컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

UDM 검색

UDM 검색 함수를 사용하면 Chronicle 인스턴스 내에서 통합 데이터 모델(UDM) 이벤트 및 알림을 찾을 수 있습니다. UDM 검색에는 다양한 검색 옵션이 포함되어 있어 UDM 데이터를 탐색할 수 있습니다. 공유 검색어에 연결된 개별 UDM 이벤트 및 UDM 이벤트 그룹을 모두 검색할 수 있습니다.

UDM에 대한 자세한 내용은 로그 데이터를 UDM 형식으로 지정통합 데이터 모델 필드 목록을 참조하세요.

Chronicle UDM 검색에 액세스하려면 Chronicle 방문 페이지의 애플리케이션 메뉴에서 UDM 검색을 선택합니다. Chronicle의 모든 검색창에서 유효한 UDM 필드를 입력하고 CTRL+Enter를 눌러 UDM 검색에 액세스할 수도 있습니다.

모든 유효한 UDM 필드 목록은 통합 데이터 모델 필드 목록을 참조하세요.

UDM 검색

그림 1. UDM 검색

빈 UDM 검색

그림 2. CTRL+Enter로 열리는 UDM 검색 창

UDM 검색창에 UDM 검색을 입력하려면 다음 단계를 완료하세요. UDM 검색 입력을 마치면 검색 실행을 클릭합니다. Chronicle 사용자 인터페이스에서는 유효한 UDM 검색 표현식만 입력할 수 있습니다. 또한 기간 창을 열어서 검색할 데이터 범위를 조정할 수 있습니다.

날짜 및 검색 실행

그림 3. 검색 실행

UDM 쿼리는 모두 통합 데이터 모델 필드 목록에 나열된 UDM 필드를 기반으로 합니다. 필터 또는 원시 로그 검색을 사용하여 검색 컨텍스트 내에서 UDM 필드를 볼 수도 있습니다.

  1. 이벤트를 검색하려면 검색창에 UDM 필드 이름을 입력합니다. 사용자 인터페이스에는 자동 완성이 포함되며, 사용자가 입력한 내용을 기반으로 유효한 UDM 필드가 표시됩니다.

  2. 유효한 UDM 필드를 입력한 후 유효한 연산자를 선택합니다. 사용자 인터페이스에 입력한 UDM 필드를 기준으로 사용 가능한 유효한 연산자가 표시됩니다. 지원되는 연산자는 다음과 같습니다.

    • <, >
    • <=, >=
    • =, !=
    • nocase -- 문자열에 지원됨
  3. 유효한 UDM 필드 및 연산자를 입력한 후 검색하려는 해당 로그 데이터를 입력합니다. 지원되는 데이터 유형은 다음과 같습니다.

    • 열거형 값: 사용자 인터페이스는 지정된 UDM 필드에 유효한 열거된 값 목록을 표시합니다.

      예(큰따옴표 사용 및 전부 대문자로 표시): metadata.event_type = "NETWORK_CONNECTION"

    • 추가 값: 'field[key] = value'를 사용하여 이벤트의 추가 필드와 라벨 필드를 검색할 수 있습니다.

      예: additional.fields["key"]="value"

    • Bools: true 또는 false를 사용할 수 있습니다 (모든 문자는 대소문자를 구분하며 키워드를 따옴표로 묶지 않습니다).

      예: network.dns.response = true

    • 정수

      예: target.port = 443

    • 부동 소수점 수: float 유형의 UDM 필드에 3.1과 같은 부동 소수점 값을 입력합니다. 또한 3과 같은 정수를 입력할 수도 있는데 이는 3.0을 입력하는 것과 동일합니다.

      예를 들면 security_result.about.asset.vulnerabilities.cvss_base_score = 3.1 또는 security_result.about.asset.vulnerabilities.cvss_base_score = 3입니다.

