Búsqueda de UDM

La función de búsqueda de UDM te permite encontrar eventos y alertas del modelo de datos unificado (UDM) en tu instancia de Chronicle. La búsqueda de UDM incluye una variedad de opciones de búsqueda, lo que te permite navegar por tus datos de UDM. Puedes buscar eventos de UDM individuales y grupos de eventos de UDM vinculados a términos de búsqueda compartidos.

Para los clientes de Chronicle Security Operations, las alertas también se pueden transferir desde connectors y webhooks. También puedes usar la búsqueda de UDM para encontrar estas alertas.

Para obtener más información sobre UDM, consulta Cómo dar formato a los datos de registro como UDM y la lista de campos del Modelo de datos unificado.

Para acceder a la búsqueda de UDM de Chronicle, haz clic en Search en la barra de navegación. También puedes acceder a la búsqueda de UDM ingresando un campo válido de UDM desde cualquier campo de búsqueda en Chronicle y presionando CTRL + Intro.

Para obtener una lista de todos los campos de UDM válidos, consulta la lista de campos del Modelo de datos unificado.

Búsqueda de UDM

Figura 1: Búsqueda de UDM

Búsqueda de UDM en blanco

Figura 2. Ventana de búsqueda de UDM que se abre con Ctrl + Intro

Completa los siguientes pasos para ingresar una búsqueda de UDM en el campo UDM Search. Cuando termines de ingresar una búsqueda de UDM, haz clic en Ejecutar búsqueda. La interfaz de usuario de Chronicle solo te permite ingresar una expresión de búsqueda de UDM válida. También puedes abrir la ventana del período para ajustar el rango de datos de la búsqueda.

Si la búsqueda es demasiado amplia, Chronicle muestra un mensaje de advertencia que indica que no puede mostrar todos los resultados de la búsqueda. Reduce el alcance de la búsqueda y vuelve a ejecutarla. Cuando una búsqueda es demasiado amplia, Chronicle muestra los resultados más recientes hasta el límite de búsqueda (1 millón de eventos y 1,000 alertas). Es posible que haya muchos más eventos y alertas que coincidan, pero que no se muestren en este momento. Ten esto en cuenta cuando analices los resultados. Google recomienda aplicar filtros adicionales y ejecutar la búsqueda original hasta estar por debajo del límite. Aplica filtros adicionales y vuelve a ejecutar la búsqueda original hasta estar por debajo del límite.

Fecha y ejecución de la búsqueda

Figura 3: Ejecuta la búsqueda

Las consultas de UDM se basan en campos de UDM, los cuales se enumeran en la lista de campos Modelo de datos unificados. También puedes ver los campos de UDM en el contexto de las búsquedas usando Filtros o Búsqueda de registros sin procesar.

  1. Para buscar eventos, ingresa el nombre de un campo de UDM en el campo de búsqueda. La interfaz de usuario incluye la función de autocompletar y muestra campos de UDM válidos en función de lo que hayas ingresado.

  2. Una vez que hayas ingresado un campo de UDM válido, selecciona un operador válido. La interfaz de usuario muestra los operadores válidos disponibles en función del campo de UDM que ingresaste. Se admiten los operadores siguientes:

    • <, >
    • <=, >=
    • =, !=
    • nocase: compatible con cadenas
  3. Una vez que hayas ingresado un campo y un operador de UDM válidos, ingresa los datos de registro correspondientes que buscas. Se admiten los siguientes tipos de datos:

    • Valores enumerados: La interfaz de usuario muestra una lista de valores enumerados válidos para un campo de UDM determinado.

      Por ejemplo (usa comillas dobles y todo en mayúsculas): metadata.event_type = "NETWORK_CONNECTION".

    • Valores adicionales: Puedes usar “field[key] = value” para buscar campos adicionales y de etiquetas para los eventos.

      Por ejemplo: additional.fields["key"]="value".

