lookup, procédez comme suit:

  1. Sur la page Recherche UDM, saisissez une chaîne de texte dans le champ Rechercher des champs UDM par valeur, puis cliquez sur Recherche UDM.

  2. Dans la boîte de dialogue UDM Lookup (Recherche UDM), sélectionnez une ou plusieurs des options suivantes pour spécifier l'étendue des données à rechercher:

    • Champs UDM: recherchez du texte dans les noms de champs UDM, par exemple network.dns.questions.name ou principal.ip.
    • Valeurs: recherchez du texte dans les valeurs attribuées aux champs UDM, par exemple dns ou google.com.

  3. Saisissez ou modifiez la chaîne dans le champ de recherche. À mesure que vous saisissez du texte, les résultats de la recherche s'affichent dans la boîte de dialogue.

    Les résultats sont légèrement différents lorsque vous effectuez une recherche dans des champs UDM ou dans des valeurs. Lorsque vous recherchez du texte dans Valeurs, les résultats se présentent comme suit:

    • Si la chaîne se trouve au début ou à la fin de la valeur, elle est mise en surbrillance dans le résultat, avec le nom du champ UDM et l'heure d'ingestion du journal.
    • Si la chaîne de texte se trouve ailleurs dans la valeur, le résultat affiche le nom du champ UDM et le texte Correspondance de valeur possible.

    Rechercher dans les valeurs

    Rechercher dans les valeurs dans UDM Lookup

    • Lorsque vous recherchez une chaîne de texte dans les noms de champs UDM, UDM Lookup renvoie une correspondance exacte trouvée à n'importe quel emplacement du nom.

    Rechercher dans les champs UDM

    Rechercher dans les champs UDM dans UDM Lookup

  4. Dans la liste des résultats, vous pouvez effectuer les opérations suivantes:

    • Cliquez sur le nom d'un champ de l'UAM pour afficher sa description.

    • Sélectionnez un ou plusieurs résultats en cochant la case située à gauche de chaque nom de champ UDM.

    • Cliquez sur le bouton Réinitialiser pour désélectionner tous les champs sélectionnés dans la liste des résultats.

  5. Pour ajouter les résultats sélectionnés au champ Recherche UDM, cliquez sur le bouton Ajouter à la recherche.

    Vous pouvez également copier le résultat sélectionné à l'aide du bouton Copy UDM (Copier l'UDM), puis fermer la boîte de dialogue UDM Lookup et coller la chaîne de requête de recherche dans le champ UDM Search (Recherche UDM).

    Chronicle convertit le résultat sélectionné en chaîne de requête de recherche UDM en tant que nom de champ UDM ou en paire nom/valeur. Si vous ajoutez plusieurs résultats, chacun d'eux est ajouté à la fin d'une requête existante dans le champ de recherche UDM à l'aide de l'opérateur OR.

    La chaîne de requête ajoutée diffère selon le type de correspondance renvoyé par UDM Lookup.

    • Si le résultat correspond à une chaîne de texte dans un nom de champ UDM, le nom complet du champ UDM est ajouté à la requête. En voici un exemple :

      principal.artifact.network.dhcp.client_hostname

    • Si le résultat correspond à une chaîne de texte au début ou à la fin d'une valeur, la paire nom-valeur contient le nom du champ UDM et la valeur complète dans le résultat. En voici des exemples:

      metadata.log_type = "PCAP_DNS"

      network.dns.answers.name = "dns-A901F3j.hat.example.com"

    • Si le résultat inclut le texte Correspondance de valeur possible, la paire nom-valeur contient le nom du champ UDM et une expression régulière contenant le terme de recherche. En voici un exemple :

      principal.process.file.full_path = /google/ NOCASE

  6. Modifiez la requête de recherche UDM en fonction de votre cas d'utilisation. La chaîne de requête générée par UDM Lookup constitue un point de départ pour rédiger une requête de recherche UDM complète.

Résumé du comportement de la recherche UDM

Cette section fournit plus d'informations sur les fonctionnalités UDM Lookup.

