UDM 検索

以下でサポートされています。

UDM 検索機能を使用すると、Google Security Operations インスタンス内の統合データモデル(UDM)イベントとアラートを検索できます。UDM 検索には、UDM データをナビゲートするのに役立つさまざまな検索オプションが含まれています。共有検索キーワードに関連付けられている個別の UDM イベントとグループの UDM イベントを検索できます。

データ RBAC を使用するシステムでは、スコープに一致するデータのみを表示できます。詳細については、データ RBAC が検索に与える影響をご覧ください。

Google Security Operations のお客様は、コネクタWebhook からアラートを取り込むこともできます。UDM 検索を使用して、これらのアラートを見つけることもできます。

UDM の詳細については、ログデータを UDM としてフォーマットするおよび統合データモデルのフィールド リストをご覧ください。

Google Security Operations の UDM 検索にアクセスするには、ナビゲーション バーの [検索] をクリックします。Google Security Operations の任意の検索フィールドに有効な UDM フィールドを入力し、Ctrl+Enter キーを押すことで、UDM 検索にアクセスすることもできます。

すべての有効な UDM フィールドの一覧については、統合データモデルのフィールド リストをご覧ください。

UDM 検索

図 1. UDM 検索

空白の UDM 検索

図 2. CTRL+Enter で開く UDM 検索ウィンドウ

UDM 検索を [UDM 検索] フィールドに入力するには、次の手順を実行します。 UDM 検索の入力が完了したら、[検索を実行] をクリックします。Google Security Operations のユーザー インターフェースでは、有効な UDM 検索式のみを入力できます。期間ウィンドウを開いて、検索するデータの範囲を調整することもできます。

検索範囲が広すぎると、Google Security Operations から、検索結果のすべてを表示できないことを示す警告メッセージが返されます。検索範囲を縮小して再度実行してください。検索の範囲が広すぎると、Google Security Operations は検索の上限(100 万件のイベントと 1, 000 件のアラート)までの最新の結果を返します。一致するイベントやアラートが格段に多く存在するものの、現時点では表示されない場合があります。結果を分析する際は、この点に注意してください。上限を超えない範囲になるまで追加のフィルタを適用してから、元の検索を実行することをおすすめします。

UDM の検索結果ページには、最新の 10,000 件の結果が表示されます。UDM 検索を変更して再実行する代わりに、フィルタを使用して検索結果を絞り込むことで、古い結果を表示できます。

検索の日付と実行

図 3. 検索を実行

UDM クエリは UDM フィールドに基づいており、すべて 統合データモデルのフィールド リストに記載されています。フィルタや未加工ログ検索を使用して、検索のコンテキスト内で UDM フィールドを表示することもできます。

  1. イベントを検索するには、検索フィールドに UDM フィールド名を入力します。ユーザー インターフェースに自動入力機能が備わっているため、入力した内容に基づいて有効な UDM フィールドが表示されます。

  2. 有効な UDM フィールドを入力したら、有効な演算子を選択します。ユーザー インターフェースには、入力した UDM フィールドに基づいて、使用可能な有効な演算子が表示されます。次の演算子がサポートされています。

    • <, >
    • <=, >=
    • =, !=
    • nocase - 文字列でサポート

  3. 有効な UDM フィールドと演算子を入力したら、検索するログデータを入力します。次のデータ型がサポートされています。

    • 列挙値: ユーザー インターフェースに、指定した UDM フィールドで有効な列挙値のリストが表示されます。

      例(二重引用符とすべて大文字を使用すること): metadata.event_type = "NETWORK_CONNECTION"

    • 追加値: 'field[key] = value' を使用して、イベントの追加フィールドとラベル フィールドを検索できます。

      例: additional.fields["key"]="value"

    • ブール値: true または false を使用できます(すべての文字は大文字と小文字が区別されず、キーワードは引用符で囲みません)。

      例: network.dns.response = true

    • 整数

      例: target.port = 443

    • 浮動小数点数: float 型の UDM フィールドの場合は、3.1 などの浮動小数点値を入力します。また、3 などの整数を入力することもできます。この値は、3.0 を入力した場合と同等です。

      たとえば、security_result.about.asset.vulnerabilities.cvss_base_score = 3.1 や、security_result.about.asset.vulnerabilities.cvss_base_score = 3 です。

    • 正規表現:(正規表現はスラッシュ(/)文字で囲む必要があります)

      例: principal.ip = /10.*/

      正規表現の詳細については、正規表現のページをご覧ください。

    • 文字列

      例(二重引用符を使用すること): metadata.product_name = "Google Cloud VPC Flow Logs"