    • Booleanos: Puedes usar true o false (todos los caracteres no distinguen mayúsculas de minúsculas y las palabras clave no están entre comillas).

      Por ejemplo: network.dns.response = true.

    • Números enteros

      Por ejemplo: target.port = 443.

    • Números de punto flotante: Para los campos de UDM del tipo float, ingresa un valor de punto flotante, como 3.1. También puedes ingresar un número entero, como 3, que equivale a ingresar 3.0.

      Por ejemplo: security_result.about.asset.vulnerabilities.cvss_base_score = 3.1 o security_result.about.asset.vulnerabilities.cvss_base_score = 3.

    • Expresiones regulares: (la expresión regular debe estar dentro de los caracteres de barra (/))

      Por ejemplo: principal.ip = /10.*/.

      Para obtener más información sobre las expresiones regulares, consulta la página de expresiones regulares.

    • Cadenas

      Por ejemplo (debes usar comillas dobles): metadata.product_name = "Google Cloud VPC Flow Logs".

  4. Puedes usar el operador nocase para buscar cualquier combinación de versiones en mayúsculas y minúsculas de una string determinada:

    • principal.hostname != "http-server" nocase
    • principal.hostname = "JDoe" nocase
    • principal.hostname = /dns-server-[0-9]+/ nocase
  5. Las barras inversas y las comillas dobles en las cadenas deben escaparse con un carácter de barra inversa. Por ejemplo:

    • principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
    • target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""
  6. Puedes usar expresiones booleanas para acotar aún más el rango posible de datos que se muestran. En los siguientes ejemplos, se muestran algunos tipos de expresiones booleanas admitidas (se pueden usar operadores booleanos AND, OR y NOT):

    • A AND B
    • A OR B
    • (A OR B) AND (B OR C) AND (C OR NOT D)

    Los siguientes ejemplos ilustran cómo podría aparecer la sintaxis real:

    Eventos de acceso al servidor de finanzas:

    metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"

    Ejemplo de uso de una expresión regular para buscar la ejecución de la herramienta psexec.exe en Windows.

    target.process.command_line = /\bpsexec(.exe)?\b/ nocase

    Ejemplo del uso del operador más que (>) para buscar conexiones en las que se enviaron más de 10 MB de datos.

    metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000

    Ejemplo que usa varias condiciones para buscar Winword iniciando cmd.exe o powershell.exe.

        metadata.event_type = "PROCESS_LAUNCH" and
        principal.process.file.full_path = /winword/ and
        (target.process.file.full_path = /cmd.exe/ or
        target.process.file.full_path = /powershell.exe/)

  7. También puedes usar la búsqueda de UDM para buscar pares clave-valor específicos en los campos Adicionales y Etiqueta.

    Los campos Adicionales y Etiqueta se utilizan como una función genérica para los datos de eventos que no caben en un campo de UDM estándar. Los campos adicionales pueden contener varios pares clave-valor. Los campos de etiqueta solo pueden contener un par clave-valor. Sin embargo, cada instancia del campo contiene una sola clave y un solo valor. La clave debe ir entre corchetes y el valor debe estar del lado derecho.

    En los siguientes ejemplos, se muestra cómo buscar eventos que contengan pares clave-valor especificados:

        additional.fields["pod_name"] = "kube-scheduler"
        metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"
    En el siguiente ejemplo, se muestra cómo usar el operador AND con las búsquedas de pares clave-valor:
        additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"

    Puedes usar la siguiente sintaxis para buscar todos los eventos que contengan la clave especificada (independientemente de cuál sea el valor):

        additional.fields["pod_name"] != ""
    También puedes usar expresiones regulares y el operador nocase:
        additional.fields["pod_name"] = /br/
        additional.fields["pod_name"] = bar nocase

  8. También puedes usar comentarios bloqueados o de una sola línea.

    En el siguiente ejemplo, se muestra cómo usar un comentario de bloqueo:

        additional.fields["pod_name"] = "kube-scheduler"
        /*
        Block comments can span
        multiple lines.
        */
        AND additional.fields["pod_name1"] = "kube-scheduler1"