    • 정규 표현식: (정규 표현식은 슬래시(/) 문자 내에 있어야 함)

      예: principal.ip = /10.*/

      정규 표현식에 대한 자세한 내용은 정규 표현식 페이지를 참조하세요.

    • 문자열

      예(큰따옴표를 사용해야 함): metadata.product_name = "Google Cloud VPC Flow Logs"

  4. nocase 연산자를 사용하여 지정된 문자열의 대문자 및 소문자 버전의 조합을 검색할 수 있습니다.

    • principal.hostname != "http-server" nocase
    • principal.hostname = "JDoe" nocase
    • principal.hostname = /dns-server-[0-9]+/ nocase
  5. 문자열의 백슬래시 및 큰따옴표는 백슬래시 문자를 사용하여 이스케이프 처리해야 합니다. 예를 들면 다음과 같습니다.

    • principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
    • target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""
  6. 불리언 표현식을 사용하여 표시되는 데이터의 범위를 더 좁힐 수 있습니다. 다음 예시는 지원되는 불리언 표현식의 몇 가지 유형을 보여줍니다(AND, OR, NOT 불리언 연산자 사용 가능).

    • A AND B
    • A OR B
    • (A OR B) AND (B OR C) AND (C OR NOT D)

    다음 예시에서는 실제 구문이 어떻게 표시되는지 보여줍니다.

    재무 서버에 로그인 이벤트:

    metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"

    정규 표현식을 사용하여 Windows에서 psexec.exe 도구 실행을 검색하는 예시입니다.

    target.process.command_line = /\bpsexec(.exe)?\b/ nocase

    초과 연산자(>)를 사용하여 10MB가 넘는 데이터가 전송된 연결을 검색하는 예시입니다.

    metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000

    여러 조건을 사용하여 cmd.exe 또는 powershell.exe를 실행하는 Winword를 검색하는 예시입니다.

        metadata.event_type = "PROCESS_LAUNCH" and
        principal.process.file.full_path = /winword/ and
        (target.process.file.full_path = /cmd.exe/ or
        target.process.file.full_path = /powershell.exe/)

  7. UDM 검색을 사용하여 추가 및 라벨 필드에서 특정 키-값 쌍을 검색할 수도 있습니다.

    추가 및 라벨 필드는 표준 UDM 필드에 적합하지 않는 이벤트 데이터에서 맞춤설정 가능한 '포괄'로 사용됩니다. 추가 필드에는 여러 키-값 쌍이 포함될 수 있습니다. 라벨 필드에는 단일 키-값 쌍만 포함될 수 있습니다. 그러나 필드의 각 인스턴스에는 단일 키와 단일 값만 포함됩니다. 키는 대괄호 안에 있어야 하고 값은 오른쪽에 있어야 합니다.

    다음 예시에서는 지정된 키-값 쌍이 포함된 이벤트를 검색하는 방법을 보여줍니다.

        additional.fields["pod_name"] = "kube-scheduler"
        metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"
    다음 예시에서는 키-값 쌍 검색에 AND 연산자를 사용하는 방법을 보여줍니다.
        additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"

    다음 구문을 사용하여 값과 관계없이 지정된 키가 포함된 모든 이벤트를 검색할 수 있습니다.

        additional.fields["pod_name"] != ""
    정규 표현식과 nocase 옵션을 사용할 수도 있습니다.
        additional.fields["pod_name"] = /br/
        additional.fields["pod_name"] = bar nocase

  8. 블록 및 한 줄 주석을 사용할 수도 있습니다.

    다음 예에서는 블록 주석을 사용하는 방법을 보여줍니다.

        additional.fields["pod_name"] = "kube-scheduler"
        /*
        Block comments can span
        multiple lines.
        */
        AND additional.fields["pod_name1"] = "kube-scheduler1"

    다음 예시에서는 한 줄 주석을 사용하는 방법을 보여줍니다.

        additional.fields["pod_name"] != "" // my single-line comment

  9. 검색 실행을 클릭하여 UDM 검색을 실행하고 결과를 표시합니다.

