이 페이지는 Cloud Translation API를 통해 번역되었습니다.

검색

다음에서 지원:

Google SecOps SIEM

검색 함수를 사용하면 YARA-L 2.0 문법을 사용하여 Google Security Operations 인스턴스 내에서 통합 데이터 모델 (UDM) 이벤트 및 알림을 찾을 수 있습니다. 검색에는 UDM 데이터를 탐색하는 데 도움이 되는 다양한 옵션이 포함되어 있습니다. 공유 검색어에 연결된 개별 UDM 이벤트 및 UDM 이벤트 그룹을 검색할 수 있습니다.

데이터 RBAC를 사용하는 시스템에서는 범위와 일치하는 데이터만 볼 수 있습니다. 자세한 내용은 데이터 RBAC가 검색에 미치는 영향을 참고하세요.

Google SecOps 고객의 경우 커넥터 및 웹훅에서도 알림을 수집할 수 있습니다. 검색을 사용하여 이러한 알림을 찾을 수도 있습니다.

UDM에 대한 자세한 내용은 로그 데이터를 UDM 형식으로 지정 및 UDM 필드 목록을 참고하세요.

액세스 검색

다음 옵션을 사용하여 Google SecOps 검색에 액세스할 수 있습니다.

탐색 메뉴에서 검색을 클릭합니다.
Google SecOps의 검색창에서 유효한 UDM 필드를 입력하고 CTRL+Enter를 누릅니다.

모든 유효한 UDM 필드 목록은 UDM 필드 목록을 참고하세요.

그림 1. 검색

검색어 입력

이 섹션에서는 Google SecOps 검색 기능을 사용하는 방법을 설명합니다.

UDM 쿼리는 통합 데이터 모델 필드 목록에 모두 나열된 UDM 필드를 기반으로 합니다. 또한 필터 또는 원시 로그 검색을 사용하여 검색 컨텍스트 내에서 UDM 필드를 볼 수 있습니다.

검색 입력란에 검색어를 입력하려면 다음 단계를 완료하세요. 검색어 입력을 완료하면 검색 실행을 클릭합니다. 더보기를 클릭하고 검색 설정을 선택하여 반환되는 이벤트 수를 조정할 수 있습니다. Google SecOps 사용자 인터페이스에서는 유효한 검색 표현식만 입력할 수 있습니다. 기간 창을 열어 검색할 데이터 범위를 조정할 수도 있습니다.

이벤트를 검색하려면 검색창에 UDM 필드 이름을 입력합니다. 사용자 인터페이스에는 자동 완성이 포함되어 있으며 입력한 내용을 기반으로 유효한 UDM 필드가 표시됩니다.
유효한 UDM 필드를 입력한 후 유효한 연산자를 선택합니다. 사용자 인터페이스에는 입력한 UDM 필드를 기반으로 사용 가능한 유효한 연산자가 표시됩니다. 지원되는 연산자는 다음과 같습니다.
- <, >
- <=, >=
- =, !=
- nocase - 문자열에 지원됨
유효한 UDM 필드와 연산자를 입력한 후 검색하려는 해당 로그 데이터를 입력합니다. 지원되는 데이터 유형은 다음과 같습니다.
- 열거된 값: 지정된 UDM 필드에 유효한 열거 값 목록이 사용자 인터페이스에 표시됩니다.
예(큰따옴표 사용 및 전부 대문자로 표시): metadata.event_type = "NETWORK_CONNECTION"
- 추가 값: 'field[key] = value'를 사용하여 이벤트의 추가 필드와 라벨 필드를 검색할 수 있습니다.
예: additional.fields["key"]="value"
- 불리언: true 또는 false를 사용할 수 있습니다 (모든 문자는 대소문자를 구분하지 않으며 키워드를 따옴표로 묶지 않습니다).
예: network.dns.response = true
- 정수
예: target.port = 443
- 부동 소수점 수: float 유형의 UDM 필드에 3.1과 같은 부동 소수점 값을 입력합니다. 또한 3과 같은 정수를 입력할 수도 있는데 이는 3.0을 입력하는 것과 동일합니다.
예를 들면 security_result.about.asset.vulnerabilities.cvss_base_score = 3.1 또는 security_result.about.asset.vulnerabilities.cvss_base_score = 3입니다.
- 정규 표현식: (정규 표현식은 슬래시 (/) 문자 내에 있어야 함)
예: principal.ip = /10.*/

정규 표현식에 대한 자세한 내용은 정규 표현식 페이지를 참고하세요.
- 문자열
예(큰따옴표를 사용해야 함): metadata.product_name = "Google Cloud VPC Flow Logs"
nocase 연산자를 사용하여 지정된 문자열의 대문자 및 소문자 버전의 조합을 검색할 수 있습니다.
- principal.hostname != "http-server" nocase
- principal.hostname = "JDoe" nocase
- principal.hostname = /dns-server-[0-9]+/ nocase
백슬래시 문자를 사용하여 문자열의 백슬래시와 큰따옴표를 이스케이프 처리해야 합니다. 예를 들면 다음과 같습니다.
- principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
- target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""
불리언 표현식을 사용하여 표시되는 데이터의 범위를 더 좁힐 수 있습니다. 다음 예시는 지원되는 불리언 표현식의 몇 가지 유형을 보여줍니다 (AND, OR, NOT 불리언 연산자 사용 가능).
- A AND B
- A OR B
- (A OR B) AND (B OR C) AND (C OR NOT D)
다음 예시에서는 실제 문법이 표시되는 방법을 보여줍니다.