    En el siguiente ejemplo, se muestra cómo usar un comentario de una sola línea:

        additional.fields["pod_name"] != "" // my single-line comment

  9. Haz clic en Run Search para ejecutar la búsqueda de UDM y mostrar los resultados.

  10. Los eventos se muestran en la página de Búsqueda de la UDM en la tabla de cronograma de eventos. Puedes reducir aún más los resultados agregando campos de UDM adicionales de forma manual o usando la interfaz.

Buscar campos agrupados

Los campos agrupados son alias para grupos de campos de UDM relacionados. Puedes usarlos para consultar varios campos de UDM a la vez, sin necesidad de escribir cada uno de manera individual.

En el siguiente ejemplo, se muestra cómo ingresar una consulta para que coincida con los campos comunes de UDM que podrían contener la dirección IP especificada:

    ip = "1.2.3.4"

Puedes hacer coincidir un campo agrupado con una expresión regular y el operador nocase. También se admiten las listas de referencias. Los campos agrupados también se pueden usar en combinación con campos de UDM normales, como se muestra en el siguiente ejemplo:

    ip = "5.6.7.8" AND metadata.event_type = "NETWORK_CONNECTION"

Los campos agrupados tienen una sección separada en Filtros rápidos.

Tipos de campos de UDM agrupados

Puedes buscar en todos los siguientes campos agrupados de UDM:

Nombre del campo agrupado Campos de UDM asociados
dominio about.administrative_domain
about.asset.network_domain
network.dns.questions.name
network.dns_domain
principal.administrative_domain
principal.asset.network_domain
target.administrative_domain
target.asset.hostname
target.asset.network_domain
target.hostname
correo electrónico intermediary.user.email_addresses
network.email.from
network.email.to
principal.user.email_addresses
security_result.about.user.email_addresses
target.user.email_addresses
file_path principal.file.full_path
principal.process.file.full_path
principal.process.parent_process.file.full_path
target.file.full_path
target.process.file.full_path
target.process.parent_process.file.full_path
hash acerca de.file.md5
about.file.sha1
about.file.sha256
principal.process.file.md5
principal.process.file.sha1
principal.process.file.sha256
security_result.about.file.sha256
target.file.md5 target.file.md5 target.file.process.targetfile.targetfile.targetfile.targetfile
targetfile.targetfile.targetfile.targetfile
targetfile.targetfile.targetfile.targetfile.sha1
de targetfile.

Nombre de host intermediory.hostname
observar.hostname
principal.asset.hostname
principal.hostname
src.asset.hostname
src.hostname
target.asset.hostname
target.hostname
ip intermediary.ip
observar.ip
principal.artifact.ip
principal.asset.ip
principal.ip
src.artifact.ip
src.asset.ip
src.ip
target.artifact.ip
target.asset.ip
target.ip
espacio de nombres principal.namespace
src.namespace
target.namespace
process_id principal.process.parent_process.pid
principal.process.parent_process.product_specific_process_id
principal.process.pid
principal.process.product_specific_process_id
target.process.parent_process.pid
target.process.parent_process.product_specific_process_id
target.process.target_target.target_specific.
usuario about.user.userid
observar.user.userid
principal.user.user_display_name
principal.user.userid
principal.user.windows_sid
src.user.userid
target.user.user_display_name
target.user.userid
target.user.windows_sid

Cómo buscar un campo de UDM para la búsqueda

Cuando escribes una consulta de búsqueda de UDM, es posible que no sepas qué campo de UDM incluir. UDM Lookup te permite encontrar con rapidez un nombre de campo de UDM que contenga una cadena de texto en el nombre o que almacene un valor de cadena específico. No está diseñada para usarse en búsquedas de otros tipos de datos, como bytes, booleanos o numéricos. Seleccionas uno o más resultados que muestra UDM Lookup como punto de partida para una búsqueda de UDM.