  10. 이벤트는 이벤트 타임라인 테이블의 UDM 검색 페이지에 표시됩니다. UDM 필드를 더 추가하거나 인터페이스를 사용하여 결과의 범위를 좁힐 수 있습니다.

알림을 보려면 UDM 검색 페이지의 오른쪽 상단에 있는 이벤트 탭 오른쪽에 있는 알림 탭을 클릭합니다.

알림 표시 방식

Chronicle은 고객 환경에서 알림 관련 존재 이벤트에 대해 UDM 검색에서 반환되는 이벤트를 평가합니다. 검색어 이벤트가 알림에 있는 이벤트와 일치하면 알림 타임라인과 결과 알림 테이블에 표시됩니다.

이벤트 및 알림 정의

이벤트는 Chronicle로 수집되고 Chronicle의 수집 및 정규화 프로세스에 의해 처리되는 원시 로그 소스에서 생성됩니다. 하나의 원시 로그 소스 레코드에서 여러 이벤트가 생성될 수 있습니다. 이벤트는 원시 로그에서 생성된 보안 관련 데이터 포인트 집합을 나타냅니다.

UDM 검색에서 알림은 알림이 사용 설정된 YARA-L 규칙 감지로 정의됩니다. 자세한 내용은 실시간 데이터에 대한 규칙 실행을 참조하세요.

기타 데이터 소스는 CrowdStrike Falcon 알림과 같이 Chronicle에 알림으로 수집될 수 있습니다. 이러한 알림은 Chronicle Detection Engine에서 YARA-L 규칙으로 처리되지 않는 한 UDM 검색 내에 표시되지 않습니다.

전체 경고 스크린샷

그림 4. 알림 타임라인

하나 이상의 알림과 연결된 이벤트는 이벤트 타임라인에 알림 칩으로 표시됩니다. 타임라인과 연결된 알림이 여러 개인 경우 칩에 연결된 알림의 수가 표시됩니다.

타임라인에는 검색결과에서 검색된 최신 알림 1,000개가 표시됩니다. 1,000개 한도에 도달하면 더 이상 알림이 검색되지 않습니다. 검색과 관련된 모든 검색결과를 확인하려면 필터를 사용하여 검색을 세분화해야 합니다.

알림 조사 방법

알림에 대한 자세한 내용을 보려면 알림을 클릭합니다. 그러면 알림 오른쪽에 알림 뷰어가 열리고 감지 기간 및 위험 점수를 비롯한 알림 세부정보가 표시됩니다.

알림 뷰어

그림 5. 알림 뷰어

알림에 대한 세부정보를 보려면 세부정보 보기를 클릭합니다. 알림 세부정보 페이지가 열리고 해당 알림에 대한 자세한 정보가 표시됩니다.

알림 세부정보

그림 6. 알림 세부정보

UDM 검색에서 참조 목록 사용

규칙에서 참조 목록을 적용하는 프로세스도 검색에 사용할 수 있습니다. 단일 검색어에 최대 7개의 목록이 포함될 수 있습니다. 모든 유형의 참조 목록(문자열, 정규 표현식, CIDR)이 지원됩니다.

추적하려는 모든 변수의 목록을 만들 수 있습니다. 예를 들어 의심스러운 IP 주소 목록을 만들 수 있습니다.

// Field value exists in reference list
src.ip IN %suspicious_ips

AND 또는 OR를 사용하여 여러 목록을 사용할 수 있습니다.

// multiple lists can be used with AND or OR
src.ip IN %suspicious_ips AND
principal.hostname IN %suspicious_hostnames

검색결과 상세검색

UDM 검색을 수정하고 검색을 다시 실행하는 대신 UDM 검색 사용자 인터페이스를 사용하여 결과를 필터링하고 상세검색할 수 있습니다.