금융 서버에 대한 로그인 이벤트:
```
metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"
```
Windows에서 정규 표현식을 사용하여 psexec.exe 도구 실행을 검색하는 예시입니다.
```
target.process.command_line = /\bpsexec(.exe)?\b/ nocase
```
초과 연산자 (>)를 사용하여 10MB가 넘는 데이터가 전송된 연결을 검색하는 예시입니다.
```
metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000
```
여러 조건을 사용하여 cmd.exe 또는 powershell.exe를 실행하는 Winword를 검색하는 예시입니다.
```
    metadata.event_type = "PROCESS_LAUNCH" and
    principal.process.file.full_path = /winword/ and
    (target.process.file.full_path = /cmd.exe/ or
    target.process.file.full_path = /powershell.exe/)
```
추가 및 라벨 필드에서 특정 키-값 쌍을 검색할 수도 있습니다.

추가 및 라벨 필드는 표준 UDM 필드에 적합하지 않는 이벤트 데이터에서 맞춤설정 가능한 '포괄'로 사용됩니다. 추가 필드에는 키-값 쌍이 여러 개 포함될 수 있습니다. 라벨 필드에는 단일 키-값 쌍만 포함될 수 있습니다. 그러나 필드의 각 인스턴스에는 단일 키와 단일 값만 포함됩니다. 키는 대괄호 안에 있어야 하며 값은 오른쪽에 있어야 합니다.

다음 예시에서는 지정된 키-값 쌍이 포함된 이벤트를 검색하는 방법을 보여줍니다.
```
    additional.fields["pod_name"] = "kube-scheduler"
    metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"
```
다음 예는 키-값 쌍 검색에서 AND 연산자를 사용하는 방법을 보여줍니다.
```
    additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"
```
다음 문법을 사용하여 (값에 관계없이) 지정된 키가 포함된 모든 이벤트를 검색할 수 있습니다.
```
    additional.fields["pod_name"] != ""
```
정규 표현식과 nocase 연산자를 사용할 수도 있습니다.
```
    additional.fields["pod_name"] = /br/
    additional.fields["pod_name"] = bar nocase
```

블록 및 단일 행 주석을 사용할 수도 있습니다.

다음 예시에서는 블록 주석을 사용하는 방법을 보여줍니다.

    additional.fields["pod_name"] = "kube-scheduler"
    /*
    Block comments can span
    multiple lines.
    */
    AND additional.fields["pod_name1"] = "kube-scheduler1"

다음 예는 한 줄 주석을 사용하는 방법을 보여줍니다.

    additional.fields["pod_name"] != "" // my single-line comment

검색 실행을 클릭하여 검색을 실행하고 검색 페이지의 이벤트 타임라인 표에 이벤트 결과를 표시합니다.
선택사항: 수동으로 추가 UDM 필드를 추가하거나 UI를 사용하여 결과를 좁힙니다.

검색 설정

UDM 검색 설정에서 검색 결과의 최대 개수를 정의할 수 있습니다. 이 설정은 사용자별로 다릅니다.

검색 실행 옆의 더보기에서 검색 설정을 클릭합니다.
반환할 최대 결과 수를 선택합니다. 옵션은 1K, 10K, 100K, 1M, custom이며 1과 1M 사이의 값을 사용할 수 있습니다. 기본값은 1M입니다. 일반적으로 결과 집합 크기를 작게 선택하면 쿼리가 더 빠르게 실행됩니다.

검색 결과가 너무 많음

검색 범위가 너무 넓으면 Google SecOps에서 일부 검색 결과를 표시할 수 없다는 경고 메시지를 표시합니다.

이 경우 시스템은 검색 한도인 이벤트 100만 개 및 알림 1,000개까지 최신 결과만 검색합니다. 하지만 일치하는 이벤트와 알림이 더 많지만 표시되지 않고 있을 수 있습니다.

관련 검색 결과를 모두 가져오려면 추가 필터를 적용하여 검색을 세분화하는 것이 좋습니다. 검색 범위를 좁히면 데이터 세트를 관리 가능한 크기로 줄이고 정확성을 높일 수 있습니다. 결과가 시스템의 표시 한도 내에 들 때까지 검색을 조정하고 다시 실행하는 것이 좋습니다.

검색 결과 페이지에는 가장 최근 10,000개의 결과가 표시됩니다. 검색을 수정하고 다시 실행하는 대신 검색 결과를 필터링하고 검색 결과를 미세 조정하여 이전 결과를 표시할 수 있습니다.

그룹화된 필드 검색

그룹화된 필드는 관련 UDM 필드 그룹의 별칭입니다. 이를 사용하여 각 필드를 개별적으로 입력하지 않고 여러 UDM 필드를 동시에 쿼리할 수 있습니다.

