UDM 検索

UDM 検索機能を使用することで、Chronicle インスタンス内の統合データモデル(UDM)のイベントやアラートを検索できます。UDM 検索にはさまざまな検索オプションが含まれているため、あらゆる UDM データを検索できます。共有検索キーワードに関連付けられている個別の UDM イベントとグループの UDM イベント両方を検索できます。

Chronicle Security Operations のお客様は、コネクタWebhook からアラートを取り込むこともできます。UDM 検索を使用してこれらのアラートを見つけることもできます。

UDM の詳細については、ログデータを UDM としてフォーマットするおよび統合データモデルのフィールド リストをご覧ください。

Chronicle UDM の検索にアクセスするには、ナビゲーション バーの [検索] をクリックします。また、Chronicle の検索フィールドに有効な UDM フィールドを入力し、Ctrl+Enter キーを押して UDM 検索にアクセスすることもできます。

すべての有効な UDM フィールドの一覧については、統合データモデルのフィールド リストをご覧ください。

UDM 検索

図 1. UDM 検索

空の UDM 検索

図 2. Ctrl+Enter キーを押して表示される UDM 検索ウィンドウ

UDM 検索を [UDM 検索] フィールドに入力するには、次の手順を実行します。UDM 検索の入力が完了したら、[検索を実行] をクリックします。Chronicle のユーザー インターフェースでは、有効な UDM 検索式のみ入力できます。期間ウィンドウを開いて、検索するデータの範囲を調整することもできます。

検索の範囲が広すぎると、すべての検索結果を表示できないことを示す警告メッセージが返されます。検索範囲を縮小して再度実行してください。検索の範囲が広すぎると、Chronicle は検索の上限(100 万件のイベントと 1,000 件のアラート)までの最新の結果を返します。一致するイベントやアラートが格段に多く存在するものの、現時点では表示されない場合があります。結果を分析するときは、この点に注意してください。上限に達するまで、追加のフィルタを適用して元の検索を実行することをおすすめします。代わりに、上限を超えない範囲になるまで追加のフィルタを適用してから、元の検索を再実行します。

検索の日付と実行

図 3. 検索を実行

UDM クエリは UDM フィールドに基づいており、すべて 統合データモデルのフィールド リストに記載されています。フィルタや未加工ログ検索を使用して、検索のコンテキスト内で UDM フィールドを表示することもできます。

  1. イベントを検索するには、検索フィールドに UDM フィールド名を入力します。ユーザー インターフェースに自動入力機能が備わっているため、入力した内容に基づいて有効な UDM フィールドが表示されます。

  2. 有効な UDM フィールドを入力したら、有効な演算子を選択します。入力した UDM フィールドに基づいて、使用可能な有効な演算子がユーザー インターフェースに表示されます。次の演算子がサポートされています。

    • <, >
    • <=, >=
    • =, !=
    • nocase -- 文字列に対してサポート
  3. 有効な UDM フィールドと演算子を入力したら、検索するログデータを入力します。次のデータ型がサポートされています。

    • 列挙値: ユーザー インターフェースに、指定した UDM フィールドで有効な列挙値のリストが表示されます。

      例(二重引用符とすべて大文字を使用すること): metadata.event_type = "NETWORK_CONNECTION"

    • 追加値: 'field[key] = value' を使用して、イベントの追加フィールドとラベル フィールドを検索できます。

      例: additional.fields["key"]="value"

    • ブール値: true または false を使用できます(すべての文字は大文字と小文字が区別されず、キーワードは引用符で囲みません)。

      例: network.dns.response = true

    • 整数

      例: target.port = 443

    • 浮動小数点数: float 型の UDM フィールドの場合は、3.1 などの浮動小数点値を入力します。また、3 などの整数を入力することもできます。この値は、3.0 を入力した場合と同等です。

      たとえば、security_result.about.asset.vulnerabilities.cvss_base_score = 3.1 や、security_result.about.asset.vulnerabilities.cvss_base_score = 3 です。

    • 正規表現:(正規表現はスラッシュ(/)文字で囲む必要があります)

      例: principal.ip = /10.*/

      正規表現の詳細については、正規表現のページをご覧ください。

    • 文字列

      例(二重引用符を使用すること): metadata.product_name = "Google Cloud VPC Flow Logs"