  • UDM Lookup recherche les données ingérées après le 10 août 2023. Les données ingérées avant cette date ne font pas l'objet de la recherche. Elle renvoie les résultats trouvés dans les champs UDM non enrichis. Il ne renvoie pas de correspondances avec les champs enrichis. Pour en savoir plus sur les champs enrichis et non enrichis, consultez Afficher les événements dans l'observateur d'événements.
  • Les recherches utilisant UDM Lookup ne sont pas sensibles à la casse. Le terme hostname renvoie le même résultat que HostName.
  • Les traits d'union (-) et les traits de soulignement (_) figurant dans une chaîne de texte de requête sont ignorés lors de la recherche de valeurs. Les chaînes de texte dns-l et dnsl renvoient toutes deux la valeur dns-l.

  • Lorsque vous recherchez des valeurs, UDM Lookup ne renvoie pas de correspondance dans les cas suivants:

    Correspond aux champs UDM suivants:
    • metadata.product_log_id
    • network.session_id
    • security_result.rule_id
    • network.parent_session_id
    Correspond aux champs UDM dont le nom de chemin d'accès complet se termine par l'une des valeurs suivantes:
    • .pid
      Exemple : target.process.pid.
    • .asset_id
      Exemple : principal.asset_id.
    • .product_specific_process_id
      Exemple : principal.process.product_specific_process_id.
    • .resource.id
      Exemple : principal.resource.id.

  • Lorsque vous recherchez Valeurs, l'outil de recherche UDM affiche le message Correspondance de valeur possible dans le résultat lorsqu'une correspondance est trouvée dans les cas suivants:

    Correspond aux champs UDM suivants:
    • metadata.description
    • security_result.description
    • security_result.detection_fields.value
    • security_result.summary
    • network.http.user_agent
    Correspond aux champs dont le nom de chemin complet se termine par l'une des valeurs suivantes:
    • .command_line
      Exemple : principal.process.command_line.
    • .file.full_path
      Exemple : principal.process.file.full_path.
    • .labels.value
      Exemple : src.labels.value.
    • .registry.registry_key
      Exemple : principal.registry.registry_key.
    • .url
      Exemple : principal.url.
    Correspond aux champs dont le nom de chemin complet commence par les valeurs suivantes: additional.fields.value.
    Exemple : additional.fields.value.null_value.

Pour afficher les alertes, cliquez sur l'onglet Alertes à droite de l'onglet Événements dans l'angle supérieur droit de la page Recherche UDM.

Affichage des alertes

Chronicle compare les événements affichés dans la recherche UDM à ceux qui existent pour les alertes de l'environnement client. Lorsqu'un événement de requête de recherche correspond à un événement présent dans une alerte, il s'affiche dans la chronologie de l'alerte et dans le tableau d'alerte qui en résulte.

Définition des événements et des alertes

Un événement est généré à partir d'une source de journal brute ingérée dans Chronicle et traitée par son processus d'ingestion et de normalisation. Plusieurs événements peuvent être générés à partir d'un seul enregistrement de source de journal brut. Un événement représente un ensemble de points de données liés à la sécurité générés à partir de ce journal brut.

Dans une recherche UDM, une alerte correspond à une détection de règle YARA-L avec les alertes activées. Pour en savoir plus, consultez la section Exécuter une règle sur des données actives.

D'autres sources de données peuvent être ingérées dans Chronicle, telles que les alertes, telles que CrowdStrike Falcon Alerts. Ces alertes ne s'afficheront dans la recherche UDM que si elles sont traitées par le moteur de détection Chronicle en tant que règle YARA-L.

Capture d'écran complète des alertes

Figure 4. Chronologie des alertes

Les événements associés à une ou plusieurs alertes sont signalés par un chip d'alerte dans la chronologie des événements. Si plusieurs alertes sont associées à la chronologie, le chip affiche le nombre d'alertes associées.

La chronologie affiche les 1 000 alertes les plus récentes extraites des résultats de recherche. Lorsque la limite de 1 000 alertes est atteinte, aucune autre alerte n'est récupérée. Pour être sûr d'afficher tous les résultats pertinents, affinez votre recherche à l'aide de filtres.

