使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。

UDM 搜索

通过 UDM 搜索功能,您可以在 Chronicle 实例中查找统一数据模型 (UDM) 事件和提醒。UDM 搜索包含各种搜索选项,您可以浏览 UDM 数据。您可以搜索单个 UDM 事件以及与共享搜索字词相关联的 UDM 事件组。

如需详细了解 UDM,请参阅将日志数据的格式设置为 UDM统一数据模型字段列表

要访问 Chronicle UDM 搜索,请从 Chronicle 着陆页上的应用菜单中选择 UDM 搜索。您还可以通过以下方式访问 UDM 搜索:从 Chronicle 中的任何搜索字段中输入有效的 UDM 字段,然后按 CTRL+Enter

如需查看所有有效 UDM 字段的列表,请参阅统一数据模型字段列表

UDM 搜索

图 1. UDM 搜索

UDM 搜索为空

图 2. 使用 CTRL+Enter 键打开的 UDM 搜索窗口

若要在 UDM 搜索字段中输入 UDM 搜索,请完成以下步骤。输入 UDM 搜索后,点击运行搜索。Chronicle 界面仅允许您输入有效的 UDM 搜索表达式。您还可以打开日期范围窗口,调整要搜索的数据范围。

日期和执行搜索

图 3. 执行搜索

UDM 查询基于 UDM 字段,这些字段都列在统一数据模型字段列表中。您也可以使用过滤器或原始日志搜索查看 UDM 字段。

  1. 要搜索事件,请在搜索字段中输入 UDM 字段名称。界面包含自动补全功能,并且会根据您输入的内容显示有效的 UDM 字段。

  2. 输入有效的 UDM 字段后,请选择有效的运算符。界面会根据您输入的 UDM 字段显示可用的有效运算符。支持以下运算符:

    • <, >
    • <=, >=
    • =, !=
    • nocase - 支持字符串

  3. 输入有效的 UDM 字段和运算符后,请输入要搜索的相应日志数据。支持以下数据类型:

    • 枚举值:界面显示给定 UDM 字段的有效枚举值列表。

      例如(使用双引号和全部大写):metadata.event_type = "NETWORK_CONNECTION"

    • 其他值:您可以使用“field[key] = value”来搜索其他字段,并为事件添加标签。

      例如:additional.fields["key"]="value"

    • 布尔值:您可以使用 truefalse(所有字符均不区分大小写,并且关键字没有用引号括起来)。

      例如:network.dns.response = true

    • 整数

      例如:target.port = 443

    • 浮点数:对于 float 类型的 UDM 字段,请输入浮点值,例如 3.1。您也可以输入一个整数,如 3,相当于输入 3.0

      例如:security_result.about.asset.vulnerabilities.cvss_base_score = 3.1security_result.about.asset.vulnerabilities.cvss_base_score = 3

    • 正则表达式:(正则表达式必须在斜杠 (/) 字符内)

      例如:principal.ip = /10.*/

      如需详细了解正则表达式,请参阅“正则表达式”页面

    • 字符串

      例如(必须使用英文双引号):metadata.product_name = "Google Cloud VPC Flow Logs"

  4. 您可以使用 nocase 运算符搜索给定字符串的大写和小写版本的任意组合:

    • principal.hostname != "http-server" nocase
    • principal.hostname = "JDoe" nocase
    • principal.hostname = /dns-server-[0-9]+/ nocase

  5. 字符串中的反斜杠和双引号需要使用反斜杠字符进行转义。例如:

    • principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
    • target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""

  6. 您可以使用布尔表达式进一步缩小可能显示的数据范围。以下示例展示了某些类型的受支持的布尔表达式(可以使用 ANDORNOT 布尔运算符):

    • A AND B
    • A OR B
    • (A OR B) AND (B OR C) AND (C OR NOT D)

    以下示例说明了实际语法可能会如何显示:

    登录财务服务器的事件: 

    metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"