타임라인 차트

타임라인 차트는 현재 UDM 검색으로 표시되는 매일의 발생 이벤트 및 알림 수를 그래픽으로 제공합니다. 이벤트 및 알림은 이벤트 탭과 알림 탭 모두에서 사용할 수 있는 동일한 타임라인 차트에 표시됩니다.

각 막대의 너비는 검색된 시간 간격에 따라 달라집니다. 예를 들어 각 검색이 24시간 분량의 데이터에 걸쳐 있는 경우 각 막대는 10분을 나타냅니다. 이 차트는 기존 UDM 검색을 수정하면 동적으로 업데이트됩니다.

이벤트 타임라인 차트

그림 8. 이벤트 타임라인 차트

기간 범위 조정

흰색 슬라이더 컨트롤을 좌우로 이동하여 차트의 기간 범위를 조정하고 원하는 기간에 집중할 수 있습니다. 기간 범위를 조정하면 현재 선택이 반영되도록 UDM 필드 및 값과 이벤트 테이블이 업데이트됩니다. 그래프에서 단일 막대를 클릭하여 해당 기간의 이벤트만 나열할 수도 있습니다.

기간 범위를 조정하면 필터링된 이벤트쿼리 이벤트 체크박스가 표시되고 표시된 이벤트 유형을 추가로 제한할 수 있습니다.

시간 범위 컨트롤이 있는 이벤트 타임라인 차트

그림 9. 시간 범위 컨트롤이 있는 이벤트 타임라인 차트

빠른 필터로 UDM 검색 수정

빠른 필터를 사용하면 UDM 검색 범위를 더 좁힐 수 있습니다. UDM 필드 목록을 스크롤하거나 검색 필드를 사용하여 특정 UDM 필드 또는 값을 검색할 수 있습니다. 여기에 나열된 UDM 필드는 UDM 검색으로 생성된 기존 이벤트 목록과 연결됩니다. 각 UDM 필드에는 이 데이터도 포함된 현재 UDM 검색 내의 이벤트 수가 포함됩니다. UDM 필드 목록에는 필드 내 값의 고유한 총 수가 표시됩니다. 이 기능을 사용하면 추가로 원하는 특정 유형의 로그 데이터를 찾을 수 있습니다.

UDM 필드는 다음 순서로 나열됩니다.

  1. 이벤트 수가 가장 많은 필드에서 가장 적은 이벤트 수의 순서로 나열됩니다.
  2. 값이 1개뿐인 필드는 항상 마지막입니다.
  3. 총 이벤트 수가 정확히 동일한 필드는 알파벳순(A~Z)으로 나열됩니다.

빠른 필터

그림 10. 빠른 필터

빠른 필터 수정

빠른 필터 목록에서 UDM 필드 값을 선택하고 메뉴 아이콘을 클릭하면 다음 항목만 표시(해당 UDM 필드 값을 포함한 이벤트만) 또는 필터링(해당 필드 값으로) 옵션 중에서 선택할 수 있습니다. UDM 필드가 정수 값(예: target.port)을 저장하는 경우 <,>,<=,>=로 필터링하는 옵션도 표시됩니다. 필터 옵션을 사용하면 표시되는 이벤트 목록을 줄일 수 있습니다.

빠른 필터에서 필드를 고정(내보내기 고정 아이콘 사용)하여 즐겨찾기로 저장할 수도 있습니다. 이렇게 하면 빠른 필터 목록 상단에 표시됩니다.

다음 항목만 표시

그림 11. 예: 다음 항목만 표시 선택

이러한 추가 UDM 필터는 위의 필터 이벤트 필드에도 추가됩니다. 필터 이벤트 필드는 UDM 검색에 추가한 UDM 필드를 추적하는 데 도움이 됩니다. 필요에 따라 이러한 추가 UDM 필드를 빠르게 삭제할 수도 있습니다.

이벤트 필터링

그림 12. 이벤트 필터링

왼쪽에 있는 이벤트 필터링 메뉴 아이콘 또는 필터 추가를 클릭하면 추가 UDM 필드를 선택할 수 있는 창이 열립니다.