  4. nocase 演算子を使用すると、特定の文字列の大文字と小文字の組み合わせを検索できます。

    • principal.hostname != "http-server" nocase
    • principal.hostname = "JDoe" nocase
    • principal.hostname = /dns-server-[0-9]+/ nocase

  5. 文字列のバックスラッシュと二重引用符は、バックスラッシュ文字を使用してエスケープする必要があります。例:

    • principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
    • target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""

  6. ブール式を使用すると、表示されるデータの範囲をさらに絞り込むことができます。次の例は、サポートされているブール式の一部を示しています(ANDORNOT のブール演算子を使用できます)。

    • A AND B
    • A OR B
    • (A OR B) AND (B OR C) AND (C OR NOT D)

    実際の構文は次のようになります。

    財務サーバーへのログイン イベント:

    metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"

    正規表現を使用して Windows での psexec.exe ツールの実行を検索する例。

    target.process.command_line = /\bpsexec(.exe)?\b/ nocase

    複数演算子(>)を使用して、10 MB を超えるデータが送信された接続を検索する例。

    metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000

    複数の条件を使用して、cmd.exe または powershell.exe を起動する Winword を検索する例。

        metadata.event_type = "PROCESS_LAUNCH" and
    principal.process.file.full_path = /winword/ and
    (target.process.file.full_path = /cmd.exe/ or
    target.process.file.full_path = /powershell.exe/)

  7. UDM 検索を使用して、[追加] フィールドと [ラベル] フィールドで特定の Key-Value ペアを検索することもできます。

    [追加] フィールドと [ラベル] フィールドは、標準の UDM フィールドに収まらないイベントデータのカスタマイズ可能な「キャッチオール」のフィールドとして使用されます。追加のフィールドには、複数の Key-Value ペアを含めることができます。ラベルのフィールドには、Key-Value ペアを 1 つだけ含めることができます。ただし、フィールドの各インスタンスには、1 つのキーと 1 つの値のみが含まれます。キーはかっこで囲み、値は右側に配置する必要があります。

    次の例は、指定した Key-Value ペアを含むイベントを検索する方法を示しています。

        additional.fields["pod_name"] = "kube-scheduler"
    metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"
    次の例は、Key-Value ペア検索で AND 演算子を使用する方法を示しています。
        additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"

    次の構文を使用すると、値に関係なく、指定したキーを含むすべてのイベントを検索できます。

        additional.fields["pod_name"] != ""
     正規表現と nocase 演算子を使用することもできます。 
        additional.fields["pod_name"] = /br/
    additional.fields["pod_name"] = bar nocase

  8. ブロック コメントや単一行コメントを使用することもできます。

    次の例は、ブロック コメントの使用方法を示しています。

        additional.fields["pod_name"] = "kube-scheduler"
    /*
    Block comments can span
    multiple lines.
    */
    AND additional.fields["pod_name1"] = "kube-scheduler1"

    次の例は、単一行コメントの使用方法を示しています。

        additional.fields["pod_name"] != "" // my single-line comment

  9. [検索を実行] をクリックして UDM 検索を実行し、結果を表示します。

  10. イベントは、イベント タイムライン テーブルの [UDM 検索] ページに表示されます。追加の UDM フィールドを手動で追加したり、インターフェースを使用したりして、結果をさらに絞り込むことができます。

グループ化されたフィールドを検索する

グループ化されたフィールドは、関連する UDM フィールドのグループのエイリアスです。グループ化されたフィールドを使用すると、各フィールドを個別に入力することなく、複数の UDM フィールドを同時にクエリできます。

次の例は、指定した IP アドレスを含む可能性がある共通の UDM フィールドを照合するクエリを入力する方法を示しています。

    ip = "1.2.3.4"

グループ化されたフィールドを照合するには、正規表現と nocase 演算子を使用します。参照リストもサポートされています。グループ化したフィールドは、次の例で示すように、通常の UDM フィールドと組み合わせて使用することもできます。

    ip = "5.6.7.8" AND metadata.event_type = "NETWORK_CONNECTION"