Para usar UDM Lookup, realiza lo siguiente:

  1. En la página Búsqueda de UDM, ingresa una cadena de texto en el campo Buscar campos de UDM por valor y, luego, haz clic en Búsqueda de UDM.

  2. En el cuadro de diálogo UDM Lookup, selecciona una o más de las siguientes opciones para especificar el alcance de los datos que se buscarán:

    • Campos de la UDM: Busca texto en los nombres de los campos de UDM, por ejemplo, network.dns.questions.name o principal.ip.
    • Valores: Busca texto en los valores asignados a los campos de UDM, por ejemplo, dns o google.com.
  3. Ingresa o modifica la cadena en el campo de búsqueda. A medida que escribes, los resultados de la búsqueda aparecen en el diálogo.

    Los resultados son ligeramente diferentes cuando se buscan en campos UDM en comparación con valores. Cuando buscas texto en Valores, los resultados aparecen de la siguiente manera:

    • Si la string se encuentra al principio o al final del valor, se destaca en el resultado, junto con el nombre del campo de UDM y la hora en que se transfirió el registro.
    • Si la cadena de texto se encuentra en otra parte del valor, el resultado muestra el nombre del campo de UDM y el texto Posible coincidencia de valor.

    Buscar dentro de los valores

    Cómo realizar búsquedas dentro de los valores de UDM Lookup

    • Cuando se busca una cadena de texto en los nombres de los campos de UDM, la búsqueda de UDM muestra una coincidencia exacta que se encuentra en cualquier ubicación del nombre.

    Cómo realizar búsquedas en los campos de UDM

    Cómo realizar búsquedas en los campos de UDM en UDM Lookup

  4. En la lista de resultados, puedes hacer lo siguiente:

    • Haz clic en el nombre de un campo de UDM para ver una descripción de ese campo.

    • Para seleccionar uno o más resultados, haz clic en la casilla de verificación a la izquierda del nombre de cada campo de UDM.

    • Haz clic en el botón Restablecer para anular la selección de todos los campos seleccionados en la lista de resultados.

  5. Para agregar los resultados seleccionados al campo UDM Search, haz clic en el botón Agregar a la búsqueda.

    También puedes copiar el resultado seleccionado con el botón Copiar UDM y, luego, cerrar el diálogo UDM Lookup y pegar la cadena de búsqueda en el campo UDM Search.

    Chronicle convierte el resultado seleccionado en una cadena de consulta de búsqueda de UDM como el nombre del campo de UDM o un par nombre-valor. Si agregas varios resultados, cada uno se agrega al final de una consulta existente en el campo Búsqueda de UDM con el operador OR.

    La cadena de consulta anexada es diferente según el tipo de coincidencia que muestre el UDM Lookup.

    • Si el resultado coincide con una string de texto en el nombre de un campo de UDM, el nombre completo del campo de UDM se adjunta a la consulta. A continuación, se muestra un ejemplo:

      principal.artifact.network.dhcp.client_hostname

    • Si el resultado coincide con una string de texto al principio o al final de un valor, el par nombre-valor contiene el nombre del campo de UDM y el valor completo en el resultado. Estos son algunos ejemplos:

      metadata.log_type = "PCAP_DNS"

      network.dns.answers.name = "dns-A901F3j.hat.example.com"

    • Si el resultado incluye el texto Posible coincidencia de valor, el par nombre-valor contiene el nombre del campo de UDM y una expresión regular que incluye el término de búsqueda. A continuación, se muestra un ejemplo:

      principal.process.file.full_path = /google/ NOCASE

  6. Edita la búsqueda de UDM para adaptarla a tu caso de uso. La cadena de consulta que generó UDM Lookup, es un punto de partida para escribir una consulta de búsqueda de UDM completa.