이벤트 필터링 창

그림 13. 이벤트 필터링 창

검색 및 실행에 적용을 클릭하면 UDM 필드가 이벤트 필터링 필드에 추가되고(그림 8 참조) 표시된 이벤트는 추가 필터를 기준으로 필터링됩니다. 또한 검색 및 실행에 적용을 클릭하여 UDM 필드를 페이지 상단의 기본 UDM 검색창에 추가할 수 있습니다. 동일한 날짜 및 시간 매개변수를 사용하여 검색이 자동으로 다시 실행됩니다. 검색 및 실행에 적용을 클릭하기 전에 검색 범위를 최대한 좁히는 것이 좋습니다. 이를 통해 정확성을 높이고 검색 시간을 줄일 수 있습니다.

이벤트 테이블에서 이벤트 보기

이 모든 필터와 컨트롤은 이벤트 표에 표시되는 이벤트 목록을 업데이트합니다. 나열된 이벤트 중 하나를 클릭하여 해당 이벤트의 원시 로그와 UDM 레코드를 검사할 수 있는 로그 뷰어를 엽니다. 이벤트의 타임스탬프를 클릭하면 관련 애셋, IP 주소, 도메인, 해시 또는 사용자 뷰로 이동할 수도 있습니다. 또한 표 상단의 검색창을 사용하여 특정 이벤트를 찾을 수도 있습니다.

이벤트 테이블

그림 14. 이벤트 테이블

경고 테이블에서 알림 보기

이벤트 탭의 오른쪽에 있는 알림 탭을 클릭하면 알림이 표시됩니다. 빠른 필터를 사용하여 다음을 기준으로 알림을 정렬할 수 있습니다.

  • 케이스
  • 이름
  • 우선순위
  • 심각도
  • 상태
  • 결과

그러면 가장 중요한 알림에 집중할 수 있습니다.

알림은 이벤트 탭에 있는 이벤트와 같은 기간에 표시됩니다. 이렇게 하면 이벤트와 알림 사이의 연결을 쉽게 확인할 수 있습니다.

특정 알림에 대해 자세히 알아보려면 알림을 클릭하세요. 그러면 해당 알림에 대한 자세한 정보가 포함된 개별 알림 세부정보 페이지가 열립니다.

이벤트 뷰어에서 이벤트 보기

이벤트 테이블의 이벤트 위로 마우스를 가져가면 이벤트 뷰어 열기 아이콘이 강조표시된 이벤트의 오른쪽에 표시됩니다. 클릭하여 이벤트 뷰어를 엽니다.

이벤트 뷰어

그림 15. 이벤트 뷰어

원시 로그 창에는 다음 형식의 원본 원시 로그가 표시됩니다.

  • 원시
  • JSON
  • XML
  • CSV
  • 16진수/ASCII

UDM 창에 구조화된 UDM 레코드가 표시됩니다. UDM 필드 위로 마우스를 가져가면 UDM 정의가 팝업에 표시됩니다. UDM 필드 체크박스를 선택하면 추가 옵션이 제공됩니다.

  • UDM 레코드를 복사할 수 있습니다. UDM 필드를 하나 이상 선택한 다음 작업 보기 드롭다운 메뉴에서 UDM 복사 옵션을 선택합니다. UDM 필드 및 UDM 값이 시스템 클립보드에 복사됩니다.

  • 작업 보기 드롭다운 메뉴에서 열 추가 옵션을 선택하여 이벤트 테이블에서 UDM 필드를 열로 추가할 수 있습니다.

옵션을 사용하여 이벤트 테이블에 표시되는 정보 열을 조정할 수 있습니다. 열 팝업 메뉴가 표시됩니다. 사용 가능한 옵션은 UDM 검색에서 반환하는 이벤트 유형에 따라 다릅니다.