다음 예는 지정된 IP 주소를 포함할 수 있는 일반적인 UDM 필드와 일치하는 쿼리를 입력하는 방법을 보여줍니다.

    ip = "1.2.3.4"

정규 표현식과 nocase 연산자를 사용하여 그룹화된 필드를 일치시킬 수 있습니다. 참조 목록도 지원됩니다. 그룹화된 필드는 다음 예와 같이 일반 UDM 필드와 함께 사용할 수도 있습니다.

    ip = "5.6.7.8" AND metadata.event_type = "NETWORK_CONNECTION"

그룹화된 필드에는 집계에 별도의 섹션이 있습니다.

그룹화된 UDM 필드의 유형

다음과 같이 그룹화된 모든 UDM 필드에서 검색할 수 있습니다.

그룹화된 필드 이름	연결된 UDM 필드
도메인	about.administrative_domain about.asset.network_domain network.dns.questions.name network.dns_domain principal.administrative_domain principal.asset.network_domain target.administrative_domain target.asset.hostname target.asset.network_domain target.hostname
이메일	intermediary.user.email_addresses network.email.from network.email.to principal.user.email_addresses security_result.about.user.email_addresses target.user.email_addresses
file_path	principal.file.full_path principal.process.file.full_path principal.process.parent_process.file.full_path target.file.full_path target.process.file.full_path target.process.parent_process.file.full_path
해시	about.file.md5 about.file.sha1 about.file.sha256 principal.process.file.md5 principal.process.file.sha1 principal.process.file.sha256 security_result.about.file.sha256 target.file.md5 target.file.sha1 target.file.sha256 target.process.file.md5 target.process.file.sha1 target.process.file.sha256
hostname	intermediary.hostname observer.hostname principal.asset.hostname principal.hostname src.asset.hostname src.hostname target.asset.hostname target.hostname
ip	intermediary.ip observer.ip principal.artifact.ip principal.asset.ip principal.ip src.artifact.ip src.asset.ip src.ip target.artifact.ip target.asset.ip target.ip
네임스페이스	principal.namespace src.namespace target.namespace
process_id	principal.process.parent_process.pid principal.process.parent_process.product_specific_process_id principal.process.pid principal.process.product_specific_process_id target.process.parent_process.pid target.process.parent_process.product_specific_process_id target.process.pid target.process.product_specific_process_id
사용자	about.user.userid observer.user.userid principal.user.user_display_name principal.user.userid principal.user.windows_sid src.user.userid target.user.user_display_name target.user.userid target.user.windows_sid

검색어의 UDM 필드 찾기

검색어를 작성하는 동안 어떤 UDM 필드를 포함할지 알지 못할 수 있습니다. UDM 조회를 사용하면 이름에 텍스트 문자열이 포함되거나 특정 문자열 값을 저장하는 UDM 필드 이름을 빠르게 찾을 수 있습니다. UDM 조회 함수는 바이트, 불리언, 숫자와 같은 다른 데이터 유형을 검색하는 데 사용하기 위한 것이 아닙니다. UDM 조회에서 반환한 결과 하나 이상을 검색어의 시작점으로 선택합니다.

UDM 조회를 사용하려면 다음 단계를 따르세요.

검색 페이지에서 UDM 필드를 값으로 조회 필드에 텍스트 문자열을 입력한 후 UDM 조회를 클릭합니다.
UDM 조회 대화상자에서 다음 옵션 중 하나 이상을 선택하여 검색할 데이터 범위를 지정합니다.
- UDM 필드: UDM 필드 이름에서 텍스트를 검색합니다(예: network.dns.questions.name 또는 principal.ip).
- 값: UDM 필드에 할당된 값에서 텍스트를 검색합니다(예: dns 또는 google.com).
중요: 이 기능은 UDM 필드 이름과 문자열 필드 값 모두에서 문자열에 적용되는 텍스트 값 일치를 수행합니다.
검색창에 문자열을 입력하거나 수정합니다. 입력하면 검색 결과가 대화상자에 표시됩니다.

UDM 필드와 값에서 검색할 때는 결과가 약간 다릅니다. 값에서 텍스트를 검색하면 다음과 같은 결과가 표시됩니다.
- 문자열이 값의 시작 또는 끝에서 발견되면 UDM 필드 이름 및 로그가 수집된 시간과 함께 결과에 강조 표시됩니다.
- 값의 다른 곳에서 텍스트 문자열이 발견되면 결과에 UDM 필드 이름과 가능한 값 일치 텍스트가 표시됩니다.
그림 2. UDM 조회의 값 내에서 검색합니다.
- UDM 필드 이름에서 텍스트 문자열을 검색하면 UDM 조회는 이름의 모든 위치에서 발견된 일치검색을 반환합니다.
그림 3. UDM 조회의 UDM 필드 내에서 검색합니다.
결과 목록에서 다음을 수행할 수 있습니다.
- UDM 필드 이름을 클릭하여 해당 필드 설명을 확인합니다.
- 각 UDM 필드 이름 왼쪽에 있는 체크박스를 클릭하여 결과를 하나 이상 선택합니다.
- 재설정 버튼을 클릭하여 결과 목록에서 선택한 모든 필드를 선택 해제합니다.
선택한 결과를 검색 필드에 추가하려면 검색에 추가를 클릭합니다.