グループ化されたフィールドは、[集計] に独立したセクションを持っています。

グループ化された UDM フィールドのタイプ

次のグループ化された UDM フィールドをすべて検索できます。

グループ化されたフィールド名 関連する UDM フィールド
ドメイン about.administrative_domain
about.asset.network_domain
network.dns.questions.name
network.dns_domain
principal.administrative_domain
principal.asset.network_domain
target.administrative_domain
target.asset.hostname
target.asset.network_domain
target.hostname
email intermediary.user.email_addresses
network.email.from
network.email.to
principal.user.email_addresses
security_result.about.user.email_addresses
target.user.email_addresses
file_path principal.file.full_path
principal.process.file.full_path
principal.process.parent_process.file.full_path
target.file.full_path
target.process.file.full_path
target.process.parent_process.file.full_path
ハッシュ about.file.md5
about.file.sha1
about.file.sha256
principal.process.file.md5
principal.process.file.sha1
principal.process.file.sha256
security_result.about.file.sha256
target.file.md5
target.file.sha1
target.file.sha256
target.process.file.md5
target.process.file.sha1
target.process.file.sha256
hostname intermediary.hostname
observer.hostname
principal.asset.hostname
principal.hostname
src.asset.hostname
src.hostname
target.asset.hostname
target.hostname
ip intermediary.ip
observer.ip
principal.artifact.ip
principal.asset.ip
principal.ip
src.artifact.ip
src.asset.ip
src.ip
target.artifact.ip
target.asset.ip
target.ip
名前空間 principal.namespace
src.namespace
target.namespace
process_id principal.process.parent_process.pid
principal.process.parent_process.product_specific_process_id
principal.process.pid
principal.process.product_specific_process_id
target.process.parent_process.pid
target.process.parent_process.product_specific_process_id
target.process.pid
target.process.product_specific_process_id
ユーザー about.user.userid
observer.user.userid
principal.user.user_display_name
principal.user.userid
principal.user.windows_sid
src.user.userid
target.user.user_display_name
target.user.userid
target.user.windows_sid

検索クエリの UDM フィールドを見つける

UDM 検索クエリの作成中に、どの UDM フィールドを含めるか判断できない場合があります。 UDM Lookup を使用すると、名前にテキスト文字列を含む、または特定の文字列値を格納する UDM フィールド名をすばやく見つけることができます。バイト、ブール値、数値などの他のデータ型の検索には使用できません。UDM 検索クエリの開始点として、UDM Lookup から返された 1 つ以上の結果を選択します。

UDM Lookup を使用するには、次の手順を実行します。

  1. [UDM 検索] ページで、[UDM フィールドを値でルックアップ] フィールドにテキスト文字列を入力してから、[UDM Lookup] をクリックします。

  2. [UDM Lookup] ダイアログで、次のオプションの 1 つ以上を選択して、検索するデータの範囲を指定します。

    • UDM フィールド: UDM フィールド名内のテキストを検索します(例: network.dns.questions.nameprincipal.ip)。
    • : UDM フィールドに割り当てられた値内のテキストを検索します(例: dnsgoogle.com)。

  3. 検索フィールドに文字列を入力または変更します。入力すると、検索結果がダイアログに表示されます。

    UDM フィールド内と内の検索では、結果がわずかに異なります。 内のテキストを検索すると、結果は次のようになります。

    • 値の先頭または末尾に文字列が見つかった場合、文字列は結果内で、UDM フィールド名とログが取り込まれた時刻とともにハイライト表示されます。
    • テキスト文字列が値内の他の場所で見つかった場合、結果には、UDM フィールド名とテキスト Possible value match が表示されます。

    値内を検索

    UDM Lookup で値内を検索する

    • UDM フィールド名内のテキスト文字列を検索すると、UDM Lookup は名前の任意の場所で完全に一致する結果を返します。

    UDM フィールド内で検索する

    UDM Lookup で UDM フィールド内を検索する

  4. 結果リストでは、次の操作を行うことができます。

    • UDM フィールドの名前をクリックすると、そのフィールドの説明が表示されます。

    • 各 UDM フィールド名の左側にあるチェックボックスをオンにして、1 つ以上の結果を選択します。

    • [リセット] ボタンをクリックすると、結果リストで選択されているすべてのフィールドの選択が解除されます。

  5. 選択した結果を [UDM 検索] フィールドに追加するには、[検索に追加] ボタンをクリックします。

    選択した結果は、[UDM をコピー] ボタンを使用してコピーし、[UDM Lookup] ダイアログを閉じ、検索クエリ文字列を [UDM 検索] フィールドに貼り付けることができます。

    Google Security Operations は、選択した結果を UDM フィールド名または名前と値のペアとして UDM 検索クエリ文字列に変換します。複数の結果を追加する場合、各結果は OR 演算子を使用して UDM 検索フィールドの既存のクエリの末尾に追加されます。

