UDM 搜索

借助 UDM 搜索功能,您可以在 Chronicle 实例中查找统一数据模型 (UDM) 事件和提醒。UDM 搜索包含多种搜索选项,可让您浏览 UDM 数据。您可以搜索与共享搜索字词相关联的单个 UDM 事件和 UDM 事件组。

对于 Chronicle Security Operations 客户,还可以从connectors网络钩子提取提醒。您也可以使用 UDM 搜索功能查找这些提醒。

如需详细了解 UDM,请参阅将日志数据的格式设置为 UDM统一数据模型字段列表

如需访问 Chronicle UDM 搜索,请点击导航栏中的搜索。您还可以从 Chronicle 的任何搜索字段中输入有效的 UDM 字段,然后按 CTRL+Enter 进行 UDM 搜索。

如需查看所有有效 UDM 字段的列表,请参阅统一数据模型字段列表

UDM 搜索

图 1. UDM 搜索

空白 UDM 搜索

图 2. 按 CTRL+Enter 键打开的 UDM 搜索窗口

要在 UDM 搜索字段中输入 UDM 搜索,请完成以下步骤。UDM 搜索输入完毕后,点击运行搜索。Chronicle 界面仅允许您输入有效的 UDM 搜索表达式。您还可以打开日期范围窗口,调整要搜索的数据范围。

如果您的搜索范围太广,Chronicle 会返回一条警告消息,指明它无法显示所有搜索结果。请缩小搜索范围,然后重新运行。如果搜索范围太广,Chronicle 会返回不超过搜索限制的最新结果(100 万个事件和 1000 条提醒)。可能还有更多匹配的事件和提醒,但目前未显示。在分析结果时请注意这一点。Google 建议您应用额外的过滤条件,然后运行原始搜索,直到用量低于上限为止。不过,您可以应用其他过滤条件并重新运行原始搜索,直到用量低于上限为止。

日期和运行搜索

图 3. 执行搜索

UDM 查询基于 UDM 字段,这些字段全部列在统一数据模型字段列表中。您还可以使用过滤器或原始日志搜索在搜索上下文中查看 UDM 字段。

  1. 要搜索事件,请在搜索字段中输入 UDM 字段名称。界面包括自动填充功能,会根据您输入的内容显示有效的 UDM 字段。

  2. 输入有效的 UDM 字段后,请选择有效的运算符。界面会根据您输入的 UDM 字段显示可用的有效运算符。支持以下运算符:

    • <, >
    • <=, >=
    • =, !=
    • nocase - 支持字符串

  3. 输入有效的 UDM 字段和运算符后,请输入要搜索的相应日志数据。支持以下数据类型:

    • 枚举值:界面会显示指定 UDM 字段的有效枚举值列表。

      例如(使用双引号和全部大写):metadata.event_type = "NETWORK_CONNECTION"

    • 其他值:您可以使用“field[key] = value”搜索事件的其他值和标签字段。

      例如:additional.fields["key"]="value"

    • Bools:您可以使用 truefalse(所有字符均不区分大小写,且关键字未括在引号中)。

      例如:network.dns.response = true

    • 整数

      例如:target.port = 443

    • 浮点数:对于 float 类型的 UDM 字段,请输入浮点值,例如 3.1。您还可以输入一个整数,例如 3,这相当于输入 3.0

      例如:security_result.about.asset.vulnerabilities.cvss_base_score = 3.1security_result.about.asset.vulnerabilities.cvss_base_score = 3

    • 正则表达式:(正则表达式必须位于斜杠 (/) 字符内)

      例如:principal.ip = /10.*/

      如需详细了解正则表达式,请参阅正则表达式页面

    • 字符串

      例如(必须使用双引号):metadata.product_name = "Google Cloud VPC Flow Logs"

  4. 您可以使用 nocase 运算符来搜索指定字符串的大写和小写版本的任意组合:

    • principal.hostname != "http-server" nocase
    • principal.hostname = "JDoe" nocase
    • principal.hostname = /dns-server-[0-9]+/ nocase

  5. 字符串中的反斜杠和双引号需要使用反斜杠字符进行转义。例如:

    • principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
    • target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""

  6. 您可以使用布尔表达式进一步缩小所显示数据的范围。以下示例展示了某些类型的受支持的布尔表达式(可以使用 ANDORNOT 布尔运算符):

    • A AND B
    • A OR B
    • (A OR B) AND (B OR C) AND (C OR NOT D)