  4. nocase 演算子を使用すると、特定の文字列の大文字と小文字のバージョンの組み合わせを検索できます。

    • principal.hostname != "http-server" nocase
    • principal.hostname = "JDoe" nocase
    • principal.hostname = /dns-server-[0-9]+/ nocase
  5. 文字列のバックスラッシュと二重引用符は、バックスラッシュ文字を使用してエスケープする必要があります。例:

    • principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
    • target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""
  6. ブール式を使用すると、表示されるデータの範囲を絞り込むことができます。サポートされているブール式の例を次に示します(ANDORNOT ブール演算子を使用できます)。

    • A AND B
    • A OR B
    • (A OR B) AND (B OR C) AND (C OR NOT D)

    次の例は、実際の構文がどのように表示されるかを示しています。

    財務サーバーへのログイン イベント:

    metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"

    正規表現を使用して Windows での psexec.exe ツールの実行を検索する例。

    target.process.command_line = /\bpsexec(.exe)?\b/ nocase

    複数演算子(>)を使用して、10 MB を超えるデータが送信された接続を検索する例。

    metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000

    複数の条件を使用して、cmd.exe または powershell.exe を起動する Winword を検索する例。

        metadata.event_type = "PROCESS_LAUNCH" and
        principal.process.file.full_path = /winword/ and
        (target.process.file.full_path = /cmd.exe/ or
        target.process.file.full_path = /powershell.exe/)

  7. UDM 検索を使用して、[追加] フィールドと [ラベル] フィールドで特定の Key-Value ペアを検索することもできます。

    [追加] フィールドと [ラベル] フィールドは、標準の UDM フィールドに収まらないイベントデータのカスタマイズ可能な「キャッチオール」のフィールドとして使用されます。追加のフィールドには、複数の Key-Value ペアを含めることができます。ラベルのフィールドには、Key-Value ペアを 1 つだけ含めることができます。ただし、フィールドの各インスタンスには、キーと値が 1 つだけ含まれます。キーはかっこで囲み、値は右側に配置する必要があります。

    次の例は、指定した Key-Value ペアを含むイベントを検索する方法を示しています。

        additional.fields["pod_name"] = "kube-scheduler"
        metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"
    次の例は、Key-Value ペア検索で AND 演算子を使用する方法を示しています。
        additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"

    次の構文を使用すると、値に関係なく、指定したキーを含むすべてのイベントを検索できます。

        additional.fields["pod_name"] != ""
    また、正規表現と nocase 演算子を使用することもできます。
        additional.fields["pod_name"] = /br/
        additional.fields["pod_name"] = bar nocase

  8. ブロック コメントや単一行コメントを使用することもできます。

    次の例は、ブロック コメントの使用方法を示しています。

        additional.fields["pod_name"] = "kube-scheduler"
        /*
        Block comments can span
        multiple lines.
        */
        AND additional.fields["pod_name1"] = "kube-scheduler1"

    次の例は、単一行コメントの使用方法を示しています。

        additional.fields["pod_name"] != "" // my single-line comment

  9. [検索を実行] をクリックして UDM 検索を実行し、結果を表示します。

  10. イベントは、イベント タイムライン テーブルの [UDM 検索] ページに表示されます。追加の UDM フィールドを手動で追加したり、インターフェースを使用したりして、結果をさらに絞り込むことができます。

グループ化されたフィールドを検索する

グループ化されたフィールドは、関連する UDM フィールドのグループのエイリアスです。グループ化されたフィールドを使用すると、各フィールドを個別に入力することなく、複数の UDM フィールドを同時にクエリできます。

次の例は、指定した IP アドレスを含む可能性がある共通の UDM フィールドを照合するクエリを入力する方法を示しています。

    ip = "1.2.3.4"

正規表現と nocase 演算子を使用して、グループ化されたフィールドを照合できます。リファレンス リストもサポートされています。グループ化したフィールドは、次の例で示すように、通常の UDM フィールドと組み合わせて使用することもできます。

    ip = "5.6.7.8" AND metadata.event_type = "NETWORK_CONNECTION"