    使用正则表达式搜索 Windows 上 psexec.exe 工具的执行情况的示例。 

    target.process.command_line = /\bpsexec(.exe)?\b/ nocase

    使用“大于”运算符 (>) 搜索所发送数据超过 10 MB 的连接的示例。 

    metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000

    示例:使用多个条件来搜索 Winword 启动 cmd.exe 或 powershell.exe。 

        metadata.event_type = "PROCESS_LAUNCH" and
    principal.process.file.full_path = /winword/ and
    (target.process.file.full_path = /cmd.exe/ or
    target.process.file.full_path = /powershell.exe/)

  7. 您还可以使用 UDM 搜索在“其他”和“标签”字段中搜索特定键值对。

    “其他”和“标签”字段可用作不适合标准 UDM 字段的事件数据的可自定义“无限别名”。其他字段可以包含多个键值对。标签字段只能包含一个键值对。不过,该字段的每个实例都只包含一个键和一个值。键必须位于方括号内,而值必须位于右侧。

    以下示例展示了如何搜索包含指定键值对的事件: 

        additional.fields["pod_name"] = "kube-scheduler"
    metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"
    以下示例展示了如何将 AND 运算符与键值对搜索结合使用: 
        additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"

    您可以使用以下语法搜索包含指定键的所有事件(无论值是什么) 

        additional.fields["pod_name"] != ""
    您还可以使用正则表达式和 Nonce 选项: 
        additional.fields["pod_name"] = /br/
    additional.fields["pod_name"] = bar nocase

  8. 您还可以使用块注释和单行注释。

    以下示例展示了如何使用块注释: 

        additional.fields["pod_name"] = "kube-scheduler"
    /*
    Block comments can span
    multiple lines.
    */
    AND additional.fields["pod_name1"] = "kube-scheduler1"

    以下示例展示了如何使用单行注释: 

        additional.fields["pod_name"] != "" // my single-line comment

  9. 点击运行搜索,以运行 UDM 搜索并显示结果。

  10. 事件显示在“事件时间轴”表格中的 UDM 搜索页面上。您可以通过手动添加额外 UDM 字段或使用界面进一步缩小结果范围。

要查看提醒,请点击 UDM 搜索页面右上角的事件标签页右侧的提醒标签页。

提醒的显示方式

Chronicle 会根据客户环境中存在提醒的事件来评估 UDM 搜索结果中返回的事件。当搜索查询事件与提醒中存在的事件匹配时,该事件将显示在提醒时间轴以及生成的提醒表格中。

事件和提醒的定义

事件由原始日志来源生成,而该日志源会注入 Chronicle 并由 Chronicle 的提取和标准化流程处理。可以从一个原始日志源记录生成多个事件。事件表示根据该原始日志生成的一组与安全相关的数据点。

在 UDM 搜索中,提醒定义为启用提醒的 YARA-L 规则检测。如需了解详情,请参阅针对实时数据运行规则

其他数据源(例如 Crowdstrike Falcon Alerts)可提取到 Chronicle 中。这些提醒不会显示在 UDM 搜索结果中,除非 Chronicle 检测引擎将其作为 YARA-L 规则进行处理。

完整提醒屏幕截图

图 4. 提醒时间轴

与一个或多个提醒关联的事件在事件时间轴中会带有提醒条状标签。如果时间轴上有多个提醒,条状标签会显示关联的提醒数量。

时间轴会显示从搜索结果中检索到的最近 1000 条提醒。达到 1,000 个的上限后,系统就不会再检索任何提醒。为了确保系统仅显示与您的搜索相关的所有结果,请使用过滤条件缩小搜索范围。

如何调查提醒

如需详细了解某条提醒,请点击相应提醒。这将打开提醒右侧的提醒查看器,显示有关提醒的详细信息,包括检测期和风险评分。

提醒查看器

图 5. 提醒观看者

若要查看关于某个提醒的更多详情,请点击查看详细信息。系统会打开提醒详情页面,提供相应提醒的详细信息。

提醒详情

图 6. 提醒详细信息

在 UDM 搜索中使用参考列表

在规则中应用引用列表的流程也可以在搜索中使用。一个搜索查询最多可以包含七个列表。支持所有类型的引用列表(字符串、正则表达式、CID)。

您可以创建要跟踪的任意变量列表。例如,您可以创建可疑 IP 地址列表: 