UDM 복사 버튼을 사용하여 선택한 결과를 복사한 후 UDM 조회 대화상자를 닫고 검색어 문자열을 검색 필드에 붙여넣을 수도 있습니다.

Google SecOps는 선택된 결과를 UDM 필드 이름이나 이름-값 쌍처럼 검색어 문자열로 변환합니다. 여러 결과를 추가하면 각 결과는 OR 연산자를 통해 검색 필드의 기존 쿼리 끝에 추가됩니다.

추가된 쿼리 문자열은 UDM 조회에서 반환하는 일치 유형에 따라 다릅니다.
- 결과가 UDM 필드 이름의 텍스트 문자열과 일치하면 전체 UDM 필드 이름이 쿼리에 추가됩니다. 다음은 그 예시입니다.
principal.artifact.network.dhcp.client_hostname
- 결과가 값의 시작 또는 끝 부분에 있는 텍스트 문자열과 일치하면 이름-값 쌍에 UDM 필드 이름과 결과의 전체 값이 포함됩니다. 예시는 다음과 같습니다.
metadata.log_type = "PCAP_DNS"

network.dns.answers.name = "dns-A901F3j.hat.example.com"
- 결과에 가능한 값 일치 텍스트가 포함된 경우 이름-값 쌍에 UDM 필드 이름 및 검색어가 포함된 정규 표현식이 포함됩니다. 다음은 그 예시입니다.
principal.process.file.full_path = /google/ NOCASE
사용 사례에 맞게 검색어를 수정합니다. UDM 조회에서 생성한 쿼리 문자열은 전체 검색어를 입력하기 위한 시작점입니다.

UDM 조회 동작 요약

이 섹션에서는 UDM 조회 기능을 자세히 설명합니다.

UDM 조회는 2023년 8월 10일 이후에 수집된 데이터를 검색합니다. 이 이전에 수집된 데이터는 검색되지 않습니다. 보강되지 않은 UDM 필드에서 발견된 결과를 반환합니다. 보강 필드와 일치하는 항목을 반환하지 않습니다. 보강 필드와 보강되지 않은 필드에 대한 자세한 내용은 이벤트 뷰어에서 이벤트 보기를 참고하세요.
UDM 조회를 사용하는 검색은 대소문자를 구분하지 않습니다. hostname라는 용어는 HostName와 동일한 결과를 반환합니다.
값을 검색할 때 쿼리 텍스트 문자열의 하이픈(-)과 밑줄(_)은 무시됩니다. 텍스트 문자열 dns-l 및 dnsl 모두 dns-l 값을 반환합니다.

값을 검색할 때 UDM 조회는 다음과 같은 경우에 일치 항목을 반환하지 않습니다.

다음 UDM 필드와 일치합니다.	`metadata.product_log_id` `network.session_id` `security_result.rule_id` `network.parent_session_id`
다음 값 중 하나로 끝나는 전체 경로가 있는 UDM 필드의 일치 항목은 다음과 같습니다.	`.pid` 예: `target.process.pid` `.asset_id` 예: `principal.asset_id` `.product_specific_process_id` 예: `principal.process.product_specific_process_id` `.resource.id` 예: `principal.resource.id`

값을 검색할 때 다음과 같은 경우에 일치 항목이 발견되면 UDM 조회의 결과에 가능한 값 일치 메시지가 표시됩니다.

다음 UDM 필드와 일치합니다.	`metadata.description` `security_result.description` `security_result.detection_fields.value` `security_result.summary` `network.http.user_agent`
다음 값 중 하나로 끝나는 전체 경로가 있는 필드의 일치 항목은 다음과 같습니다.	`.command_line` 예: `principal.process.command_line` `.file.full_path` 예: `principal.process.file.full_path` `.labels.value` 예: `src.labels.value` `.registry.registry_key` 예: `principal.registry.registry_key` `.url` 예: `principal.url`
다음 값으로 시작하는 전체 경로가 있는 필드의 일치 항목은 다음과 같습니다.	`additional.fields.value.` 예: `additional.fields.value.null_value`

검색에서 알림 보기

알림을 보려면 검색 페이지의 오른쪽 상단에 있는 이벤트 탭 옆에 있는 알림 탭을 클릭합니다.

알림 표시 방식

Google SecOps는 고객 환경에서 알림이 존재하는 이벤트에 대해 검색에서 반환되는 이벤트를 평가합니다. 검색어 이벤트가 알림에 있는 이벤트와 일치하면 알림 타임라인과 결과 알림 테이블에 표시됩니다.

이벤트 및 알림 정의

이벤트는 원시 로그 소스에서 생성되고, Google SecOps에서 수집되고 Google SecOps의 수집 및 정규화 프로세스를 통해 처리됩니다. 하나의 원시 로그 소스 레코드에서 여러 이벤트가 생성될 수 있습니다. 이벤트는 원시 로그에서 생성된 보안 관련 데이터 포인트 집합을 나타냅니다.