Examiner une alerte

Pour savoir comment utiliser le graphique d'alerte et les détails de l'alerte afin d'examiner une alerte, suivez les étapes décrites dans Examiner une alerte.

Utiliser des listes de référence dans les recherches UDM

La procédure d'application de listes de référence dans la section "Règles" peut également être utilisée pour la recherche. Vous pouvez inclure jusqu'à sept listes dans une même requête de recherche. Tous les types de listes de référence (chaîne, expression régulière, CIDR) sont acceptés.

Vous pouvez créer des listes à partir des variables dont vous souhaitez effectuer le suivi. Par exemple, vous pouvez créer une liste d'adresses IP suspectes: 

// Field value exists in reference list
principal.ip IN %suspicious_ips

Vous pouvez également utiliser plusieurs listes à l'aide de AND ou de OR:

// multiple lists can be used with AND or OR
principal.ip IN %suspicious_ips AND
principal.hostname IN %suspicious_hostnames

Affiner les résultats de recherche

Au lieu de modifier la recherche UDM et d'exécuter à nouveau la recherche, vous pouvez utiliser l'interface utilisateur de recherche UDM pour filtrer et affiner les résultats.

Graphique chronologique

Ce graphique représente sous forme graphique le nombre d'événements et d'alertes qui se produisent chaque jour et qui sont renvoyés par la recherche UDM en cours. Les événements et les alertes s'affichent sur le même graphique chronologique, disponible dans les onglets Événements et Alertes.

La largeur de chaque barre dépend de l'intervalle de temps recherché. Par exemple, chaque barre représente 10 minutes lorsque la recherche couvre 24 heures de données. Ce graphique est mis à jour de façon dynamique lorsque vous modifiez la recherche UDM existante.

Graphique de chronologie des événements

Figure 8 Graphique chronologique des événements

Ajustement de la période

Vous pouvez ajuster la période du graphique en déplaçant les curseurs blancs vers la gauche et vers la droite afin d'ajuster la période et de vous concentrer sur la période qui vous intéresse. Lorsque vous ajustez la période, les tableaux "Champs UDM", "Valeurs" et "Événements" sont mis à jour pour refléter la sélection actuelle. Vous pouvez également cliquer sur une barre du graphique pour n'afficher que les événements correspondants au cours de la période en question.

Une fois la période ajustée, les cases Événements filtrés et Événements de requête apparaissent, vous permettant de limiter davantage les types d'événements affichés.

Graphique chronologique des événements avec des sélecteurs de période

Figure 9. Graphique chronologique des événements avec des sélecteurs de période

Modifier la recherche UDM à l'aide de filtres rapides

Les filtres rapides vous permettent d'affiner davantage votre recherche UDM. Vous pouvez soit faire défiler la liste des champs UDM, soit rechercher des champs ou des valeurs UDM spécifiques à l'aide du champ de recherche. Les champs UDM répertoriés ici sont associés aux listes d'événements existantes générées par votre recherche UDM. Chaque champ UDM inclut le nombre d'événements inclus dans votre recherche UDM actuelle qui incluent également cette donnée. La liste des champs UDM affiche le nombre total de valeurs uniques dans un champ. Cette fonctionnalité vous permet de rechercher des types de données de journaux particuliers qui pourraient vous intéresser.

Les champs UDM sont listés dans l'ordre suivant:

  1. Champs comportant le plus grand nombre d'événements par rapport au nombre d'événements le plus bas.
  2. Les champs qui ne contiennent qu'une seule valeur sont toujours affichés en dernier.
  3. Les champs qui présentent exactement le même nombre total d'événements sont classés par ordre alphabétique de A à Z.

Filtres rapides

Figure 10 Filtres rapides

Modifier un filtre rapide

Si vous sélectionnez une valeur de champ UDM dans la liste "Filtres rapides", puis cliquez sur l'icône de menu, vous pouvez choisir d'afficher uniquement les événements qui incluent également cette valeur de champ UDM, ou de filtrer cette valeur de champ UDM. Si le champ UDM stocke des valeurs entières (par exemple: target.port), vous verrez également des options de filtrage par <,>,<=,>=. Les options de filtrage permettent de réduire la liste des événements affichés.