// Field value exists in reference list
src.ip IN %suspicious_ips

您可以使用 ANDOR 使用多个列表:

// multiple lists can be used with AND or OR
src.ip IN %suspicious_ips AND
principal.hostname IN %suspicious_hostnames

优化搜索结果

除了修改 UDM 搜索和重新执行搜索,您还可以使用 UDM 搜索界面来过滤和优化结果。

时间轴图表

时间轴图表以图形方式显示当前 UDM 搜索上每天显示的事件和提醒的数量。事件和提醒会显示在相同的时间轴图表上,事件提醒标签页中均提供此图表。

每个条形的宽度取决于搜索到的时间间隔。例如,当搜索持续 24 小时时,每个条形代表 10 分钟。此图表会在您修改现有 UDM 搜索时动态更新。

事件时间轴图表

图 8. 活动时间表图

时间范围调整

您可以向左和向右移动白色滑块控件来调整时间范围,并重点关注所关注时间段,从而调整图表的时间范围。当您调整时间范围时,会更新 UDM 字段、值和事件表以反映当前选择。您还可以点击图表上的单个柱形,仅列出相应时间段内发生的事件。

调整时间范围后,系统会显示过滤的事件查询事件复选框,以便进一步限制显示的事件类型。

包含时间范围控件的事件时间轴图表

图 9. 包含时间范围控件的事件时间轴图表

使用快速过滤器修改 UDM 搜索

使用快速过滤器,您可以进一步缩小 UDM 搜索范围。您可以滚动浏览 UDM 字段列表,也可以使用“搜索”字段搜索特定 UDM 字段或值。此处列出的 UDM 字段与 UDM 搜索生成的现有事件列表相关联。每个 UDM 字段都包含当前 UDM 搜索中的包含此数据的事件数量。UDM 字段列表会显示某个字段中的值的总数。借助此功能,您可以查找可能更感兴趣的特定类型的日志数据。

UDM 字段按以下顺序列出:

  1. 事件数最多的字段将统计事件数最少。
  2. 只有 1 个值的字段始终位于最后。
  3. 事件总数完全相同的字段将按字母顺序从 A 到 Z 排序。

快速过滤器

图 10. 快速过滤器

修改快速过滤器

如果您在“快速过滤器”列表中选择了 UDM 字段值,然后点击菜单图标,您可以选择仅显示相应 UDM 字段值包含的事件,也可以选择过滤该 UDM 字段值。如果 UDM 字段存储整数值(例如:target.port),您还会看到按 <,>,<=,>= 过滤的选项。过滤选项可以缩短显示事件的列表。

您还可以在“快速过滤”中固定字段(使用推送图钉图标),将其保存为收藏。它们会显示在“快速过滤器”列表的顶部。

只显示

图 11. 示例:选择“只显示”

这些额外的 UDM 过滤器也会添加到上述过滤器事件字段中。过滤器事件字段有助于您跟踪添加到 UDM 搜索中的其他 UDM 字段。您还可以根据需要快速移除这些额外的 UDM 字段。

过滤事件

图 12. 过滤事件

如果您点击“过滤事件”菜单图标或左侧的添加过滤条件,系统会打开一个窗口,供您选择其他 UDM 字段。

过滤事件窗口

图 13. 过滤事件窗口

点击应用于搜索和运行时,系统会将 UDM 字段添加到“过滤条件事件”字段(参见图 8),并根据这些额外的过滤条件过滤显示的事件。您也可以点击 Apply to Search and Run(应用到搜索)并将它添加到页面顶部的 UDM Search 主字段中。使用相同的日期和时间参数,再次自动运行搜索。Google 建议您先尽可能缩小搜索范围,然后点击应用于搜索和运行。这有助于提高准确性并缩短搜索时间。