검색에서 알림은 알림이 사용 설정된 YARA-L 규칙 감지로 정의됩니다. 자세한 내용은 실시간 데이터에 대한 규칙 실행을 참고하세요.

기타 데이터 소스는 CrowdStrike Falcon 알림과 같이 Google SecOps에 알림으로 수집될 수 있습니다. 이러한 알림은 Google SecOps Detection Engine에서 YARA-L 규칙으로 처리되지 않는 한 검색 내에 표시되지 않습니다.

알림 하나 이상과 연결된 이벤트는 이벤트 타임라인에 알림 칩으로 표시됩니다. 타임라인과 연결된 알림이 여러 개 있으면 칩에 연결된 알림 수가 표시됩니다.

타임라인에는 검색 결과에서 검색된 최신 알림 1,000개가 표시됩니다. 한도(1,000개)에 도달하면 더 이상 알림이 검색되지 않습니다. 검색과 관련된 모든 검색 결과를 확인하려면 필터를 사용하여 검색을 세분화해야 합니다.

알림 조사 방법

알림 그래프 및 알림 세부정보를 사용하여 알림을 조사하는 방법을 알아보려면 알림 조사에 설명된 단계를 따르세요.

검색에서 참조 목록 사용

검색에 규칙에서 참조 목록을 적용하는 프로세스도 사용할 수 있습니다. 단일 검색어에 목록이 최대 7개까지 포함될 수 있습니다. 모든 유형의 참조 목록 (문자열, 정규 표현식, CIDR)이 지원됩니다.

추적하려는 변수의 목록을 만들 수 있습니다. 예를 들어 다음과 같이 의심스러운 IP 주소 목록을 만들 수 있습니다.

// Field value exists in reference list
principal.ip IN %suspicious_ips

AND 또는 OR를 사용하여 목록을 여러 개 사용할 수 있습니다.

// multiple lists can be used with AND or OR
principal.ip IN %suspicious_ips AND
principal.hostname IN %suspicious_hostnames

검색 결과 미세 조정

검색을 수정하고 다시 실행하는 대신 검색 사용자 인터페이스를 사용하여 결과를 필터링하고 미세 조정할 수 있습니다.

타임라인 차트

타임라인 차트는 현재 검색으로 표시되는 매일의 발생 이벤트 및 알림 수를 그래픽으로 제공합니다. 이벤트와 알림은 이벤트 및 알림 탭 모두에서 사용할 수 있는 같은 타임라인 차트에 표시됩니다.

각 막대의 너비는 검색된 시간 간격에 따라 다릅니다. 예를 들어 검색 범위가 24시간 분량의 데이터일 경우 각 막대는 10분을 나타냅니다. 기존 검색을 수정하면 동적으로 이 차트가 업데이트됩니다.

기간 범위 조정

흰색 슬라이더 컨트롤을 좌우로 이동하여 차트의 기간 범위를 조정하고 원하는 기간에 집중할 수 있습니다. 기간 범위를 조정하면 현재 선택이 반영되도록 UDM 필드 및 값과 이벤트 테이블이 업데이트됩니다. 그래프에서 단일 막대를 클릭하여 해당 기간 내 이벤트만 나열할 수도 있습니다.

기간 범위를 조정하면 필터링된 이벤트 및 쿼리 이벤트 체크박스가 표시되고 표시된 이벤트 유형을 추가로 제한할 수 있습니다.

시간 범위 컨트롤이 있는 이벤트 타임라인 차트

그림 4. 시간 범위 컨트롤이 있는 이벤트 타임라인 차트

집계로 UDM 검색 수정

집계를 사용하면 UDM 검색 범위를 더 좁힐 수 있습니다. UDM 필드 목록을 스크롤하거나 검색창을 사용하여 특정 UDM 필드나 값을 검색할 수 있습니다. 여기에 나열된 UDM 필드는 UDM 검색에서 생성된 기존 이벤트 목록과 연결됩니다. 각 UDM 필드에는 이 데이터도 포함된 현재 UDM 검색 내 이벤트 수가 포함됩니다. UDM 필드 목록에는 필드 내 값의 고유한 총 수가 표시됩니다. 이 기능을 사용하면 추가로 원하는 특정 유형의 로그 데이터를 찾을 수 있습니다.

UDM 필드는 다음 순서로 나열됩니다.

이벤트 수가 가장 많은 필드에서 가장 적은 이벤트 수의 순서로 나열됩니다.
값이 1개만 있는 필드는 항상 마지막에 표시됩니다.
총 이벤트 수가 정확히 동일한 필드는 알파벳순(A~Z)으로 나열됩니다.

그림 5. 집계

집계 수정

집계 목록에서 UDM 필드 값을 선택하고 메뉴 아이콘을 클릭하면 다음 항목만 표시(해당 UDM 필드 값을 포함한 이벤트만) 또는 필터링(해당 필드 값으로) 옵션 중에서 선택할 수 있습니다. UDM 필드가 정수 값 (예: target.port)을 저장하는 경우 <,>,<=,>=로 필터링하는 옵션도 표시됩니다. 필터 옵션을 사용하면 표시되는 이벤트 목록이 줄어듭니다.