Vous pouvez également épingler des champs (à l'aide de l'icône de la punaise) dans le filtre rapide pour les enregistrer dans les favoris. Ils apparaissent en haut de la liste "Filtres rapides".

Émissions uniquement

Figure 11 Exemple : "Afficher uniquement"

Ces filtres UDM supplémentaires sont également ajoutés au champ des événements de filtrage ci-dessus. Le champ "Filtrer les événements" vous permet de suivre les champs UDM supplémentaires que vous avez ajoutés à la recherche UDM. Vous pouvez aussi supprimer rapidement ces champs supplémentaires si nécessaire.

Filtrer les événements

Figure 12 Filtrer les événements

Si vous cliquez sur l'icône du menu "Filtrer les événements" ou sur Ajouter un filtre sur la gauche, une fenêtre s'ouvre, vous permettant de sélectionner des champs supplémentaires UDM.

Fenêtre de filtrage des événements

Figure 13 Fenêtre "Filtrer les événements"

Lorsque vous cliquez sur APPLIQUER pour rechercher et exécuter, les champs de l'UAM sont ajoutés au champ "Filtrer les événements" (voir Figure 8), et les événements affichés sont filtrés en fonction de ces filtres supplémentaires. Vous pouvez également cliquer sur Appliquer à la recherche et à l'exécution pour ajouter ces éléments au champ de recherche UDM principal en haut de la page. La recherche est exécutée à nouveau automatiquement en utilisant les mêmes paramètres de date et d'heure. Google vous recommande d'affiner votre recherche autant que possible avant de cliquer sur APPLIQUER pour rechercher et exécuter. Cela permet d'améliorer la précision et de réduire le temps de recherche.

Afficher les événements dans le tableau "Événements"

L'ensemble de ces filtres et commandes met à jour la liste des événements affichée dans le tableau "Événements". Cliquez sur l'un des événements de la liste pour ouvrir la visionneuse de journaux, où vous pouvez examiner le journal brut et l'enregistrement UDM de cet événement. Si vous cliquez sur le code temporel d'un événement, vous pouvez également accéder à la vue "Asset", "Adresse IP", "Domaine", "Hachage" ou "Utilisateur" associée. Vous pouvez également utiliser le champ de recherche en haut du tableau pour rechercher un événement spécifique.

Tableau des événements

Figure 14 Tableau des événements

Afficher les alertes dans le tableau "Alertes"

Vous pouvez afficher les alertes en cliquant sur l'onglet Alertes à droite de l'onglet Événements. Vous pouvez utiliser les filtres rapides pour trier les alertes en fonction des critères suivants:

  • Cas
  • Nom
  • Priorité
  • Gravité
  • État
  • Verdict

Vous pouvez ainsi vous concentrer sur les alertes les plus importantes pour vous.

Les alertes sont affichées sur la même période que les événements dans l'onglet "Événements". Vous pouvez ainsi voir facilement le lien entre les événements et les alertes.

Si vous souhaitez en savoir plus sur une alerte spécifique, cliquez dessus. Une page d'informations sur l'alerte individuelle s'ouvre et contient des informations plus détaillées sur cette alerte.

Afficher des événements dans l'Observateur d'événements

Si vous pointez sur un événement dans le tableau "Événements", l'icône d'ouverture de l'observateur d'événements s'affiche à droite de l'événement en surbrillance. Cliquez dessus pour ouvrir l'Observateur d'événements.