グループ化されたフィールドは、クイック フィルタに独立したセクションを持っています。

グループ化された UDM フィールドのタイプ

次のグループ化された UDM フィールドをすべて検索できます。

グループ化されたフィールド名 関連付けられている UDM フィールド
ドメイン about.administrative_domain
about.asset.network_domain
network.dns.questions.name
network.dns_domain
principal.administrative_domain
principal.asset.network_domain
target.administrative_domain
target.asset.hostname
target.asset.network_domain
target.hostname
email intermediary.user.email_addresses
network.email.from
network.email.to
principal.user.email_addresses
security_result.about.user.email_addresses
target.user.email_addresses
file_path principal.file.full_path
principal.process.file.full_path
principal.process.parent_process.file.full_path
target.file.full_path
target.process.file.full_path
target.process.parent_process.file.full_path
ハッシュ about.file.md5
about.file.sha1
about.file.sha256
principal.process.file.md5
principal.process.file.sha1
principal.process.file.sha256
security_result.about.file.sha256
target.file.md5
target.file.sha1
target.file.sha256
target.process.file.md5
target.process.file.sha1
target.process.file.sha256
hostname intermediary.hostname
observer.hostname
principal.asset.hostname
principal.hostname
src.asset.hostname
src.hostname
target.asset.hostname
target.hostname
ip intermediary.ip
observer.ip
principal.artifact.ip
principal.asset.ip
principal.ip
src.artifact.ip
src.asset.ip
src.ip
target.artifact.ip
target.asset.ip
target.ip
名前空間 principal.namespace
src.namespace
target.namespace
process_id principal.process.parent_process.pid
principal.process.parent_process.product_specific_process_id
principal.process.pid
principal.process.product_specific_process_id
target.process.parent_process.pid
target.process.parent_process.product_specific_process_id
target.process.pid
target.process.product_specific_process_id
ユーザー about.user.userid
observer.user.userid
principal.user.user_display_name
principal.user.userid
principal.user.windows_sid
src.user.userid
target.user.user_display_name
target.user.userid
target.user.windows_sid

検索クエリの UDM フィールドを見つける

UDM 検索クエリの作成中に、どの UDM フィールドを含めるか判断できない場合があります。 UDM Lookup を使用すると、名前にテキスト文字列を含む、または特定の文字列値を格納する UDM フィールド名をすばやく見つけることができます。バイト、ブール値、数値など、他のデータ型の検索に使用することは想定されていません。UDM 検索クエリの開始点として、UDM Lookup から返された 1 つ以上の結果を選択します。

UDM Lookup を使用するには、次の手順を実行します。

  1. [UDM 検索] ページで、[UDM フィールドを値でルックアップ] フィールドにテキスト文字列を入力してから、[UDM Lookup] をクリックします。

  2. [UDM Lookup] ダイアログで、次の 1 つ以上のオプションを選択して、検索するデータの範囲を指定します。

    • UDM フィールド: UDM フィールド名内のテキストを検索します(例: network.dns.questions.nameprincipal.ip)。
    • : UDM フィールドに割り当てられた値内のテキストを検索します(例: dnsgoogle.com)。
  3. 検索フィールドに文字列を入力または変更します。入力すると、検索結果がダイアログに表示されます。

    UDM フィールド内と内の検索では、結果がわずかに異なります。 内のテキストを検索すると、結果は次のようになります。

    • 値の先頭または末尾に文字列が見つかった場合、文字列は結果内で、UDM フィールド名とログが取り込まれた時刻とともにハイライト表示されます。
    • テキスト文字列が値内の他の場所で見つかった場合、結果には、UDM フィールド名とテキスト Possible value match が表示されます。

    値内を検索

    UDM Lookup で値内を検索する

    • UDM フィールド名内のテキスト文字列を検索すると、UDM Lookup は名前の任意の場所で完全に一致する結果を返します。

    UDM フィールド内を検索

    UDM Lookup で UDM フィールド内を検索する

  4. 結果リストでは、次の操作を行うことができます。

    • UDM フィールドの名前をクリックすると、そのフィールドの説明が表示されます。

    • 各 UDM フィールド名の左側にあるチェックボックスをオンにして、1 つ以上の結果を選択します。

    • [リセット] ボタンをクリックして、結果リストで選択したすべてのフィールドの選択を解除します。

  5. 選択した結果を [UDM 検索] フィールドに追加するには、[検索に追加] ボタンをクリックします。

    選択した結果は、[UDM をコピー] ボタンを使用してコピーし、[UDM Lookup] ダイアログを閉じ、検索クエリ文字列を [UDM 検索] フィールドに貼り付けることができます。