    以下示例说明了实际语法可能呈现的方式:

    将事件登录至财务服务器:

    metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"

    示例:在 Windows 上使用正则表达式搜索 psexec.exe 工具的执行情况。 

    target.process.command_line = /\bpsexec(.exe)?\b/ nocase

    使用“超过”运算符 (>) 搜索发送超过 10 MB 数据的连接的示例。 

    metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000

    使用多个条件搜索 Winword 启动 cmd.exe 或 powershell.exe 的示例。 

        metadata.event_type = "PROCESS_LAUNCH" and
    principal.process.file.full_path = /winword/ and
    (target.process.file.full_path = /cmd.exe/ or
    target.process.file.full_path = /powershell.exe/)

  7. 您也可以使用 UDM Search 在“其他”和“标签”字段中搜索特定的键值对。

    对于不适用于标准 UDM 字段的事件数据,“Additional”(附加)和“Label”(标签)字段可用作可自定义的“综合”。附加字段可以包含多个键值对。标签字段只能包含一个键值对。但是,该字段的每个实例仅包含一个键和单个值。键需要放在方括号内,值必须位于右侧。

    以下示例展示了如何搜索包含指定键值对的事件: 

        additional.fields["pod_name"] = "kube-scheduler"
    metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"
    以下示例展示了如何在键值对搜索中使用 AND 运算符: 
        additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"

    您可以使用以下语法搜索包含指定键的所有事件(无论值是什么) 

        additional.fields["pod_name"] != ""
    您还可以使用正则表达式和 nocase 运算符: 
        additional.fields["pod_name"] = /br/
    additional.fields["pod_name"] = bar nocase

  8. 您也可以使用块注释和单行注释。

    以下示例展示了如何使用块注释: 

        additional.fields["pod_name"] = "kube-scheduler"
    /*
    Block comments can span
    multiple lines.
    */
    AND additional.fields["pod_name1"] = "kube-scheduler1"

    以下示例展示了如何使用单行注释: 

        additional.fields["pod_name"] != "" // my single-line comment

  9. 点击运行搜索,即可运行 UDM 搜索并显示结果。

  10. 事件会显示在 UDM 搜索页面的“事件”时间轴表格中。您可以手动添加其他 UDM 字段或使用界面进一步缩小结果范围。

搜索已分组的字段

分组字段是相关 UDM 字段组的别名。您可以使用它们同时查询多个 UDM 字段,而无需逐一输入每个字段。

以下示例展示了如何输入查询来匹配可能包含指定 IP 地址的常见 UDM 字段: 

    ip = "1.2.3.4"

您可以使用正则表达式和使用 nocase 运算符来匹配已分组的字段。系统还支持参考列表。分组字段还可与常规 UDM 字段结合使用,如以下示例所示: 

    ip = "5.6.7.8" AND metadata.event_type = "NETWORK_CONNECTION"

对于已分组的字段,其在快速过滤条件中有一个单独的部分。

已分组的 UDM 字段的类型

您可以在以下所有已分组的 UDM 字段中进行搜索:

分组字段名称 关联的 UDM 字段
网域 about.administrative_domain
about.asset.network_domain
network.dns.questions.name
network.dns_domain
principal.administrative_domain
principal.asset.network_domain
target.administrative_domain
target.asset.hostname
target.asset.network_domain
target.hostname
电子邮件 intermediary.user.email_addresses
network.email.from
network.email.to
principal.user.email_addresses
security_result.about.user.email_addresses
target.user.email_addresses
file_path principal.file.full_path
principal.process.file.full_path
principal.process.parent_process.file.full_path
target.file.full_path
target.process.file.full_path
target.process.parent_process.file.full_path
哈希 about.file.md5
about.file.sha1
about.file.sha256
principal.process.file.md5
principal.process.file.sha1
principal.process.file.sha256
security_result.about.file.sha256
target.file.md5
target.file sha1.process.md.
主机名 intermediary.hostname
observer.hostname
principal.asset.hostname
principal.hostname
src.asset.hostname
src.hostname
target.asset.hostname
target.hostname
IP intermediary.ip
observer.ip
principal.artifact.ip
principal.asset.ip
principal.ip
src.artifact.ip
src.asset.ip
src.ip
target.artifact.ip
target.asset.ip
target.ip
命名空间 principal.namespace
src.namespace
target.namespace
process_id principal.process.parent_process.pid
principal.process.parent_process.product_specific_process_id
principal.process.pid
principal.process.product_specific_process_id
target.process.parent_process.pid
target.process.parent_process.product_specific_process_id
target.process.pid product_process_specific.
用户 about.user.userid
observer.user.userid
principal.user.user_display_name
principal.user.userid
principal.user.windows_sid
src.user.userid
target.user.user_display_name
target.user.userid
target.user.windows_sid