L'observateur d'événements

Figure 15 Observateur d'événements

La fenêtre "Raw Log" (Journal brut) affiche le journal brut d'origine dans l'un des formats suivants:

  • Données
  • JSON
  • XML
  • CSV
  • Hex/ASCII

La fenêtre UDM affiche l'enregistrement UDM structuré. Vous pouvez pointer sur n'importe quel champ UDM pour afficher sa définition. En cochant la case des champs UDM, vous obtenez des options supplémentaires:

  • Vous pouvez copier l'enregistrement UDM. Sélectionnez un ou plusieurs champs UDM, puis sélectionnez l'option Copy UDM (Copier l'UDM) dans le menu déroulant View Actions (Afficher les actions). Les champs et les valeurs UDM sont copiés dans le presse-papiers du système.

  • Vous pouvez ajouter les champs UDM en tant que colonnes du tableau "Événements" en sélectionnant l'option Ajouter des colonnes dans le menu déroulant Afficher les actions.

Chaque champ UDM est associé à une icône indiquant si le champ contient des données enrichies ou non. Les libellés des icônes sont les suivants:

  • U: les champs non enrichis contiennent des valeurs renseignées lors du processus de normalisation à l'aide des données du journal brut d'origine.

  • E: les champs enrichis contiennent des valeurs renseignées par Chronicle pour fournir des informations supplémentaires sur les artefacts d'un environnement client. Pour en savoir plus, consultez Comment Chronicle enrichit les données d'événements et d'entités.

    Champs UDM enrichis et non enrichis

Figure 16 Champs UDM dans l'observateur d'événements

Utilisez l'option Colonnes pour définir les colonnes d'informations à afficher dans le tableau "Événements". Le menu contextuel "Colonnes" s'affiche. Les options disponibles varient en fonction des types d'événements renvoyés par la recherche UDM.

Vous pouvez éventuellement enregistrer l'ensemble de colonnes sélectionnées ici en cliquant sur Enregistrer. Attribuez un nom à l'ensemble des colonnes sélectionnées, puis cliquez à nouveau sur Enregistrer. Vous pouvez charger un ensemble de colonnes enregistrées en cliquant sur Charger et en sélectionnant l'ensemble de colonnes enregistrées dans la liste.

Vous pouvez également télécharger les événements affichés en cliquant sur le menu à trois points, puis en sélectionnant Télécharger au format CSV. Tous les résultats de recherche seront téléchargés jusqu'à un million d'événements. L'interface utilisateur indiquera le nombre d'événements qu'elle téléchargera.

Colonnes de recherche UDM

Figure 17 Colonnes de recherche UDM

Analyser des événements à l'aide du tableau croisé dynamique

Le tableau croisé dynamique vous permet d'analyser des événements à l'aide d'expressions et de fonctions par rapport aux résultats de la recherche UDM.

Pour ouvrir et configurer le tableau croisé dynamique, procédez comme suit:

  1. Effectuez une recherche UDM.

  2. Cliquez sur l'onglet Tableau croisé dynamique pour ouvrir le tableau croisé dynamique.

  3. Spécifiez une valeur dans le champ Group by (Grouper par) pour regrouper les événements selon un champ UDM spécifique. Vous pouvez afficher les résultats en utilisant la casse par défaut ou en minuscules uniquement en sélectionnant minuscules dans le menu. Cette option n'est disponible que pour les champs de type chaîne. Vous pouvez spécifier jusqu'à cinq valeurs dans Grouper par en cliquant sur Ajouter un champ.

    Si la valeur Grouper par est l'un des champs de nom d'hôte, vous disposez d'options de transformation supplémentaires:

    • Domaine à N niveaux principal : choisissez le niveau du domaine à afficher. Par exemple, la valeur 1 n'affiche que le domaine de premier niveau (tel que com, gov ou edu). La valeur 3 permet d'afficher les deux niveaux suivants de noms de domaine (tels que google.co.uk).
    • Get Registered Domain (Obtenir le domaine enregistré) : affiche uniquement le nom de domaine enregistré (par exemple, google.com, nytimes.com ou youtube.com).

    Si votre valeur Group by (Grouper par) est l'un des champs IP, vous disposez d'options de transformation supplémentaires:

    • Longueur du préfixe CIDR(IP) en bits : vous pouvez spécifier une valeur comprise entre 1 et 32 pour les adresses IPv4. Pour les adresses IPv6, vous pouvez spécifier des valeurs jusqu'à 128.