    Chronicle は、選択された結果を UDM フィールド名または名前と値のペアとして UDM クエリ文字列に変換します。複数の結果を追加すると、各結果は UDM 検索フィールドの OR 演算子を使用して既存のクエリの末尾に追加されます。

    追加されるクエリ文字列は、UDM Lookup によって返される一致のタイプによって異なります。

    • 結果が UDM フィールド名のテキスト文字列と一致する場合、完全な UDM フィールド名がクエリに追加されます。次に例を示します。

      principal.artifact.network.dhcp.client_hostname

    • 結果が、値の先頭または末尾のテキスト文字列と一致する場合、名前と値のペアには、UDM フィールド名と結果内の完全な値が含まれます。次に例を示します。

      metadata.log_type = "PCAP_DNS"

      network.dns.answers.name = "dns-A901F3j.hat.example.com"

    • 結果にテキスト Possible value match が含まれている場合、名前と値のペアには、UDM フィールド名と検索キーワードを含む正規表現が含まれます。 次に例を示します。

      principal.process.file.full_path = /google/ NOCASE

  6. ユースケースに合わせて UDM 検索クエリを編集します。UDM Lookup によって生成されるクエリ文字列は、完全な UDM 検索クエリを記述するための出発点です。

UDM Lookup の動作の概要

このセクションでは、UDM Lookup 機能について詳しく説明します。

  • UDM Lookup は、2023 年 8 月 10 日以降に取り込まれたデータを検索します。これ以前に取り込まれたデータは検索されません。拡充されていない UDM フィールドで見つかった結果を返します。 拡充されたフィールドに対する一致は返されません。拡充されたフィールドと拡張されていないフィールドの詳細については、イベント ビューアでイベントを表示するをご覧ください。
  • UDM Lookup を使用する検索では大文字と小文字が区別されません。用語 hostname は、HostName と同じ結果を返します。
  • クエリ文字列内のハイフン(-)とアンダースコア(_)は、を検索するときには無視されます。テキスト文字列 dns-ldnsl はどちらも値 dns-l を返します。
  • を検索するときに、UDM Lookup は次の場合に一致を返しません。

    次の UDM フィールド内での一致。
    • metadata.product_log_id
    • network.session_id
    • security_result.rule_id
    • network.parent_session_id
    次の値のいずれかで終わるフルパス名を持つ UDM フィールド内での一致。
    • .pid
      たとえば target.process.pid
    • .asset_id
      たとえば principal.asset_id
    • .product_specific_process_id
      たとえば principal.process.product_specific_process_id
    • .resource.id
      たとえば principal.resource.id

  • を検索するときに、次の場合に一致が見つかると、UDM Lookup はメッセージ Possible value match を表示します。

    次の UDM フィールド内での一致。
    • metadata.description
    • security_result.description
    • security_result.detection_fields.value
    • security_result.summary
    • network.http.user_agent
    次の値のいずれかで終わるフルパス名を持つ UDM フィールド内での一致。
    • .command_line
      たとえば principal.process.command_line
    • .file.full_path
      たとえば principal.process.file.full_path
    • .labels.value
      たとえば src.labels.value
    • .registry.registry_key
      たとえば principal.registry.registry_key
    • .url
      たとえば principal.url
    次の値で始まるフルパス名を持つ UDM フィールド内での一致。 additional.fields.value.
    たとえば additional.fields.value.null_value

アラートを表示するには、[UDM 検索] ページの右上にある [イベント] タブの右側にある [アラート] タブをクリックします。

アラートが表示される方法

Chronicle は、UDM 検索で返されたイベントを、お客様の環境でのアラートについて存在するイベントに対して評価します。検索クエリイベントがアラートに存在するイベントと一致すると、アラート タイムラインと結果のアラート テーブルに表示されます。

イベントとアラートの定義

イベントは、Chronicle に取り込まれ、Chronicle の取り込みと正規化プロセスによって処理される未加工のログソースから生成されます。1 つの未加工ログソース レコードから複数のイベントを生成できます。イベントは、その未加工ログから生成される一連のセキュリティ関連のデータポイントを表します。

UDM 検索では、アラートはアラートが有効になっている YARA-L ルール検出として定義されます。詳しくは、ライブデータに対するルールの実行をご覧ください。

他のデータソースをアラートとして Chronicle に取り込むこともできます(Crowdstrike Falcon アラートなど)。これらのアラートは、Chronicle Detection Engine で YARA-L ルールとして処理されない限り、UDM 検索に表示されません。