집계에서 필드를 고정 (내보내기 고정 아이콘 사용)하여 즐겨찾기로 저장할 수도 있습니다. 집계 목록 상단에 표시됩니다.

다음 항목만 표시

그림 6. 예: 다음 항목만 표시를 선택합니다.

이러한 추가 UDM 필터도 필터 이벤트 필드에 추가됩니다. 필터 이벤트 필드는 검색에 추가한 추가 UDM 필드를 추적하고 필요에 따라 삭제하는 데 도움이 됩니다.

검색 및 실행에 적용을 클릭하면 표시된 이벤트가 추가 필터를 기준으로 필터링되고 페이지 상단의 기본 검색창이 업데이트됩니다. 같은 날짜 및 시간 매개변수를 통해 검색이 자동으로 다시 실행됩니다.

이벤트 필터링

그림 7. 이벤트 필터링

필터 추가를 클릭하면 추가 UDM 필드를 선택할 수 있는 창이 열립니다.

이벤트 필터링 창

그림 8. 이벤트 필터링 창

이벤트 테이블에서 이벤트 보기

이러한 모든 필터와 컨트롤은 이벤트 테이블에 표시되는 이벤트 목록을 업데이트합니다. 나열된 이벤트 중 하나를 클릭하여 해당 이벤트의 원시 로그와 UDM 레코드를 검사할 수 있는 로그 뷰어를 엽니다. 이벤트의 타임스탬프를 클릭하면 관련 애셋, IP 주소, 도메인, 해시 또는 사용자 뷰로 이동할 수도 있습니다. 또한 표 상단의 검색창을 사용하여 특정 이벤트를 찾을 수도 있습니다.

경고 테이블에서 알림 보기

이벤트 탭의 오른쪽에 있는 알림 탭을 클릭하여 알림을 볼 수 있습니다. 집계를 사용하여 다음 기준으로 알림을 정렬할 수 있습니다.

케이스
이름
우선순위
심각도
상태
결과

따라서 가장 중요한 알림에 집중할 수 있습니다.

알림은 이벤트 탭에 있는 이벤트와 동일한 기간에 표시됩니다. 이를 통해 이벤트와 알림 간의 연관성을 확인할 수 있습니다.

특정 알림에 대해 자세히 알아보려면 알림을 클릭하세요. 그러면 해당 알림에 대한 자세한 정보가 포함된 개별 알림 세부정보 페이지가 열립니다.

이벤트 뷰어에서 이벤트 보기

이벤트 테이블의 이벤트 위로 포인터를 가져가면 이벤트 뷰어 열기 아이콘이 강조표시된 이벤트의 오른쪽에 표시됩니다. 클릭하여 이벤트 뷰어를 엽니다.

원시 로그 창에는 다음 형식 중 하나로 원래의 원시 부호가 표시됩니다.

원시
JSON
XML
CSV
16진수/ASCII

UDM 창에 정형 UDM 레코드가 표시됩니다. UDM 필드 위로 마우스 포인터를 가져가면 UDM 정의가 표시됩니다. UDM 필드 체크박스를 선택하면 다음과 같은 추가 옵션이 표시됩니다.

UDM 레코드를 복사합니다. UDM 필드를 하나 이상 선택한 후 작업 보기 목록에서 UDM 복사 옵션을 선택합니다. UDM 필드 및 UDM 값이 시스템 클립보드에 복사됩니다.
UDM 필드를 열로 추가: 작업 보기 목록에서 열 추가 옵션을 선택합니다.

각 UDM 필드에는 필드에 보강 데이터나 보강되지 않은 데이터가 포함되어 있는지 여부를 나타내는 아이콘으로 라벨이 지정됩니다. 아이콘 라벨은 다음과 같습니다.

U: 보강되지 않은 필드에는 원본 원시 로그의 데이터를 사용하여 정규화 프로세스 중에 채워진 값이 포함됩니다.
E: 보강된 필드에는 고객 환경의 아티팩트에 대한 추가 컨텍스트를 제공하도록 Google SecOps에서 채운 값이 포함됩니다. 자세한 내용은 Google SecOps에서 이벤트 및 항목 데이터를 보강하는 방법을 참고하세요.

그림 9. 이벤트 뷰어의 UDM 필드

검색에 열 옵션 사용

열 옵션을 사용하여 이벤트 테이블에 표시되는 열을 맞춤설정합니다. 검색에서 반환된 이벤트 유형에 따라 다양한 옵션을 제공하는 열 메뉴가 표시됩니다.

열 집합 저장

필요한 경우 저장을 클릭하여 여기에서 선택한 열 집합을 저장할 수 있습니다. 선택한 열 집합에 이름을 지정하고 저장을 다시 클릭합니다. 로드를 클릭하고 목록에서 저장된 열 집합을 선택하여 저장된 열 집합을 로드할 수 있습니다.

표시된 이벤트를 다운로드하려면 더보기를 클릭하고 CSV로 다운로드를 선택합니다. 이렇게 하면 최대 100만 개의 모든 검색 결과가 다운로드됩니다. 사용자 인터페이스에 다운로드하는 이벤트 수가 표시됩니다.