查找搜索查询的 UDM 字段

在编写 UDM 搜索查询时,您可能不知道要添加哪个 UDM 字段。 借助 UDM Lookup,您可以快速查找名称中包含文本字符串或存储特定字符串值的 UDM 字段名称。但不能用于搜索其他数据类型,例如字节、布尔值或数字。您可以选择 UDM Lookup 返回的一个或多个结果,作为 UDM 搜索查询的起点。

如需使用 UDM Lookup,请执行以下操作:

  1. UDM 搜索页面的按值查找 UDM 字段字段中输入文本字符串,然后点击 UDM 查找

  2. UDM Lookup 对话框中,选择以下一个或多个选项,以指定要搜索的数据范围:

    • UDM 字段:搜索 UDM 字段名称中的文本,例如 network.dns.questions.nameprincipal.ip
    • :在分配给 UDM 字段的值(例如 dnsgoogle.com)中搜索文本。

  3. 在搜索字段中输入或修改字符串。在输入过程中,对话框中会显示搜索结果。

    UDM 字段中搜索时,结果略有不同。搜索 Values 中的文字时,结果将显示如下:

    • 如果在值的开头或末尾找到该字符串,则系统会在结果中突出显示该字符串,以及 UDM 字段名称和日志提取时间。
    • 如果在值中的其他位置找到该文本字符串,结果会显示 UDM 字段名称和文本可能的值匹配

    在值中搜索

    在 UDM Lookup 中的值中搜索

    • 搜索 UDM 字段名称中的文本字符串时,UDM Lookup 会返回在名称中的任何位置找到的完全匹配项。

    在 UDM 字段中搜索

    在 UDM Lookup 查询中的 UDM 字段中搜索

  4. 在结果列表中,您可以执行以下操作:

    • 点击 UDM 字段的名称以查看该字段的说明。

    • 通过点击每个 UDM 字段名称左侧的复选框,选择一个或多个结果。

    • 点击重置按钮以取消选择结果列表中所有选定的字段。

  5. 要将所选结果附加到 UDM 搜索字段,请点击附加到搜索按钮。

    您也可以使用复制 UDM 按钮复制所选结果,然后关闭 UDM Lookup 对话框,并将搜索查询字符串粘贴到 UDM 搜索字段中。

    Chronicle 将所选结果转换为 UDM 搜索查询字符串,作为 UDM 字段名称或名称-值对。如果您附加多个结果,则系统会使用 OR 运算符将每个结果添加到 UDM 搜索字段中现有查询的末尾。

    附加的查询字符串因 UDM Lookup 返回的匹配类型而异。

    • 如果结果与 UDM 字段名称中的文本字符串匹配,则系统会将完整的 UDM 字段名称附加到查询中。下面给出了一个示例:

      principal.artifact.network.dhcp.client_hostname

    • 如果结果与值开头或末尾的文本字符串匹配,则名称-值对会包含 UDM 字段名称和结果中的完整值。具体示例如下:

      metadata.log_type = "PCAP_DNS"

      network.dns.answers.name = "dns-A901F3j.hat.example.com"

    • 如果结果包含文本可能的值匹配,则名称-值对包含 UDM 字段名称和包含搜索字词的正则表达式。下面给出了一个示例:

      principal.process.file.full_path = /google/ NOCASE

  6. 根据您的使用情形修改 UDM 搜索查询。UDM Lookup 生成的查询字符串是编写完整 UDM 搜索查询的起点。

UDM 查询行为摘要

本部分详细介绍了 UDM Lookup 功能。

  • 2023 年 8 月 10 日之后注入的 UDM Lookup 搜索数据。系统不会搜索在此之前提取的数据。它会返回在未丰富的 UDM 字段中找到的结果。它不会向扩充字段返回匹配项。如需了解丰富字段和未丰富字段,请参阅在事件查看器中查看事件
  • 使用 UDM Lookup 搜索的内容不区分大小写。hostname 一词返回的结果与 HostName 相同。
  • 搜索 Values 时,系统会忽略查询字符串中的连字符 (-) 和下划线 (_)。文本字符串 dns-ldnsl 都会返回值 dns-l