完全なアラートのスクリーンショット

図 4. アラートのスケジュール

1 つ以上のアラートに関連付けられているイベントには、[イベント タイムライン] のアラートチップが表示されます。タイムラインに関連する複数のアラートがある場合、チップには関連するアラートの数が表示されます。

タイムラインには、検索結果から取得した最新のアラートが 1,000 件表示されます。1,000 件の上限に達すると、アラートは取得されなくなります。検索に関連するすべての結果を表示するには、フィルタを使用して検索を絞り込みます。

アラートを調査する方法

アラートのグラフアラートの詳細を使用してアラートを調査する方法については、アラートを調査するをご覧ください。

UDM 検索で参照リストを使用する

ルールで参照リストを適用するプロセスは、検索でも使用できます。1 つの検索クエリに最大 7 個のリストを含めることができます。すべての型のリファレンス リスト(文字列、正規表現、CIDR)がサポートされています。

トラッキングする変数のリストを作成できます。たとえば、不審な IP アドレスのリストを作成できます。

// Field value exists in reference list
principal.ip IN %suspicious_ips

また、AND または OR を使用すると、複数のリストを使用できます。

// multiple lists can be used with AND or OR
principal.ip IN %suspicious_ips AND
principal.hostname IN %suspicious_hostnames

検索結果を絞り込む

UDM 検索のユーザー インターフェースを使用して、UDM 検索を変更して検索を再実行する代わりに、結果をフィルタして絞り込むことができます。

タイムライン グラフ

タイムライン グラフには、現在の UDM 検索によって表面化される毎日発生しているイベントとアラートの数がグラフィカルに表示されます。イベントとアラートは、同じタイムライン グラフに表示されます。タイムライン グラフは、[イベント] タブと [アラート] タブの両方に表示されます。

各棒の幅は、検索された時間間隔によって異なります。たとえば、検索が 24 時間分にわたる場合、各棒は 10 分を表します。このグラフは、既存の UDM 検索を変更すると動的に更新されます。

イベント タイムライン グラフ

図 8. イベント タイムライン グラフ

期間の調整

白いスライダー コントロールを左右に動かして期間を調整し、目的の期間にフォーカスすることで、グラフの期間を調整できます。期間を調整すると、UDM フィールドと値とイベントの表が現在の選択を反映するように更新されます。グラフの単一の棒をクリックして、その期間のイベントだけを表示することもできます。

期間を調整すると、[フィルタ済みイベント] と [クエリイベント] チェックボックスが表示され、表示されるイベントの種類をさらに制限できます。

期間コントロールを含むイベントのタイムライン グラフ

図 9. 期間コントロールを含むイベントのタイムライン グラフ

クイック フィルタで UDM 検索を変更する

クイック フィルタを使用すると、UDM 検索をさらに絞り込むことができます。UDM フィールドのリストをスクロールするか、検索フィールドを使用して特定の UDM フィールドまたは値を検索できます。ここに表示される UDM フィールドは、UDM 検索によって生成されたイベントの既存のリストに関連付けられます。各 UDM フィールドには、現在の UDM 検索内のこのデータの数も含まれます。UDM フィールドのリストには、フィールド内の一意の値の合計数が表示されます。この機能を使用すると、関心を持っている可能性のある特定の種類のログデータを検出できます。

UDM のフィールドは次の順序で表示されます。

  1. イベントが最も多いフィールドが最も少ないイベント数にカウントされます。
  2. 値が 1 つのみのフィールドは、常に最後になります。
  3. イベント数がまったく同じであるフィールドは、A から Z のアルファベット順で並べられます。

クイック フィルタ

図 10. クイック フィルタ

クイック フィルタを変更する

クイック フィルタ リストで UDM フィールド値を選択し、メニュー アイコンをクリックすると、UDM フィールド値も含まれるイベントのみを表示する、またはその UDM フィールドの値をフィルタで除外するかを選択できます。UDM フィールドに整数値(例: target.port)が格納されている場合は、<,>,<=,>= でフィルタするオプションも表示されます。フィルタ オプションによって、表示されるイベントのリストが短くなります。

クイック フィルタでフィールドを固定(画鋲の形をした固定アイコンを使用)して、お気に入りとして保存することもできます。クイック フィルタ リストの一番上に表示されます。