    追加されるクエリ文字列は、UDM Lookup によって返される一致のタイプによって異なります。

    • 結果が UDM フィールド名のテキスト文字列と一致する場合、完全な UDM フィールド名がクエリに追加されます。次に例を示します。

      principal.artifact.network.dhcp.client_hostname

    • 結果が、値の先頭または末尾のテキスト文字列と一致する場合、名前と値のペアには、UDM フィールド名と結果内の完全な値が含まれます。次に例を示します。

      metadata.log_type = "PCAP_DNS"

      network.dns.answers.name = "dns-A901F3j.hat.example.com"

    • 結果にテキスト Possible value match が含まれている場合、名前と値のペアには、UDM フィールド名と検索キーワードを含む正規表現が含まれます。 次に例を示します。

      principal.process.file.full_path = /google/ NOCASE

  6. ユースケースに合わせて UDM 検索クエリを編集します。UDM Lookup によって生成されたクエリ文字列は、完全な UDM 検索クエリを作成する出発点となります。

UDM Lookup の動作の概要

このセクションでは、UDM ルックアップ機能について詳しく説明します。

  • UDM Lookup は、2023 年 8 月 10 日以降に取り込まれたデータを検索します。この日付より前に取り込まれたデータは検索されません。拡充されていない UDM フィールドで見つかった結果を返します。 拡充されたフィールドへの一致は返されません。拡充されたフィールドと拡張されていないフィールドの詳細については、イベント ビューアでイベントを表示するをご覧ください。
  • UDM Lookup を使用する検索では大文字と小文字が区別されません。hostname という式は、HostName と同じ結果を返します。
  • を検索する際、クエリのテキスト文字列内のハイフン(-)とアンダースコア(_)は無視されます。テキスト文字列 dns-ldnsl はどちらも値 dns-l を返します。

  • を検索するときに、UDM Lookup は次の場合に一致を返しません。

    次の UDM フィールド内での一致。
    • metadata.product_log_id
    • network.session_id
    • security_result.rule_id
    • network.parent_session_id
    次の値のいずれかで終わるフルパスを持つ UDM フィールド内での一致。
    • .pid
      たとえば target.process.pid
    • .asset_id
      たとえば principal.asset_id
    • .product_specific_process_id
      たとえば principal.process.product_specific_process_id
    • .resource.id
      たとえば principal.resource.id

  • を検索するときに、次の場合に一致が見つかると、UDM Lookup はメッセージ Possible value match を表示します。

    次の UDM フィールド内での一致。
    • metadata.description
    • security_result.description
    • security_result.detection_fields.value
    • security_result.summary
    • network.http.user_agent
    次の値のいずれかで終わるフルパスを持つ UDM フィールド内での一致。
    • .command_line
      たとえば principal.process.command_line
    • .file.full_path
      たとえば principal.process.file.full_path
    • .labels.value
      たとえば src.labels.value
    • .registry.registry_key
      たとえば principal.registry.registry_key
    • .url
      たとえば principal.url
    次の値で始まるフルパスを持つ UDM フィールド内での一致。 additional.fields.value.
    たとえば additional.fields.value.null_value

アラートを表示するには、[UDM 検索] ページの右上にある [イベント] タブの右側にある [アラート] タブをクリックします。

アラートが表示される方法

Google Security Operations は、UDM 検索で返されたイベントを、お客様の環境のアラートにあるイベントと照らし合わせて評価します。検索クエリ イベントがアラートに存在するイベントと一致すると、アラート タイムラインと結果のアラート テーブルに表示されます。

イベントとアラートの定義

イベントは、Google Security Operations に取り込まれ、Google Security Operations の取り込みと正規化プロセスによって処理される未加工のログソースから生成されます。1 つの未加工ログソース レコードから複数のイベントを生成できます。イベントは、その未加工ログから生成されたセキュリティ関連のデータポイントのセットを表します。

UDM 検索では、アラートはアラートが有効になっている YARA-L ルール検出として定義されます。詳しくは、ライブデータに対するルールの実行をご覧ください。

他のデータソースは、Crowdstrike Falcon アラートなど、アラートとして Google Security Operations に取り込むことができます。これらのアラートは、Google Security Operations Detection Engine によって YARA-L ルールとして処理されない限り、UDM 検索には表示されません。

1 つ以上のアラートに関連付けられているイベントは、イベント タイムラインでアラート チップでマークされます。タイムラインに関連する複数のアラートがある場合、チップには関連するアラートの数が表示されます。