在“事件”表格中查看事件

所有这些过滤器和控件都将更新“事件”表格中显示的事件列表。点击列出的任一事件即可打开日志查看器,您可以在其中查看该事件的原始日志和 UDM 记录。如果点击事件的时间戳,您还可以转到关联的资产、IP 地址、网域、哈希或用户视图。您还可以使用表格顶部的“搜索”字段查找特定事件。

事件表格

图 14. 事件表

在“提醒”表格中查看提醒

您可以点击事件标签页右侧的提醒标签页来查看提醒。您可以使用快速过滤器按以下条件对提醒进行排序:

  • 场景
  • 名称
  • 优先级
  • 严重级别
  • 状态
  • 判定

这样,您就可以专注于最重要的提醒。

提醒的显示时间范围与事件在“事件”标签页中的时间范围相同。这样,您就可以轻松查看事件和提醒之间的关联。

如果您希望了解特定提醒的详情,请点击相应提醒,系统会打开一个提醒详情页面,其中包含有关该提醒的更多详细信息。

在事件查看器中查看事件

如果您将鼠标悬停在“事件”表格中的某个事件上,系统会在“突出显示的事件”右侧显示“打开事件查看器”图标。点击该图标打开事件查看器。

活动查看器

图 15. 活动查看者

Raw Log(原始日志)窗口会显示以下任意格式的原始原始日志:

  • 原始
  • JSON
  • XML
  • CSV
  • 十六进制/ASCII

UDM 窗口会显示结构化 UDM 记录。您可以将鼠标悬停在任一 UDM 字段上,系统即会显示一个 UDM 定义弹出式窗口。通过选中 UDM 字段对应的复选框,可获得更多选项:

  • 您可以复制 UDM 记录。选择一个或多个 UDM 字段,然后从查看操作下拉菜单中选择复制 UDM 选项。UDM 字段和 UDM 值会复制到系统剪贴板。

  • 您可以在查看操作下拉菜单中选择添加列选项,以在事件表格中将 UDM 字段添加为列。

使用选项,调整在事件表格中显示哪些列。系统会显示“列”弹出式菜单。可用选项因 UDM 搜索返回的事件类型而异。

您也可以点击保存,选择保存此处所选的一组列。为这组选定列命名,然后再次点击保存。您可以通过点击加载并从列表中选择一组已保存的列来加载一组已保存的列。

您还可以下载显示的事件,方法是点击三点状菜单,然后选择下载为 CSV 文件。此操作会下载所有搜索结果,但最多不超过 100 万个事件。界面会指明将要下载的事件数量。

UDM 搜索列

图 16. UDM 搜索列

在快速搜索中执行搜索

  1. 点击快速搜索打开“快速搜索”窗口。此窗口会显示您保存的搜索和搜索记录。

  2. 点击列出的任一搜索将其加载到 UDM 搜索字段中。

  3. 准备就绪后,点击运行搜索

系统会将搜索过的内容保存到您的 Chronicle 帐号中。如果您需要修改任何已保存的搜索(例如重命名现有搜索)、删除已保存的搜索或从搜索记录中删除搜索,请点击查看所有搜索打开搜索管理器

在快速搜索中使用模板

  1. 点击 UDM 搜索右侧的快速搜索,打开“快速搜索”。
  2. 系统将显示三个面板:已保存模板历史记录模板包含预制模板。每项任务都带有对搜索任务的简要说明。
  3. 当您点击其中一个模板时,它要么直接加载到编辑器中(如果不需要输入),要么在新面板中打开(如果需要输入)。
  4. 如果您选择了一个需要输入的值(例如,按产品/供应商划分的用户登录信息),请在相应字段中输入相应的值。如要进行搜索,您必须填写所有字段。
  5. 输入相应信息后,点击加载搜索。此操作会将模板加载到编辑器中。