表示のみ

図 11. 例: [表示のみ] を選択する

これらの追加 UDM フィルタは、上述のフィルタ イベント フィールドにも追加されます。フィルタ イベント フィールドは、UDM 検索に追加した UDM フィールドを追跡するのに役立ちます。また、必要に応じて、追加の UDM フィールドをすばやく削除することもできます。

イベントをフィルタ

図 12. イベントをフィルタ

[フィルタ イベント] メニュー アイコンまたは左側の [フィルタを追加] をクリックするとウィンドウが開き、追加の UDM フィールドを選択できます。

フィルタ イベント ウィンドウ

図 13. フィルタ イベント ウィンドウ

[検索と実行に適用] をクリックすると、UDM フィールドがフィルタ イベント フィールドに追加され(図 8 を参照)、表示されるイベントは、これらの追加フィルタに基づいてフィルタされます。[検索と実行に適用] をクリックして、ページ上部のメインの UDM 検索フィールドに追加することもできます。検索は、同じ日時パラメータを使用して自動的に再実行されます。[検索と実行に適用] をクリックする前に、できるだけ検索を絞り込むことをおすすめします。これによって精度が向上し、検索時間を短縮できます。

イベント テーブルでイベントを表示する

これらのフィルタとコントロールはすべて、イベント テーブルに表示されるイベントのリストを更新します。リストされたイベントのいずれかをクリックしてログビューアを開き、そのイベントの未加工のログと UDM レコードを調べられます。イベントのタイムスタンプをクリックすると、関連するアセット、IP アドレス、ドメイン、ハッシュ、ユーザービューにも移動できます。テーブルの上部にある検索フィールドを使用して、特定のイベントを検索することもできます。

イベント テーブル

図 14. イベント テーブル

アラート テーブルでアラートを表示する

アラートを表示するには、[イベント] タブの右側にある [アラート] タブをクリックします。クイック フィルタを使用して、アラートを並べ替えることができます。

  • ケース
  • 名前
  • 優先度
  • 重大度
  • ステータス
  • 判断

これにより、最も重要なアラートに集中できます。

アラートは、[イベント] タブと同じ時間枠に表示されます。これにより、イベントとアラートの関係を簡単に確認できます。

特定のアラートの詳細を確認するには、アラートをクリックします。個々のアラートの詳細ページが開き、そのアラートに関する詳細情報が表示されます。

イベント ビューアでイベントを表示する

[イベント] テーブル内のイベントにカーソルを合わせると、ハイライト表示されたイベントの右側にあるイベント ビューアのアイコンが表示されます。クリックしてイベント ビューアを開きます。

イベント ビューア

図 15. イベント ビューア

[未加工ログ] ウィンドウには、元の未加工のログが次のいずれかの形式で表示されます。

  • JSON
  • XML
  • CSV
  • 16 進数 / ASCII

UDM ウィンドウに構造化 UDM レコードが表示されます。UDM フィールドにカーソルを合わせると、UDM の定義がポップアップ表示されます。UDM フィールドのチェックボックスをオンにすると、追加のオプションが利用できます。

  • UDM レコードをコピーできます。1 つ以上の UDM フィールドを選択し、[アクションを表示] プルダウン メニューから [UDM をコピー] オプションを選択します。UDM フィールドと UDM の値がシステム クリップボードにコピーされます。

  • UDM フィールドをイベント テーブル内の列として追加するには、[アクションを表示] プルダウン メニューから [列を追加] オプションを選択します。

各 UDM フィールドは、フィールドに拡充されたデータまたは拡充されていないデータが含まれることを示すアイコンでラベル付けされます。アイコンのラベルは次のとおりです。

  • U: 拡充されていないフィールドには、元の未加工ログのデータを使用して、正規化プロセス中に入力された値が含まれます。
  • E: 拡充されたフィールドには、お客様の環境でアーティファクトに関する追加のコンテキストを提供するために Chronicle によって入力される値が含まれます。詳細については、Chronicle によるイベントデータとエンティティ データの拡充方法をご覧ください。

    拡充および拡充されていない UDM フィールド

図 16. イベント ビューアの UDM フィールド

[] オプションを使用すると、イベント テーブルに表示される情報の列を調整できます。列のポップアップ メニューが表示されます。使用可能なオプションは、UDM 検索から返されるイベントの種類によって異なります。