필요한 경우 저장을 클릭하여 여기에서 선택한 열 집합을 저장할 수 있습니다. 선택한 열 집합에 이름을 지정하고 저장을 다시 클릭합니다. 로드를 클릭하고 목록에서 저장된 열 집합을 선택하여 저장된 열 집합을 로드할 수 있습니다.

점 3개로 된 메뉴를 클릭하고 CSV로 다운로드를 선택하여 표시된 이벤트를 다운로드할 수도 있습니다. 이렇게 하면 최대 100만 개의 모든 검색결과가 다운로드됩니다. 사용자 인터페이스에 다운로드하는 이벤트 수가 표시됩니다.

UDM 검색 열

그림 16. UDM 검색 열

빠른 검색에서 검색 실행

  1. 빠른 검색을 클릭하여 빠른 검색 창을 엽니다. 이 창에는 저장된 검색 및 검색 기록이 표시됩니다.

  2. 나열된 검색 중 하나를 클릭하여 UDM 검색창에 로드합니다.

  3. 준비가 되면 검색 실행을 클릭합니다.

나열된 검색은 Chronicle 계정에 저장됩니다. 저장된 검색결과를 수정하거나(예: 기존 검색 이름 변경), 저장된 검색결과를 삭제하거나, 검색 기록에서 검색을 삭제해야 하는 경우 모든 검색 보기를 클릭하여 검색 관리자를 엽니다.

빠른 검색에서 템플릿 사용하기

  1. UDM 검색 오른쪽의 빠른 검색을 클릭하여 빠른 검색을 엽니다.
  2. 저장됨, 템플릿, 기록의 3개 패널이 표시됩니다. 템플릿에는 미리 만들어진 템플릿이 포함되어 있습니다. 각 템플릿에는 검색에서 수행할 작업에 대한 간략한 설명이 포함되어 있습니다.
  3. 템플릿 중 하나를 클릭하면 편집기에 직접 로드하거나(입력이 필요하지 않은 경우) 새 패널에서 열 수 있습니다(입력이 필요한 경우).
  4. 입력이 필요한 항목(예: 제품/공급업체별 사용자 로그인)을 선택한 경우 필요한 값을 열린 필드에 입력합니다. 검색을 수행하는 데 필요한 경우 모든 필드를 작성해야 합니다.
  5. 정보를 입력한 후 검색 로드를 클릭합니다. 그러면 템플릿이 편집기에 로드됩니다.

빠른 검색을 종료하기 위해 취소를 클릭하면 빠른 검색 패널로 돌아갑니다.

나열된 검색은 Chronicle 계정에 저장됩니다. 저장된 검색결과를 수정하거나(예: 기존 검색 이름 변경), 저장된 검색결과를 삭제하거나, 검색 기록에서 검색을 삭제해야 하는 경우 모든 검색 보기를 클릭하여 검색 관리자를 엽니다.

빠른 검색

그림 17. 빠른 검색 창

저장된 검색 및 검색 기록 개요

검색 관리자를 클릭하여 검색 관리자에서 저장된 검색결과를 검색하고 검색 기록을 확인합니다. 저장된 검색결과 및 검색 기록은 모두 Chronicle 계정에 저장됩니다. 저장된 검색결과 및 검색 기록은 공유 검색 기능을 사용하여 검색을 조직과 공유하지 않는 한 개별 사용자만 보고 액세스할 수 있습니다.

검색 관리자

그림 18. 검색 관리자

검색 관리자에서 템플릿 사용하기

  1. 빠른 검색 옆의 검색 관리자 탭을 클릭하여 검색 관리자를 엽니다.
  2. 저장됨, 템플릿, 기록이라는 3개의 탭이 표시됩니다. 템플릿을 클릭합니다.
  3. 사용할 템플릿을 선택합니다.
  4. 추가 입력이 필요한 템플릿을 선택한 경우 열린 필드에 필요한 정보를 입력한 후 검색 로드를 클릭합니다. 정보를 입력할 필요가 없는 템플릿을 선택한 경우 검색 로드를 클릭합니다.