要退出快速搜索,请点击取消,系统会将您带回快速搜索面板。

系统会将搜索过的内容保存到您的 Chronicle 帐号中。如果您需要修改任何已保存的搜索(例如重命名现有搜索)、删除已保存的搜索或从搜索记录中删除搜索,请点击查看所有搜索打开搜索管理器

快速搜索

图 17. “快速搜索”窗口

已保存的搜索记录和搜索记录概览

点击搜索管理器,即可使用搜索管理器检索已保存的搜索并查看搜索记录。已保存的搜索记录和搜索记录都会存储到您的 Chronicle 帐号中。除非您使用共享的搜索功能与组织共享您的搜索内容,否则已保存的搜索和搜索记录仅供个人用户查看和访问。

搜索经理

图 18. 搜索经理

在 Search Manager 中使用模板

  1. 点击“快速搜索”旁边的搜索管理器标签页,打开搜索管理器。
  2. 系统会显示 3 个标签页:已保存模板历史记录。点击模板
  3. 选择要使用的模板。
  4. 如果您选择的模板需要额外输入,请在空白字段中输入所需信息,然后点击加载搜索。如果您选择的模板不需要您输入任何信息,请点击加载搜索

要保存搜索,请执行以下操作:

  1. 在 UDM 搜索页中,点击保存,以保存 UDM 搜索供日后使用。此操作会打开搜索管理器。Google 建议您为已保存的搜索指定有意义的名称。

  2. 完成后,点击保存修改

  3. 要查看已保存的搜索,请点击搜索管理器,然后点击已保存的搜索标签页。

如需检索并运行已保存的搜索,请执行以下操作:

  1. 点击已保存的搜索条目

  2. 从列表中选择已保存的搜索。这些已保存的搜索内容都会保存到您的 Chronicle 帐号中。您可以点击“删除”来删除搜索。

  3. 您可以更改搜索名称。完成后,点击保存修改

  4. 点击加载搜索。搜索内容会加载到主 UDM 搜索字段中。

  5. 点击执行搜索可查看与此搜索关联的事件。

从搜索记录中检索搜索内容

如需从您的搜索记录中检索和执行搜索,请执行以下操作:

  1. 点击搜索记录

  2. 从搜索记录中选择一项搜索。您的搜索记录会保存到您的 Chronicle 帐号中。您可以点击“删除”来删除搜索。

  3. 点击加载搜索。搜索内容会加载到主 UDM 搜索字段中。

  4. 点击执行搜索可查看与此搜索关联的事件。

清除、停用或启用搜索记录

如需清除、停用或启用搜索记录,请执行以下操作:

  1. 点击

  2. 选择清除搜索记录即可清除搜索记录。

  3. 点击停用即可停用搜索记录。您可以:

    • 仅限退出 - 停用搜索记录。

    • 选择停用并清除 - 停用搜索记录并删除已保存的搜索记录。

  4. 如果您之前已经停用了搜索记录,可以点击启用搜索记录将其重新启用。

  5. 点击关闭以退出 Search Manager 窗口。

分享搜索内容

借助共享搜索,您可以与团队中的其他成员共享搜索。在已保存的搜索标签页中,您可以分享、复制或删除搜索内容。您也可以点击搜索栏旁边的过滤图标,按全部共享我修改来对搜索进行过滤。

如果您修改了某个共享搜索,则需要将其保存为您自己的已保存搜索。您所做的修改不会更新原始的共享搜索。

  1. 点击已保存的搜索条目
  2. 点击要分享的搜索
  3. 点击搜索右侧的 。此时,系统会显示一个对话框,提示您共享搜索选项。
  4. 点击与所有人共享
  5. 系统会弹出一个窗口,告诉您组织中的用户可以看到您的搜索内容。确定要共享吗?点击是共享

如果您希望只有您自己可以看到该搜索,请点击 ,然后点击设为不公开。如果您停止分享,则只有您可以使用此搜索。