必要に応じて、[保存] をクリックして、選択した列のセットを保存できます。選択した列の名前に名前を付け、[保存] をもう一度クリックします。保存した列のセットを読み込むには、[読み込み] をクリックして、リストから一連の保存列を選択します。

また、その他メニューをクリックし、[CSV 形式でダウンロード] を選択して、表示されるイベントをダウンロードすることもできます。これによって、すべての検索結果が 100 万件までダウンロードされます。ダウンロードするイベントの数は、ユーザー インターフェースに表示されます。

UDM 検索列

図 17. UDM 検索列

ピボット テーブルを使用してイベントを分析する

ピボット テーブルを使用すると、式と関数を使用して UDM 検索の結果に対してイベントを分析できます。

ピボット テーブルを開いて設定するには、次の手順を行います。

  1. UDM 検索を実行します。

  2. [ピボット] タブをクリックして、ピボット テーブルを開きます。

  3. 特定の UDM フィールドごとにイベントをグループ化するには、[Group By] 値を指定します。結果は、デフォルトの大文字小文字を使用するか、メニューから [小文字] を選択して小文字で表示できます。このオプションは、文字列フィールドでのみ使用できます。[フィールドを追加] をクリックすると、最大 5 つの [Group By] 値を指定できます。

    [Group By] 値がホスト名フィールドのいずれかである場合は、追加の変換オプションを使用できます。

    • トップ N - レベル ドメイン - 表示するドメインのレベルを選択します。 たとえば、値を 1 にすると、トップレベル ドメイン(comgovedu など)のみが表示されます。値を 3 にすると、ドメイン名の次の 2 つのレベル(google.co.uk など)が表示されます。
    • 登録済みドメインの取得 - 登録済みドメイン名(google.comnytimes.comyoutube.com など)のみが表示されます。

    [Group By] 値が IP フィールドのいずれかである場合は、追加の変換オプションを使用できます。

    • (IP)CIDR プレフィックスの長さ(ビット単位) - IPv4 アドレスには 1 ~ 32 を指定できます。IPv6 アドレスの場合は、最大 128 までの値を指定できます。

    [Group By] 値にタイムスタンプが含まれている場合は、追加の変換オプションを使用できます。

    • (時間)ミリ秒単位の解決
    • (時間)秒単位の解決
    • (時間)分単位の解決
    • (時間)時間単位の解決
    • (時間)日単位の解決
  4. 結果のフィールドのリストから、ピボットの値を指定します。最大 5 つの値を指定できます。フィールドを指定したら、[要約] オプションを選択する必要があります。次のオプションで要約できます。

    • sum
    • count distinct
    • average
    • stddev
    • max

    特定の UDM 検索とピボット テーブルで特定されたイベントの数を返すには、[イベント数] の値を指定します。

    [要約] オプションは、[Group By] フィールドと互換性がありません。例: [sum]、[average]、[stddev]、[min]、[max] オプションは、数値フィールドのみに適用できます。互換性のない [要約] オプションを [Group By] フィールドに関連付けようとすると、エラー メッセージが表示されます。

  5. 1 つ以上の UDM フィールドを指定し、[Order By] オプションを使用して 1 つ以上の並べ替えを選択します。

  6. 準備ができたら [適用] をクリックします。結果がピボット テーブルに表示されます。

  7. (省略可)ピボット テーブルをダウンロードするには、 をクリックして [CSV 形式でダウンロード] を選択します。ピボットを選択しなかった場合、このオプションは無効になります。

クイック検索で検索を実行する

  1. [クイック検索] をクリックして、クイック検索ウィンドウを開きます。このウィンドウには、保存済みの検索条件や検索履歴が表示されます。

  2. 表示された検索をクリックして、UDM 検索フィールドに読み込みます。

  3. 準備ができたら [検索を実行] をクリックします。

一覧表示された検索は Chronicle アカウントに保存されます。保存済みの検索条件を変更(既存の検索の名前を変更するなど)したり、保存済みの検索条件を削除したり、検索履歴から検索を削除したりする必要がある場合は、[すべての検索を表示] をクリックして、検索マネージャーを開きます。

保存済みの検索条件と検索履歴の概要

検索マネージャーを使用して保存済みの検索条件を取得し、[検索マネージャー] をクリックして検索履歴を表示します。保存済みの検索条件と検索履歴は、Chronicle アカウントと一緒に保存されます。検索を共有する機能を使用して、自分の検索を組織と共有しない限り、保存済みの検索条件と検索履歴は、個々のユーザーのみ表示とアクセスが可能です。保存済みの検索条件を選択すると、タイトルや説明などの詳細情報が表示されます。