  • 如果搜索 Values(值),UDM Lookup 在以下情况下不会返回匹配项:

    以下 UDM 字段中的匹配项:
    • metadata.product_log_id
    • network.session_id
    • security_result.rule_id
    • network.parent_session_id
    匹配以以下任一值结尾的完整路径名称的 UDM 字段中:
    • .pid
      例如 target.process.pid
    • .asset_id
      例如 principal.asset_id
    • .product_specific_process_id
      例如 principal.process.product_specific_process_id
    • .resource.id
      例如 principal.resource.id

  • 搜索 Values(值)时,UDM Lookup 会在以下情况中找到匹配项时,在结果中显示消息“潜在的值匹配”

    以下 UDM 字段中的匹配项:
    • metadata.description
    • security_result.description
    • security_result.detection_fields.value
    • security_result.summary
    • network.http.user_agent
    匹配完整路径名以以下任一值结尾的字段:
    • .command_line
      例如 principal.process.command_line
    • .file.full_path
      例如 principal.process.file.full_path
    • .labels.value
      例如 src.labels.value
    • .registry.registry_key
      例如 principal.registry.registry_key
    • .url
      例如 principal.url
    匹配完整路径名使用以下值开头的字段: additional.fields.value.
    例如 additional.fields.value.null_value

要查看提醒,请点击 UDM Search 页面右上角事件标签页右侧的提醒标签页。

提醒的显示方式

Chronicle 根据客户环境中已有的事件评估 UDM 搜索中返回的事件。如果搜索查询事件与提醒中存在的事件匹配,则该事件会显示在提醒时间轴和生成的提醒表中。

事件和提醒的定义

事件由原始日志源生成,原始日志源被提取到 Chronicle 中并由 Chronicle 的提取和归一化流程进行处理。可以从单个原始日志源记录生成多个事件。事件表示从相应原始日志生成的一组与安全相关的数据点。

在 UDM 搜索中,“提醒”定义为启用了提醒的 YARA-L 规则检测。如需了解详情,请参阅针对实时数据运行规则

其他数据源(例如 CrowdStrike Falcon 提醒)可作为提醒被提取到 Chronicle 中。除非这些提醒由 Chronicle Detection Engine 按照 YARA-L 规则进行处理,否则不会在 UDM 搜索中显示。

完整提醒的屏幕截图

图 4. 提醒时间轴

事件时间轴中,与一个或多个提醒相关联的事件会使用提醒条状标签进行标记。如果时间轴有多条关联的提醒,条状标签会显示关联提醒的数量。

时间轴会显示从搜索结果中检索到的最新 1,000 条提醒。达到 1,000 的上限后,系统就不会再检索提醒。为确保您可以看到与搜索内容相关的所有结果,请使用过滤条件缩小搜索范围。

如何调查提醒

如需了解如何使用提醒图表提醒详情调查提醒,请按照调查提醒中列出的步骤操作。

在 UDM 搜索中使用参考列表

在“规则”中应用参考列表的流程也可以用于搜索。一个搜索查询最多可以包含七个列表。支持所有类型的引用列表(字符串、正则表达式、CIDR)。

您可以创建要跟踪的任何变量的列表。例如,您可以创建一个可疑 IP 地址列表: 

// Field value exists in reference list
principal.ip IN %suspicious_ips

您还可以通过使用 ANDOR 使用多个列表:

// multiple lists can be used with AND or OR
principal.ip IN %suspicious_ips AND
principal.hostname IN %suspicious_hostnames

优化搜索结果

除了修改 UDM 搜索和重新运行搜索,您还可以使用 UDM 搜索界面来过滤和优化结果。

时间表图

时间轴图表以图形方式呈现当前 UDM 搜索显示的每天发生的事件和提醒的数量。事件和提醒会显示在同一个时间轴图表上,该图表同时位于事件提醒标签页中。

每个条形的宽度取决于搜索的时间间隔。例如,当搜索跨越 24 小时的数据时,每个条形都表示 10 分钟。此图表会随着您修改现有 UDM 搜索而动态更新。

事件时间轴图表

图 8. 事件时间轴图表

时间范围调整

您可以通过左右移动白色滑块控件来调整时间范围,并重点关注感兴趣的时间段,从而调整图表的时间范围。当您调整时间范围时,UDM 字段、值以及事件表格也会随之更新,以反映当前的选择。您还可以点击图表上的单个条形,仅列出该时间段内的相应事件。