검색을 저장하려면 다음 안내를 따르세요.

  1. UDM 검색 페이지에서 저장을 클릭하여 나중을 위해 UDM 검색을 저장합니다. 그러면 검색 관리자가 열립니다. 저장한 검색에 의미 있는 이름을 지정하는 것이 좋습니다.

  2. 완료되면 수정 저장을 클릭합니다.

  3. 저장된 검색을 보려면 검색 관리자를 클릭한 다음 저장된 검색 탭을 클릭합니다.

저장된 검색을 검색하고 실행하려면 다음 안내를 따르세요.

  1. 저장된 검색을 클릭합니다.

  2. 목록에서 저장된 검색을 선택합니다. 이렇게 저장된 검색은 Chronicle 계정에 저장됩니다. 삭제를 클릭하여 검색을 삭제할 수 있습니다.

  3. 검색 이름을 변경할 수 있습니다. 완료되면 수정 저장을 클릭합니다.

  4. 검색 로드를 클릭합니다. 검색이 기본 UDM 검색 필드에 로드됩니다.

  5. 검색 실행을 클릭하여 이 검색과 관련된 이벤트를 확인합니다.

검색 기록에서 검색 가져오기

검색 기록에서 검색을 가져와서 실행하려면 다음 안내를 따르세요.

  1. 검색 기록을 클릭합니다.

  2. 검색 기록에서 검색을 선택합니다. 검색 기록은 Chronicle 계정에 저장됩니다. 삭제를 클릭하여 검색을 삭제할 수 있습니다.

  3. 검색 로드를 클릭합니다. 검색이 기본 UDM 검색 필드에 로드됩니다.

  4. 검색 실행을 클릭하여 이 검색과 관련된 이벤트를 확인합니다.

검색 기록 삭제, 사용 중지, 사용 설정

검색 기록을 지우거나, 사용 중지하거나, 사용 설정하려면 다음 안내를 따르세요.

  1. 를 클릭합니다.

  2. 검색 기록 삭제를 선택하여 검색 기록을 지웁니다.

  3. 사용 중지를 클릭하여 검색 기록을 사용 중지합니다. 다음 옵션 중에서 선택할 수 있습니다.

    • 선택 해제만: 검색 기록을 사용 중지합니다.

    • 선택 해제 및 삭제: 검색 기록을 사용 중지하고 저장된 검색 기록을 삭제합니다.

  4. 이전에 검색 기록을 사용 중지한 경우 검색 기록 사용 설정을 클릭하여 다시 사용 설정할 수 있습니다.

  5. 닫기를 클릭하여 검색 관리자 창을 종료합니다.

검색 공유

검색 공유를 사용하면 다른 팀 구성원과 검색을 공유할 수 있습니다. 저장된 검색 탭에서 검색을 공유, 복제, 삭제할 수 있습니다. 검색창 옆에 있는 필터 아이콘을 클릭하여 검색을 필터링하고 전체, 공유 또는 내가 수정함으로 검색을 정렬할 수도 있습니다.

공유된 검색을 수정하는 경우 자신의 저장된 검색으로 저장해야 합니다. 수정사항은 공유된 검색 원본을 업데이트하지 않습니다.

  1. 저장된 검색을 클릭합니다.
  2. 공유할 검색어를 클릭합니다.
  3. 검색 오른쪽에 있는 를 클릭합니다. 검색 공유 옵션이 있는 대화상자가 나타납니다.
  4. 모든 사용자와 공유를 클릭합니다.
  5. '검색을 공유하면 조직의 전체 사용자가 볼 수 있습니다'라는 팝업이 표시됩니다. 공유를 계속하시겠어요? 예, 공유합니다.를 클릭합니다.

검색이 나에게만 표시되도록 하려면 를 클릭한 다음 비공개로 설정을 클릭합니다. 공유를 중지하면 본인만 이 검색을 사용할 수 있습니다.