그림 10. 열 검색

피벗 테이블을 사용한 이벤트 분석

피벗 테이블을 사용하면 검색 결과에 대해 표현식과 함수를 사용하여 이벤트를 분석할 수 있습니다.

피벗 테이블을 열고 구성하려면 다음 단계를 완료하세요.

검색을 실행합니다.
피벗 탭을 클릭하여 피벗 테이블을 엽니다.
그룹 기준 값을 지정하여 특정 UDM 필드별로 이벤트를 그룹화합니다. 기본 대문자를 사용하거나 메뉴에서 소문자를 선택하여 소문자만 사용하여 결과를 표시할 수 있습니다. 이 옵션은 문자열 필드에만 사용할 수 있습니다. 필드 추가를 클릭하여 최대 5개의 그룹 기준 값을 지정할 수 있습니다.

그룹화 기준 값이 호스트 이름 필드 중 하나인 경우 추가 변환 옵션이 표시됩니다.
- N차 도메인: 표시할 도메인 수준을 선택합니다. 예를 들어 값을 1로 사용하면 최상위 도메인(예: com, gov, edu)만 표시됩니다. 값 3을 사용하면 도메인 이름의 다음 두 수준 (예: google.co.uk)이 표시됩니다.
- 등록된 도메인 가져오기: 등록된 도메인 이름(예: google.com, nytimes.com, youtube.com)만 표시합니다.
그룹 기준 값이 IP 필드 중 하나인 경우 추가 변환 옵션이 있습니다.
- (IP) CIDR 접두사 길이(비트): IPv4 주소의 경우 1~32를 지정할 수 있습니다. IPv6 주소의 경우 최대 128개의 값을 지정할 수 있습니다.
그룹화 기준 값에 타임스탬프가 포함된 경우 다음과 같은 추가 변환 옵션이 제공됩니다.
- (시간) 해결 시간(밀리초)
- (시간) 해결 시간(초)
- (시간) 해결 시간(분)
- (시간) 해결 시간(시간)
- (시간) 해결 시간(일)
결과의 필드 목록에서 피벗의 값을 지정합니다. 값을 최대 5개까지 지정할 수 있습니다. 필드를 지정한 후 요약 옵션을 선택해야 합니다. 다음 옵션으로 요약할 수 있습니다.
- sum
- count
- 고유 개수
- 평균
- 표준 편차
- min
- max
이벤트 수 값을 지정하여 이 특정 검색 및 피벗 테이블에 대해 식별된 이벤트 수를 반환합니다.

요약 옵션은 그룹화 기준 필드와 호환되지 않을 수 있습니다. 예를 들어 sum, 평균, 표준 편차, min, max 옵션은 숫자 필드에만 적용할 수 있습니다. 호환되지 않는 요약 옵션을 그룹 기준 필드에 연결하려고 하면 오류 메시지가 표시됩니다.
UDM 필드를 하나 이상 지정하고 정렬 기준 옵션을 사용하여 정렬을 하나 이상 선택합니다.
준비가 되면 적용을 클릭합니다. 결과가 피벗 테이블에 표시됩니다.
선택사항: 피벗 테이블을 다운로드하려면 더보기를 클릭하고 CSV로 다운로드를 선택합니다. 피벗을 선택하지 않은 경우 이 옵션은 사용 중지됩니다.

저장된 검색 및 검색 기록 개요

검색 관리자를 클릭하면 저장된 검색을 검색하고 검색 기록을 확인할 수 있습니다. 저장된 검색을 선택하여 제목 및 설명을 포함한 추가 정보를 확인하세요.

저장된 검색 및 검색 기록은 다음과 같습니다.

Google SecOps 계정으로 저장됩니다.
검색 공유 기능을 사용하여 검색을 조직과 공유하지 않는 한 개별 사용자만 보고 액세스할 수 있습니다.

검색 저장

검색을 저장하려면 다음 단계를 따르세요.

검색 페이지에서 검색 실행 옆에 있는 더보기를 클릭하고 검색 저장을 클릭하여 나중에 이 검색을 사용합니다. 검색 관리자 대화상자가 열립니다. 저장된 검색에 의미 있는 이름과 검색 중인 항목에 대한 일반 텍스트 설명을 제공하는 것이 좋습니다. 추가를 클릭하여 검색 관리자 대화상자 내에서 새 검색을 만들 수도 있습니다. 표준 UDM 수정 및 완료 도구도 여기에서 사용할 수 있습니다.
선택사항: YARA-L의 변수에 사용된 것과 동일한 형식을 사용하여 ${<variable name>} 형식의 자리표시자 변수를 지정합니다. 검색에 변수를 추가하는 경우 사용자가 검색을 실행하기 전에 입력해야 하는 필수 정보를 이해하는 데 도움이 되는 메시지도 포함해야 합니다. 검색을 실행하기 전에 모든 변수를 값으로 채워야 합니다.