タイムラインには、検索結果から取得された最新の 1,000 件のアラートが表示されます。1,000 件の上限に達すると、アラートは取得されなくなります。検索に関連するすべての結果を確実に表示するには、フィルタを使用して検索を絞り込みます。

アラートを調査する方法

[アラートのグラフ] と [アラートの詳細] を使用してアラートを調査する方法については、アラートを調査するをご覧ください。

UDM 検索で参照リストを使用する

ルールでリファレンス リストを適用するプロセスは、検索でも使用できます。1 つの検索クエリに最大 7 個のリストを含めることができます。 すべてのタイプの参照リスト(文字列、正規表現、CIDR)がサポートされています。

トラッキングする変数のリストを作成できます。たとえば、不審な IP アドレスのリストを作成できます。

// Field value exists in reference list
principal.ip IN %suspicious_ips

また、AND または OR を使用すると、複数のリストを使用できます。

// multiple lists can be used with AND or OR
principal.ip IN %suspicious_ips AND
principal.hostname IN %suspicious_hostnames

検索結果を絞り込む

UDM 検索を変更して再実行する代わりに、UDM 検索のユーザー インターフェースを使用して結果をフィルタして絞り込むことができます。

タイムライン グラフ

タイムライン グラフには、現在の UDM 検索によって表面化される毎日発生しているイベントとアラートの数がグラフィカルに表示されます。イベントとアラートは、[イベント] タブと [アラート] タブの両方で、同じタイムライン グラフに表示されます。

各バーの幅は、検索する期間によって異なります。たとえば、検索対象のデータが 24 時間にわたる場合、各バーは 10 分を表します。このグラフは、既存の UDM 検索を変更すると動的に更新されます。

期間の調整

グラフの時間範囲は、白いスライダー コントロールを左右に動かして調整できます。時間範囲を調整して、関心のある期間に焦点を当てることができます。期間を調整すると、UDM フィールドと値、イベントの表が更新され、現在の選択内容が反映されます。グラフの単一の棒をクリックして、その期間のイベントだけを表示することもできます。

期間を調整すると、[フィルタされたイベント] チェックボックスと [イベントをクエリ] チェックボックスが表示され、表示されるイベントの種類をさらに制限できます。

期間のコントロールがあるイベント タイムライン グラフ

図 4. 期間のコントロールを備えたイベントのタイムライン グラフ

集計で UDM 検索を変更する

集計を使用すると、UDM 検索をさらに絞り込むことができます。UDM フィールドのリストをスクロールするか、検索フィールドを使用して特定の UDM フィールドまたは値を検索します。ここに表示される UDM フィールドは、UDM 検索によって生成されたイベントの既存のリストに関連付けられます。各 UDM フィールドには、このデータも含まれる現在の UDM 検索内のイベントの数が表示されます。UDM フィールドのリストには、フィールド内の一意の値の合計数が表示されます。この機能を使用すると、より関心のある特定のタイプのログデータを検索できます。

UDM フィールドは次の順序で表示されます。

  1. イベント数の多いフィールドからイベント数の少ないフィールドまで。
  2. 値が 1 つのフィールドは常に最後になります。
  3. イベント数がまったく同じであるフィールドは、A から Z のアルファベット順で並べられます。

集約

図 5. 集計

集計を変更する

集計リストで UDM フィールド値を選択し、メニュー アイコンをクリックすると、UDM フィールド値も含まれるイベントのみを表示する、またはその UDM フィールドの値をフィルタで除外するかを選択できます。UDM フィールドに整数値(例: target.port)が格納されている場合は、<,>,<=,>= でフィルタするオプションも表示されます。 フィルタ オプションを使用すると、表示されるイベントのリストが短縮されます。

集計でフィールドを固定(画鋲の形をした固定アイコンを使用)して、お気に入りとして保存することもできます。集計リストの上部に表示されます。

表示のみ

図 6. 例: [表示のみ] を選択する

これらの追加 UDM フィルタは、フィルタ イベント フィールドにも追加されます。フィルタ イベント フィールドを使用すると、UDM 検索に追加した UDM フィールドを追跡できます。必要に応じて、これらの追加の UDM フィールドをすばやく削除することもできます。