検索マネージャー

図 19.検索マネージャー

検索を保存するには:

  1. UDM の検索ページで [保存] をクリックして、後のために UDM 検索を保存します。これにより、検索マネージャーが開きます。保存済みの検索条件には、意味のある名前とわかりやすいテキストの説明を付けることをおすすめします。検索マネージャー内から をクリックして、新しい UDM 検索を作成することもできます。標準の UDM の編集ツールと補完ツールもここで利用できます。

  2. (省略可)YARA-L の変数と同じ形式を使用して、$<variable name> の形式でプレースホルダ変数を指定します。 変数を UDM の検索に追加する場合は、検索を実行する前に入力しなければならない情報をユーザーに理解してもらうためのプロンプトも含める必要があります。検索を実行する前に、すべての変数に値を入力する必要があります。

    たとえば、UDM 検索に metadata.vendor_name = $vendor_name を追加できます。$vendor_name については、「検索のベンダーの名前を入力する」などのプロンプトを今後のユーザー向けに追加する必要があります。ユーザーが次回この検索を読み込むたびに、検索を実行する前にベンダー名の入力を求められます。

  3. 完了したら [編集を保存] をクリックします。

  4. 保存済みの検索条件を表示するには、[検索マネージャー] をクリックし、[保存済み] タブをクリックします。

保存済みの検索条件を取得して実行するには:

  1. 検索マネージャーで、[保存済み] タブをクリックします。

  2. リストから保存済みの検索条件を選択します。保存済みの検索条件は、Chronicle アカウントに保存されます。検索を削除するには、[] をクリックして [検索を削除] を選択します。

  3. 検索の名前と説明は変更できます。完了したら [編集を保存] をクリックします。

  4. [検索を読み込む] をクリックします。検索がメインの UDM 検索フィールドに読み込まれます。

  5. [検索を実行] をクリックすると、この検索に関連付けられたイベントが表示されます。

検索履歴から検索を取得する

検索履歴から検索を取得して実行するには:

  1. 検索マネージャーで、[履歴] をクリックします。

  2. 検索履歴から検索を取得する検索履歴が Chronicle アカウントに保存されます。検索を削除するには [] をクリックします。

  3. [検索を読み込む] をクリックします。検索がメインの UDM 検索フィールドに読み込まれます。

  4. [検索を実行] をクリックすると、この検索に関連付けられたイベントが表示されます。

検索履歴を消去、無効または有効にする

検索履歴を消去、無効または有効にするには:

  1. 検索マネージャーで、[履歴] タブをクリックします。

  2. [] をクリックします。

  3. 検索履歴を消去するには、[履歴を消去] を選択します。

  4. 検索履歴を無効にするには、[履歴を無効にする] をクリックします。次のいずれかを選択できます。

    • オプトアウトのみ - 検索履歴を無効にします。

    • オプトアウトと消去 - 検索履歴を無効にして、保存した検索履歴を削除します。

  5. 以前に検索履歴を無効にしている場合は、[検索履歴を有効にする] をクリックすると再び有効にできます。

  6. [閉じる] をクリックして検索マネージャーを終了します。

検索を共有する

共有検索を使用すると、チームの他のメンバーと検索を共有できます。[保存済み] タブでは、検索を共有または削除できます。検索バーの横にあるフィルタ アイコンをクリックして、[すべて表示]、[Chronicle で定義]、[自分で作成]、または [共有済み] で検索をフィルタすることもできます。

自分以外の共有検索を編集することはできません。

  1. [保存済み] をクリックします。
  2. 共有する検索をクリックします。
  3. 検索の右側にある をクリックします。検索を共有するオプションが表示されたダイアログ ボックスが表示されます。
  4. [組織と共有] をクリックします。
  5. 検索の共有により組織内のユーザーに公開されることを確認するポップアップが表示されます。共有してもよろしいですか?[共有] をクリックします。

検索結果を自分だけに表示するには、[] をクリックして [共有を停止] をクリックします。共有を停止した場合は、この検索のみを使用できます。

次のステップ

UDM 検索でコンテキスト拡充データを使用する方法については、UDM 検索でコンテキスト拡充データを使用するをご覧ください。