    Si votre valeur Group by (Grouper par) inclut un horodatage, vous disposez d'options de transformation supplémentaires:

    • Résolution(durée) en millisecondes
    • (Time) Résolution en secondes
    • (Durée) Résolution en minutes
    • (Time) Résolution en heures
    • (Délai) Résolution en jours

  4. Spécifiez une valeur pour votre tableau croisé dynamique dans la liste des champs de vos résultats. Vous pouvez spécifier jusqu'à cinq valeurs. Après avoir spécifié un champ, vous devez sélectionner une option Résumer. Vous pouvez effectuer une synthèse en utilisant les options suivantes:

    • pondérée
    • count
    • nombre distinct
    • moyen
    • dev_std
    • min
    • max

    Spécifiez la valeur Nombre d'événements pour simplement renvoyer le nombre d'événements identifiés pour cette recherche UDM et ce tableau croisé dynamique spécifiques.

    Les options Résumer ne sont pas universellement compatibles avec les champs Grouper par. Par exemple, les options sum, average, stddev, min et max ne peuvent être appliquées qu'à des champs numériques. Si vous tentez d'associer une option Résumer incompatible à un champ Grouper par, vous recevrez un message d'erreur.

  5. Spécifiez un ou plusieurs champs UDM, puis sélectionnez un ou plusieurs types de tri à l'aide de l'option Order By (Trier par).

  6. Lorsque vous êtes prêt, cliquez sur Appliquer. Les résultats sont affichés dans le tableau croisé dynamique.

    Tableau croisé dynamique

    Figure 18 tableau croisé dynamique

Effectuer une recherche dans les Recherches rapides

  1. Cliquez sur Recherches rapides pour ouvrir la fenêtre "Recherches rapides". Cette fenêtre affiche vos recherches enregistrées et l'historique des recherches.

  2. Cliquez sur l'une des recherches listées pour la charger dans le champ de recherche UDM.

  3. Cliquez sur Lancer la recherche lorsque vous êtes prêt.

Les recherches listées sont enregistrées dans votre compte Chronicle. Si vous devez modifier l'une de vos recherches enregistrées (par exemple, renommer une recherche existante), supprimer des recherches enregistrées ou supprimer des recherches de votre historique des recherches, ouvrez le Gestionnaire de recherche en cliquant sur Afficher toutes les recherches.

Présentation des recherches enregistrées et de l'historique des recherches

Utilisez le Gestionnaire de recherche pour récupérer les recherches enregistrées et afficher l'historique de vos recherches. Les recherches enregistrées et l'historique des recherches sont tous deux stockés dans votre compte Chronicle. Seuls les utilisateurs individuels peuvent consulter et consulter les recherches enregistrées et l'historique des recherches, sauf si vous utilisez la fonctionnalité Partager une recherche pour partager votre recherche avec les membres de votre organisation. Sélectionnez une recherche enregistrée pour afficher des informations supplémentaires, y compris son titre et sa description.

Search Manager

Figure 19 Search Manager

Pour enregistrer une recherche:

  1. Sur la page de recherche UDM, cliquez sur Enregistrer pour enregistrer votre recherche UDM en vue d'une utilisation ultérieure. Le Gestionnaire de recherche s'ouvre. Google vous recommande d'attribuer à votre recherche enregistrée un nom explicite et une description en texte brut de ce que vous recherchez. Vous pouvez également créer une recherche UDM à partir du Search Manager en cliquant sur . Les outils standards d'édition et de saisie semi-automatique des UDM sont également disponibles ici.

  2. (Facultatif) Spécifiez les variables d'espace réservé au format $<variable name> en utilisant le même format que celui utilisé pour les variables dans YARA-L. Si vous ajoutez une variable à une recherche UDM, vous devez également inclure une invite afin d'aider l'utilisateur à comprendre quelles informations il doit saisir avant d'effectuer la recherche. Toutes les variables doivent être renseignées par des valeurs avant l'exécution de la recherche.