イベントをフィルタ

図 7. イベントをフィルタ

[フィルタ イベント] メニュー アイコンまたは左側の [フィルタを追加] をクリックするとウィンドウが開き、追加の UDM フィールドを選択できます。

フィルタ イベント ウィンドウ

図 8. フィルタ イベント ウィンドウ

[検索と実行に適用] をクリックすると、UDM フィールドがフィルタ イベント フィールドに追加され、表示されるイベントは、これらの追加フィルタに基づいてフィルタされます。[検索と実行に適用] をクリックして、ページ上部のメインの UDM 検索フィールドに追加することもできます。同じ日時パラメータを使用して、検索が自動的に再度実行されます。[検索と実行に適用] をクリックする前に、検索結果をできるだけ絞り込むことをおすすめします。これにより、精度が向上し、検索時間が短縮されます。

イベント テーブルでイベントを表示する

これらのフィルタとコントロールをすべて適用すると、[イベント] テーブルに表示されるイベントのリストが更新されます。リストされたイベントのいずれかをクリックしてログビューアを開き、そのイベントの未加工のログと UDM レコードを調べられます。イベントのタイムスタンプをクリックすると、関連する [アセット]、[IP アドレス]、[ドメイン]、[ハッシュ]、または [ユーザー] ビューに移動することもできます。テーブルの上部にある検索フィールドを使用して、特定のイベントを検索することもできます。

アラート テーブルでアラートを表示する

アラートを表示するには、[イベント] タブの右側にある [アラート] タブをクリックします。集計を使用すると、アラートを次の基準で並べ替えることができます。

  • ケース
  • 名前
  • 優先度
  • 重大度
  • ステータス
  • 判断

これにより、最も重要なアラートに集中できます。

アラートは、[イベント] タブのイベントと同じ期間に表示されます。これにより、イベントとアラートの関係を確認できます。

特定のアラートの詳細を確認するには、そのアラートをクリックします。アラートの詳細ページが開き、そのアラートの詳細情報が表示されます。

イベント ビューアでイベントを表示する

[イベント] 表のイベントにポインタを合わせると、ハイライト表示されたイベントの右側にイベント ビューアを開くアイコンが表示されます。クリックしてイベント ビューアを開きます。

[未加工ログ] ウィンドウには、元の未加工のサインが次のいずれかの形式で表示されます。

  • JSON
  • XML
  • CSV
  • 16 進数 / ASCII

UDM ウィンドウに、構造化 UDM レコードが表示されます。UDM フィールドにポインタを合わせると、UDM の定義が表示されます。UDM フィールドのチェックボックスをオンにすると、次のオプションが表示されます。

  • UDM レコードをコピーできます。1 つ以上の UDM フィールドを選択し、[アクションを表示] プルダウン メニューから [UDM をコピー] オプションを選択します。UDM フィールドと UDM 値がシステム クリップボードにコピーされます。

  • UDM フィールドをイベント テーブル内の列として追加するには、[アクションを表示] プルダウン メニューから [列を追加] オプションを選択します。

各 UDM フィールドは、フィールドに拡充されたデータまたは拡充されていないデータが含まれることを示すアイコンでラベル付けされます。アイコンのラベルは次のとおりです。

  • U: 拡充されていないフィールドには、元の未加工ログのデータを使用して、正規化プロセス中に入力された値が含まれます。

  • E: 拡充フィールドには、Google Security Operations が入力して、お客様の環境内のアーティファクトに関する追加のコンテキストを提供する値が含まれます。詳細については、Google Security Operations によるイベントデータとエンティティ データの拡充方法をご覧ください。

    拡充および拡充されていない UDM フィールド

図 9. イベント ビューアの UDM フィールド

[] オプションを使用すると、イベント テーブルに表示される情報の列を調整できます。[列] メニューが表示されます。使用可能なオプションは、UDM 検索から返されるイベントの種類によって異なります。

必要に応じて、[保存] をクリックして、ここで選択した列のセットを保存できます。選択した列のセットに名前を付け、もう一度 [保存] をクリックします。保存した列のセットを読み込むには、[読み込み] をクリックして、リストから保存した列のセットを選択します。

表示されたイベントをダウンロードするには、その他メニューをクリックして [CSV 形式でダウンロード] を選択します。これにより、最大 100 万件のイベントの検索結果がすべてダウンロードされます。ダウンロードするイベントの数は、ユーザー インターフェースに表示されます。