调整时间范围后,系统会显示过滤的事件查询事件复选框,以便您进一步限制显示的事件类型。

包含时间范围控件的事件时间轴图表

图 9. 包含时间范围控件的事件时间轴图表

使用快速过滤器修改 UDM 搜索

使用快速过滤器,您可以进一步缩小 UDM 搜索范围。您可以滚动浏览 UDM 字段列表,也可以使用“搜索”字段搜索特定的 UDM 字段或值。此处列出的 UDM 字段与您的 UDM 搜索生成的现有事件列表相关联。每个 UDM 字段都包含当前 UDM 搜索中也包含这部分数据的事件数量。UDM 字段列表会显示字段中的唯一值总数。借助此功能,您可以搜寻可能更感兴趣的特定类型的日志数据。

UDM 字段按以下顺序列出:

  1. 事件数最多的字段具有最少的事件数。
  2. 只有 1 个值的字段始终位于最后。
  3. 事件总数完全相同的字段将按字母顺序从 A 到 Z 排序。

快速过滤器

图 10. 快速过滤条件

修改快速过滤器

如果您在快速过滤器列表中选择了某个 UDM 字段值,然后点击菜单图标,则可以选择仅显示包含该 UDM 字段值的事件或滤除该 UDM 字段值。如果 UDM 字段存储整数值(例如:target.port),您还会看到按 <,>,<=,>= 过滤的选项。过滤选项会缩短所显示事件的列表。

您还可以在“快速过滤器”中固定字段(使用图钉图标),以将其保存到收藏夹。这些过滤器将显示在快速过滤器列表的顶部。

仅显示

图 11. 示例:选择“仅显示”

这些额外的 UDM 过滤条件也会添加到上面的“过滤事件”字段中。“过滤事件”字段可帮助您跟踪已添加到 UDM 搜索中的其他 UDM 字段。您还可以根据需要快速移除这些额外的 UDM 字段。

过滤事件

图 12. 过滤事件

如果您点击左侧的“过滤事件”菜单图标或添加过滤条件,系统会打开一个窗口,您可以在其中选择其他 UDM 字段。

过滤事件窗口

图 13. “过滤事件”窗口

点击应用于 Search and Run 后,系统会将 UDM 字段添加到“Filter events”(过滤事件)字段(参见图 8),并根据这些额外的过滤条件过滤显示的事件。您也可以点击 Apply to Search and Run,将这些设置添加到页面顶部的主 UDM 搜索字段中。系统会自动使用相同的日期和时间参数再次执行搜索。Google 建议您在点击应用于搜索和运行之前,尽可能缩小搜索范围。这有助于提高准确性并缩短搜索时间。

在“事件”表格中查看事件

所有这些过滤器和控件都会更新“事件”表格中显示的事件列表。点击列出的任意事件即可打开日志查看器,您可以在其中查看该事件的原始日志和 UDM 记录。如果您点击事件的时间戳,还可以前往关联的“资产”“IP 地址”“域名”“哈希”或“用户”视图。您还可以使用表格顶部的搜索字段查找特定活动。

事件表格

图 14. 事件表格

在“提醒”表格中查看提醒

您可以点击事件标签右侧的提醒标签来查看相关提醒。您可以使用快速过滤器按以下条件对提醒进行排序:

  • 场景
  • 名称
  • 优先级
  • 严重程度
  • 状态
  • 判定

这样,您就可以专注于对您最重要的提醒。

提醒的显示时间范围与“事件”标签页中的事件相同。这样,您就可以轻松了解事件与提醒之间的关联。

如果您想详细了解特定提醒,请点击相应提醒,然后系统会打开单个提醒详情页面,其中包含有关该提醒的更深入信息。

在事件查看器中查看事件

如果您将鼠标悬停在“事件”表格中的某个事件上,则打开的事件查看器图标会显示在突出显示的事件的右侧。点击该图标即可打开事件查看器。

事件查看器

图 15. 事件查看者

“Raw Log”窗口以以下任意格式显示原始原始日志:

  • 原始
  • JSON
  • XML
  • CSV
  • 十六进制/ASCII

UDM 窗口会显示结构化 UDM 记录。您可以将鼠标悬停在任意 UDM 字段上,此时系统会显示一个弹出式窗口来显示 UDM 定义。选中 UDM 字段对应的复选框后,您可以获得其他选项:

  • 您可以复制该 UDM 记录。选择一个或多个 UDM 字段,然后从查看操作下拉菜单中选择复制 UDM 选项。UDM 字段和 UDM 值会复制到系统剪贴板。

  • 您可以从查看操作下拉菜单中选择添加列选项,将 UDM 字段添加为“事件”表格中的列。

每个 UDM 字段都带有一个图标,用于指示相应字段是包含丰富数据还是未丰富数据。图标标签如下:

  • U:未扩充字段包含在归一化过程中使用原始原始日志中的数据填充的值。

  • E:丰富字段包含 Chronicle 填充的值,用于提供有关客户环境中工件的其他上下文。如需了解详情,请参阅 Chronicle 如何丰富事件和实体数据

    丰富和未丰富 UDM 字段

图 16. 事件查看器中的 UDM 字段

使用选项调整“事件”表格中显示的信息列。此时会显示“列”弹出式菜单。可用的选项因 UDM 搜索返回的事件类型而异。

您可以点击保存,选择性地保存您在此处选择的列。为所选的一组列命名,然后再次点击保存。您可以点击加载,然后从列表中选择一组已保存的列,以加载一组已保存的列。

您也可以点击三点状菜单,然后选择下载为 CSV 文件,下载显示的活动。这将下载所有搜索结果,最高可达 100 万个活动。界面会显示要下载的活动数量。

UDM 搜索列

图 17. UDM 搜索列

使用数据透视表分析事件

数据透视表让您可以根据 UDM 搜索的结果,使用表达式和函数分析事件。

若要打开并配置数据透视表,请完成以下步骤:

  1. 运行 UDM 搜索。

  2. 点击数据透视标签页以打开数据透视表。

  3. 指定 Group By 值可按特定 UDM 字段对事件进行分组。您可从菜单中选择小写,以使用默认大小写显示结果,或者仅使用小写显示结果。此选项仅适用于字符串字段。通过点击添加字段,您最多可以指定 5 个 Group By 值。

    如果 Group By 值是主机名字段之一,则您可以使用其他转换选项:

    • 顶级 N 级网域 - 选择要显示哪个级别的网域。 例如,如果值为 1,则仅显示顶级域名(例如 comgovedu)。如果值为 3,则显示接下来的两级域名(例如 google.co.uk)。
    • Get Registered Domain - 仅显示已注册的域名(例如 google.comnytimes.comyoutube.com)。

    如果 Group By 值是 IP 字段之一,则您可以使用其他转换选项:

    • (IP) CIDR 前缀长度(以位为单位) - 您可以为 IPv4 地址指定 1 到 32 之间的数字。对于 IPv6 地址,您最多可以指定 128 个值。

    如果 Group By 值包含时间戳,则您可以使用其他转换选项:

    • (时间)分辨率(以毫秒为单位)
    • (时间)分辨率(以秒为单位)
    • (时间)解决时间(分钟)
    • (时间)解决时间(以小时为单位)
    • (时间)解决时间(以天为单位)

  4. 从结果中的字段列表中为您的数据透视指定值。您最多可以指定 5 个值。指定字段后,您必须选择汇总选项。您可以通过以下选项进行汇总:

    • sum
    • count
    • 不同值计数
    • 平均值
    • stddev
    • 分钟
    • 最大值

    指定事件计数值,即可仅返回为此特定 UDM 搜索和数据透视表标识的事件数。

    摘要选项与分组依据字段并非普遍兼容。例如,sumaveragestddevminmax 选项只能应用于数字字段。如果您尝试将不兼容的 Summarize(摘要)选项与 Group By 字段关联,则会收到错误消息。

  5. 指定一个或多个 UDM 字段,并使用排序方式选项选择一种或多种排序方式。

  6. 准备就绪后,点击应用。结果显示在数据透视表中。

  7. (可选)如需下载数据透视表,请点击 ,然后选择下载为 CSV 文件。如果您未选择数据透视,则此选项会被停用。

在“快速搜索”中执行搜索

  1. 点击快速搜索,即可打开“快速搜索”窗口。此窗口会显示您保存的搜索和搜索记录。

  2. 点击列出的任意一项搜索,将其加载到 UDM 搜索字段中。

  3. 准备就绪后,点击运行搜索

列出的搜索记录会保存到您的 Chronicle 账号中。如果您需要修改任何已保存的搜索(例如,重命名现有搜索)、删除已保存的搜索或删除搜索记录中的搜索,请点击查看所有搜索打开搜索管理器