    Par exemple, vous pouvez ajouter metadata.vendor_name = $vendor_name à votre recherche UDM. Pour $vendor_name, vous devez ajouter une invite pour les futurs utilisateurs, par exemple "Saisissez le nom du fournisseur pour votre recherche". Chaque fois qu'un utilisateur charge cette recherche par la suite, il sera invité à saisir le nom du fournisseur avant de pouvoir exécuter la recherche.

  3. Cliquez sur Enregistrer les modifications lorsque vous avez terminé.

  4. Pour afficher les recherches enregistrées, cliquez sur Search Manager, puis sur l'onglet Enregistrées.

Pour récupérer et exécuter une recherche enregistrée:

  1. Dans le Search Manager, cliquez sur l'onglet Enregistrés.

  2. Sélectionnez une recherche enregistrée dans la liste. Ces recherches enregistrées sont enregistrées dans votre compte Chronicle. Vous pouvez supprimer une recherche en cliquant sur , puis en sélectionnant Supprimer la recherche.

  3. Vous pouvez modifier le nom de la recherche et la description. Cliquez sur Enregistrer les modifications lorsque vous avez terminé.

  4. Cliquez sur Charger la recherche. La recherche est chargée dans le champ de recherche principal de l'UAM.

  5. Cliquez sur Lancer la recherche pour afficher les événements associés à cette recherche.

Récupérer une recherche de l'historique des recherches

Pour récupérer et exécuter une recherche à partir de l'historique des recherches:

  1. Dans le Gestionnaire de recherche, cliquez sur Historique.

  2. Sélectionnez une recherche dans votre historique des recherches. L'historique de vos recherches est enregistré dans votre compte Chronicle. Vous pouvez supprimer une recherche en cliquant sur .

  3. Cliquez sur Charger la recherche. La recherche est chargée dans le champ de recherche principal de l'UAM.

  4. Cliquez sur Lancer la recherche pour afficher les événements associés à cette recherche.

Effacer, désactiver ou activer l'historique des recherches

Pour effacer, désactiver ou activer l'historique des recherches:

  1. Dans le Search Manager, cliquez sur l'onglet Historique.

  2. Cliquez sur .

  3. Sélectionnez Effacer l'historique pour effacer l'historique des recherches.

  4. Cliquez sur Désactiver l'historique pour désactiver l'historique des recherches. Vous avez le choix entre:

    • Désactiver uniquement : désactive l'historique des recherches.

    • Désactiver et effacer : désactive l'historique des recherches et supprime l'historique des recherches enregistrées.

  5. Si vous aviez désactivé l'historique des recherches, vous pouvez le réactiver en cliquant sur Activer l'historique des recherches.

  6. Cliquez sur Fermer pour quitter Search Manager.

Partager une recherche

Le partage des recherches vous permet de partager vos recherches avec le reste de votre équipe. Dans l'onglet Enregistrés, vous pouvez partager ou supprimer vos recherches. Vous pouvez également filtrer vos recherches en cliquant sur l'icône de filtre à côté de la barre de recherche, puis trier les recherches par Tout afficher, Défini par Chronicle, Auteurs par moi ou Partagés.

Vous ne pouvez pas modifier une recherche partagée qui ne vous appartient pas.

  1. Cliquez sur Enregistrés.
  2. Cliquez sur la recherche que vous souhaitez partager.
  3. Cliquez sur à droite de la recherche. Une boîte de dialogue contenant l'option de partage de votre recherche s'affiche.
  4. Cliquez sur Partager avec votre organisation.
  5. Un pop-up s'affiche pour vous informer que les membres de votre organisation pourront voir votre recherche. Voulez-vous vraiment partager ? Cliquez sur Partager,

Si vous souhaitez que la recherche ne soit visible que par vous, cliquez sur , puis sur Arrêter le partage. Si vous désactivez le partage, vous seul pourrez utiliser cette recherche.

Étapes suivantes

Pour découvrir comment utiliser des données enrichies en contexte dans la recherche UDM, consultez Utiliser des données enrichies en contexte dans la recherche UDM.