UDM 検索列

図 10. UDM 検索列

ピボット テーブルを使用してイベントを分析する

ピボット テーブルを使用すると、UDM 検索の結果に対して式と関数を使用してイベントを分析できます。

ピボット テーブルを開いて構成する手順は次のとおりです。

  1. UDM 検索を実行します。

  2. [ピボット] タブをクリックして、ピボット テーブルを開きます。

  3. [グループ条件] の値を指定して、特定の UDM フィールドでイベントをグループ化します。結果をデフォルトの大文字と小文字で表示することも、メニューから [小文字] を選択して小文字のみで表示することもできます。このオプションは文字列フィールドでのみ使用できます。[フィールドを追加] をクリックすると、最大 5 つの [Group By] 値を指定できます。

    [グループ条件] の値がホスト名フィールドのいずれかの場合、変換オプションがさらに表示されます。

    • トップ N - レベル ドメイン - 表示するドメインのレベルを選択します。 たとえば、値 1 を使用すると、トップレベル ドメインのみ(comgovedu など)が表示されます。値 3 を使用すると、ドメイン名の次の 2 つのレベル(google.co.uk など)が表示されます。
    • Get Registered Domain - 登録済みドメイン名のみを表示します(google.comnytimes.comyoutube.com など)。

    [グループ条件] の値が IP フィールドのいずれかの場合、次の変換オプションを使用できます。

    • (IP)CIDR プレフィックスの長さ(ビット単位) - IPv4 アドレスには 1 ~ 32 を指定できます。IPv6 アドレスの場合は、最大 128 個の値を指定できます。

    [グループ条件] の値にタイムスタンプが含まれている場合は、次の変換オプションが追加されます。

    • (時間)ミリ秒単位の解決
    • (時間)秒単位の解決
    • (時間)分単位の解決
    • (時間)時間単位の解決
    • (時間)日単位の解決

  4. 結果のフィールドのリストから、ピボットの値を指定します。指定できる値は 5 つまでです。フィールドを指定したら、[要約] オプションを選択する必要があります。次のオプションで要約できます。

    • sum
    • count distinct
    • average
    • stddev
    • max

    値を [イベント数] に指定すると、この特定の UDM 検索とピボット テーブルで識別されたイベント数を返します。

    [要約] オプションは、[Group By] フィールドと互換性がありません。例: [sum]、[average]、[stddev]、[min]、[max] オプションは、数値フィールドのみに適用できます。互換性のない [要約] オプションを [Group By] フィールドに関連付けようとすると、エラー メッセージが表示されます。

  5. 1 つ以上の UDM フィールドを指定し、[Order By] オプションを使用して 1 つ以上の並べ替えを選択します。

  6. 準備ができたら [適用] をクリックします。結果がピボット テーブルに表示されます。

  7. (省略可)ピボット テーブルをダウンロードするには、 をクリックして [CSV 形式でダウンロード] を選択します。ピボットを選択しなかった場合、このオプションは無効になります。

クイック検索で検索を実行する

  1. [クイック検索] をクリックして、クイック検索 ウィンドウを開きます。このウィンドウには、保存した検索と検索履歴が表示されます。

  2. 表示された検索のいずれかをクリックして、UDM 検索フィールドに読み込みます。

  3. 準備ができたら [検索を実行] をクリックします。

一覧表示された検索は Google Security Operations アカウントに保存されます。保存済みの検索条件を変更(既存の検索の名前を変更するなど)したり、保存済みの検索条件を削除したり、検索履歴から検索を削除したりする必要がある場合は、[すべての検索を表示] をクリックして、検索マネージャーを開きます。

保存済みの検索条件と検索履歴の概要

検索マネージャーを使用して保存済みの検索条件を取得し、[検索マネージャー] をクリックして検索履歴を表示します。保存した検索と検索履歴はどちらも Google Security Operations アカウントに保存されます。検索を共有する機能を使用して、自分の検索を組織と共有しない限り、保存済みの検索条件と検索履歴は、個々のユーザーのみ表示とアクセスが可能です。保存した検索を選択すると、タイトルや説明などの追加情報が表示されます。

検索を保存するには:

  1. UDM の検索ページで [保存] をクリックして、後のために UDM 検索を保存します。検索マネージャーが開きます。保存した検索にわかりやすい名前を付け、検索内容を記述したプレーンテキストを追加することをおすすめします。検索マネージャー内から をクリックして、新しい UDM 検索を作成することもできます。標準の UDM 編集ツールと完了ツールもここで利用できます。

  2. (省略可)YARA-L の変数と同じ形式を使用して、${<variable name>} の形式でプレースホルダ変数を指定します。 UDM 検索に変数を追加する場合は、検索を実行する前に入力する必要がある情報をユーザーが理解できるようにプロンプトも追加する必要があります。検索を実行する前に、すべての変数に値を設定する必要があります。