예를 들어 검색에 metadata.vendor_name = ${vendor_name}을 추가할 수 있습니다. ${vendor_name}의 경우 향후 사용자를 위한 프롬프트(예: Enter the name of the vendor for your search)를 추가해야 합니다. 향후 사용자가 이 검색어를 로드할 때마다 검색을 실행하기 전에 공급업체 이름을 입력하라는 메시지가 표시됩니다.
완료되면 수정사항 저장을 클릭합니다.
저장된 검색을 보려면 검색 관리자를 클릭한 다음 저장됨 탭을 클릭합니다.

저장된 검색 가져오기

저장된 검색을 검색하고 실행하려면 다음 단계를 따르세요.

검색 관리자 대화상자의 왼쪽 목록에서 저장된 검색어를 선택합니다. 이 저장된 검색어는 Google SecOps 계정에 저장됩니다.
선택사항: 더보기를 클릭하고 검색어 삭제를 선택하여 검색어를 삭제합니다. 내가 만든 검색어만 삭제할 수 있습니다.
검색 이름과 설명을 변경할 수 있습니다. 완료되면 수정사항 저장을 클릭합니다.
검색 로드를 클릭합니다. 검색이 기본 검색창에 로드됩니다.
검색 실행을 클릭하여 이 검색과 연결된 이벤트를 확인합니다.

검색 기록에서 검색 가져오기

검색 기록에서 검색을 가져와서 실행하려면 다음 안내를 따르세요.

검색 관리자에서 기록을 클릭합니다.
검색 기록에서 검색 가져오기 검색 기록은 Google SecOps 계정에 저장됩니다. 삭제를 클릭하여 검색을 삭제할 수 있습니다.
검색 로드를 클릭합니다. 검색이 기본 검색창에 로드됩니다.
검색 실행을 클릭하여 이 검색과 연결된 이벤트를 확인합니다.

검색 기록 삭제, 중지 또는 사용 설정

검색 기록을 삭제, 사용 중지 또는 사용 설정하려면 다음 안내를 따르세요.

검색 관리자에서 기록 탭을 클릭합니다.
더보기를 클릭합니다.
검색 기록 삭제를 선택하여 검색 기록을 지웁니다.
기록 사용 중지를 클릭하여 검색 기록을 사용 중지합니다. 다음 중 하나를 선택할 수 있습니다.
- 선택 해제만: 검색 기록을 사용 중지합니다.
- 선택 해제 및 삭제: 검색 기록을 사용 중지하고 저장된 검색 기록을 삭제합니다.
이전에 검색 기록을 사용 중지한 경우 검색 기록 사용 설정을 클릭하여 다시 사용 설정할 수 있습니다.
닫기를 클릭하여 검색 관리자를 종료합니다.

검색 공유

검색 공유를 사용하면 팀과 검색어를 공유할 수 있습니다. 저장됨 탭에서 검색어를 공유하거나 삭제할 수 있습니다. 검색창 옆에 있는 filter_alt필터를 클릭하여 검색을 필터링하고 모두 표시, Google SecOps 정의, 내가 작성함 또는 공유됨을 기준으로 검색을 정렬할 수도 있습니다.

자신의 검색이 아닌 공유 검색은 수정할 수 없습니다.

저장됨을 클릭합니다.
공유하려는 검색어를 클릭합니다.
검색창 오른쪽에 있는 더보기를 클릭합니다. 검색 내용을 공유하는 옵션이 있는 대화상자가 표시됩니다.
조직과 공유를 클릭합니다.
'검색을 공유하면 조직의 전체 사용자가 볼 수 있습니다'라는 대화상자가 표시됩니다. 공유를 계속하시겠어요? 공유를 클릭합니다.

검색 결과가 나에게만 표시되도록 하려면 더보기를 클릭하고 공유 중지를 클릭합니다. 공유를 중지하면 본인만 이 검색을 사용할 수 있습니다.

플랫폼에서 CSV로 다운로드할 수 있는 UDM 필드와 다운로드할 수 없는 UDM 필드

다운로드에 지원되는 UDM 필드와 지원되지 않는 UDM 필드는 다음 하위 섹션에 나와 있습니다.

지원되는 필드

플랫폼에서 다음 필드를 CSV 파일로 다운로드할 수 있습니다.

사용자
호스트 이름
프로세스 이름
이벤트 유형
타임스탬프
원시 로그 (고객에 대해 원시 로그가 사용 설정된 경우에만 유효)
'udm.additional'로 시작하는 모든 필드

유효한 필드 유형

다음 필드 유형을 CSV 파일로 다운로드할 수 있습니다.

double
float
int32
uint32
int64
uint64
부울
문자열
enum
바이트
google.protobuf.Timestamp
google.protobuf.Duration

지원되지 않는 필드

'udm' (udm.additional가 아님)으로 시작하고 다음 조건 중 하나를 충족하는 필드는 CSV로 다운로드할 수 없습니다.

udm 프로토에서 필드의 중첩 깊이가 10을 초과합니다.
데이터 유형은 메시지 또는 그룹입니다.

다음 단계

검색에서 컨텍스트 보강 데이터를 사용하는 방법에 대한 자세한 내용은 검색에서 컨텍스트 보강 데이터 사용을 참고하세요.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가의 답변을 받으세요.