保存的搜索和搜索记录概览

您可以使用搜索管理器来检索已保存的搜索,并点击搜索管理器来查看您的搜索记录。保存的搜索和搜索记录会同时存储在您的 Chronicle 账号中。除非您使用分享搜索结果功能与贵组织共享搜索结果,否则只有个人用户可以查看和访问已保存的搜索和搜索记录。选择已保存的搜索即可查看其他信息,包括标题和说明。

搜索广告经理

图 19. 搜索广告经理

要保存搜索,请执行以下操作:

  1. 在 UDM 搜索页面中,点击保存,保存您的 UDM 搜索以供日后使用。系统随即会打开 Search Manager。Google 建议您为已保存的搜索指定一个有意义的名称,并针对您要搜索的内容提供纯文本说明。您还可以通过点击 ,在搜索管理器中创建新的 UDM 搜索。此处还提供标准的 UDM 修改和补全工具。

  2. (可选)以 $<variable name> 格式指定占位符变量,格式与 YARA-L 中变量所使用的格式相同。 如果您向 UDM 搜索添加变量,则还必须添加提示,帮助用户了解在运行搜索前需要输入哪些信息。在运行搜索之前,必须用值填充所有变量。

    例如,您可以在 UDM 搜索中添加 metadata.vendor_name = $vendor_name。对于$vendor_name,您需要添加针对日后用户的提示,例如“输入要搜索的供应商的名称”。用户以后每次加载此搜索时,系统都会提示他们输入供应商名称,然后才能运行搜索。

  3. 完成后,点击保存修改

  4. 要查看已保存的搜索,请点击搜索管理器,然后点击已保存标签页。

如需检索并运行已保存的搜索,请执行以下操作:

  1. 在搜索管理器中,点击已保存标签页。

  2. 从列表中选择一个已保存的搜索。这些已保存的搜索会保存到您的 Chronicle 账号中。您可以点击 ,然后选择删除搜索来删除搜索。

  3. 您可以更改搜索名称和说明。完成后,点击保存修改

  4. 点击加载搜索。将搜索加载到主 UDM 搜索字段。

  5. 点击运行搜索可查看与此搜索关联的事件。

从搜索记录中检索搜索内容

要从搜索记录中检索并运行搜索,请执行以下操作:

  1. 在搜索管理器中,点击历史记录

  2. 从搜索记录中选择一项搜索。您的搜索记录会保存到您的 Chronicle 账号中。您可以点击 删除某个搜索

  3. 点击加载搜索。将搜索加载到主 UDM 搜索字段。

  4. 点击运行搜索可查看与此搜索关联的事件。

清除、停用或启用搜索记录

要清除、停用或启用搜索记录,请执行以下操作:

  1. 在搜索管理器中,点击历史记录标签页。

  2. 点击

  3. 选择清除历史记录可清除搜索记录。

  4. 点击停用历史记录以停用搜索记录。您可以选择:

    • 仅选择停用 - 停用搜索记录。

    • 选择停用并清除 - 停用搜索记录并删除已保存的搜索记录。

  5. 如果您之前已停用搜索记录,则可以点击启用搜索记录将其重新启用。

  6. 点击关闭,退出搜索管理器。

分享搜索结果

通过共享搜索,您可以与团队的其他成员共享搜索结果。在已保存标签页中,您可以分享或删除搜索记录。您还可以点击搜索栏旁边的过滤图标来过滤搜索结果,然后按全部显示Chronicle 定义由我撰写共享对搜索进行排序。

您无法修改不属于自己的共享搜索。

  1. 点击已保存
  2. 点击要分享的搜索记录。
  3. 点击搜索右侧的 。系统会显示一个对话框,其中包含用于分享搜索结果的选项。
  4. 点击与贵组织共享
  5. 系统会显示一个弹出式窗口,告知您组织中的人员将能看到“分享您的搜索内容”。您确定要共享吗?点击分享

如果您只想让自己看到搜索,请点击 ,然后点击停止共享。如果您停止分享,则只有您可以使用这项搜索。

后续步骤

如需了解如何在 UDM 搜索中使用经过上下文丰富的数据,请参阅在 UDM Search 中使用经过上下文丰富的数据