    たとえば、UDM 検索に metadata.vendor_name = ${vendor_name} を追加できます。${vendor_name} の場合は、今後のユーザー向けにプロンプトを追加する必要があります(「検索するベンダーの名前を入力してください」など)。今後、ユーザーがこの検索を読み込むたびに、検索を実行する前にベンダー名を入力するよう求めるメッセージが表示されます。

  3. 完了したら [編集を保存] をクリックします。

  4. 保存した検索条件を表示するには、[検索マネージャー] をクリックし、[保存済み] タブをクリックします。

保存した検索を取得して実行するには:

  1. 検索マネージャーで、[保存済み] タブをクリックします。

  2. リストから保存した検索を選択します。保存した検索は Google Security Operations アカウントに保存されます。検索を削除するには、[] をクリックして [検索を削除] を選択します。

  3. 検索の名前と説明は変更できます。完了したら [編集を保存] をクリックします。

  4. [検索を読み込む] をクリックします。検索がメインの UDM 検索フィールドに読み込まれます。

  5. [検索を実行] をクリックすると、この検索に関連付けられたイベントが表示されます。

検索履歴から検索を取得する

検索履歴から検索を取得して実行するには:

  1. 検索マネージャーで [履歴] をクリックします。

  2. 検索履歴から検索を取得する検索履歴は Google Security Operations アカウントに保存されます。検索を削除するには [] をクリックします。

  3. [検索を読み込む] をクリックします。検索がメインの UDM 検索フィールドに読み込まれます。

  4. [検索を実行] をクリックすると、この検索に関連付けられたイベントが表示されます。

検索履歴を消去、無効または有効にする

検索履歴を消去、無効または有効にするには:

  1. 検索マネージャーで、[履歴] タブをクリックします。

  2. [] をクリックします。

  3. [履歴を削除] を選択して検索履歴を削除します。

  4. [履歴を無効にする] をクリックして、検索履歴を無効にします。以下のいずれかを行います。

    • 無効にするのみ - 検索履歴を無効にします。

    • オプトアウトして削除 - 検索履歴を無効にし、保存されている検索履歴を削除します。

  5. 検索履歴を無効にしていた場合は、[検索履歴を有効にする] をクリックして再度有効にできます。

  6. [閉じる] をクリックして検索マネージャーを終了します。

検索を共有する

共有検索を使用すると、検索結果をチームメンバーと共有できます。[保存済み] タブでは、検索を共有または削除できます。検索バーの横にあるフィルタ アイコンをクリックして、[すべて表示]、[Google SecOps で定義]、[自分で作成]、または [共有済み] で検索をフィルタすることもできます。

自分のものではない共有検索は編集できません。

  1. [保存済み] をクリックします。
  2. 共有する検索結果をクリックします。
  3. 検索の右側にある をクリックします。検索を共有するオプションを含むダイアログが表示されます。
  4. [組織と共有] をクリックします。
  5. 検索の共有により組織内のユーザーに公開されることを確認するダイアログが表示されます。共有してもよろしいですか?[共有] をクリックします。

検索結果を自分だけに表示するには、[]、[共有を停止] の順にクリックします。共有を停止すると、この検索を使用できるのは自分だけになります。

プラットフォームから CSV にダウンロードできる UDM フィールドとダウンロードできない UDM フィールド

ダウンロードでサポートされている UDM フィールドとサポートされていない UDM フィールドは、次のサブセクションに記載されています。

サポートされるフィールド

プラットフォームから次のフィールドを CSV ファイルにダウンロードできます。

  • ユーザー

  • hostname

  • プロセス名

  • イベントの種類

  • タイムスタンプ

  • 未加工ログ(お客様で未加工ログが有効になっている場合にのみ有効)

  • 「udm.additional」で始まるすべてのフィールド

有効なフィールドタイプ

次のフィールドタイプは CSV ファイルにダウンロードできます。

  • double

  • float

  • int32

  • uint32

  • int64

  • uint64

  • bool

  • 文字列

  • enum

  • バイト

  • google.protobuf.Timestamp

  • google.protobuf.Duration

サポートされていないフィールド

「udm」で始まり(udm.additional ではない)、次のいずれかの条件を満たすフィールドは、CSV にダウンロードできません。

  • UDM proto でフィールドのネスト深さが 10 を超えている。

  • データ型は「メッセージ」または「グループ」です。

次のステップ

UDM 検索でコンテキスト拡充データを使用する方法については、UDM 検索でコンテキスト拡充データを使用するをご覧ください。