Resumen del comportamiento de UDM

En esta sección, se proporcionan más detalles sobre las capacidades de UDM Lookup.

  • UDM Lookup busca datos transferidos después del 10 de agosto de 2023. Los datos transferidos antes de esto no se buscan. Muestra los resultados encontrados en campos de UDM no enriquecidos. No muestra coincidencias para los campos enriquecidos. Para obtener información sobre los campos enriquecidos y no enriquecidos, consulta Visualiza eventos en el Visor de eventos.
  • Las búsquedas que usan UDM Lookup no distinguen mayúsculas de minúsculas. El término hostname muestra el mismo resultado que HostName.
  • Los guiones (-) y los guiones bajos (_) en una cadena de texto de consulta se ignoran cuando se buscan Valores. Las strings de texto dns-l y dnsl muestran el valor dns-l.
  • Cuando buscas Valores, UDM Lookup no muestra coincidencias en los siguientes casos:

    Coincidencias en los siguientes campos de UDM:
    • metadata.product_log_id
    • network.session_id
    • security_result.rule_id
    • network.parent_session_id
    Coincide en los campos de UDM con un nombre de ruta de acceso completo que termine en uno de los siguientes valores:
    • .pid
      Por ejemplo, target.process.pid.
    • .asset_id
      Por ejemplo, principal.asset_id.
    • .product_specific_process_id
      Por ejemplo, principal.process.product_specific_process_id.
    • .resource.id
      Por ejemplo, principal.resource.id.

  • Cuando buscas valores, UDM Lookup muestra el mensaje Posible coincidencia del valor en el resultado si se encuentra una coincidencia en los siguientes casos:

    Coincidencias en los siguientes campos de UDM:
    • metadata.description
    • security_result.description
    • security_result.detection_fields.value
    • security_result.summary
    • network.http.user_agent
    Coincide con los campos con un nombre de ruta de acceso completo que termine en uno de los siguientes valores:
    • .command_line
      Por ejemplo, principal.process.command_line.
    • .file.full_path
      Por ejemplo, principal.process.file.full_path.
    • .labels.value
      Por ejemplo, src.labels.value.
    • .registry.registry_key
      Por ejemplo, principal.registry.registry_key.
    • .url
      Por ejemplo, principal.url.
    Coincide con los campos que tengan un nombre de ruta de acceso completo que comience con los siguientes valores: additional.fields.value.
    Por ejemplo, additional.fields.value.null_value.

Para ver las alertas, haz clic en la pestaña Alertas ubicada a la derecha de la pestaña Eventos en la esquina superior derecha de la página de Búsqueda de UMD.

Cómo aparecen las alertas

Chronicle evalúa los eventos que se muestran en la búsqueda de UDM en comparación con aquellos que existen para las alertas en el entorno del cliente. Cuando un evento de búsqueda coincide con un evento presente en una alerta, este se muestra en el cronograma de alertas y en la tabla de alertas resultante.

Definición de eventos y alertas

Se genera un evento a partir de una fuente de registro sin procesar que se transfiere a Chronicle y se procesa mediante el proceso de transferencia y normalización. Se pueden generar varios eventos a partir de un único registro fuente de registro sin procesar. Un evento representa un conjunto de datos relevantes para la seguridad que se generan a partir de ese registro sin procesar.

En una búsqueda de UDM, una alerta se define como una detección de reglas YARA-L con alertas habilitadas. Consulta cómo ejecutar una regla en datos en tiempo real para obtener más información.

Se pueden transferir otras fuentes de datos a Chronicle como alertas, como las alertas de Crowdstrike Falcon. Estas alertas no aparecerán en la búsqueda de UDM, a menos que Chronicle Detection Engine las procese como una regla YARA-L.

Captura de pantalla de alertas completas

Figura 4: Cronograma de alertas

Los eventos asociados con una o más alertas se marcan con un chip de alerta en Cronograma de eventos. Si hay varias alertas asociadas con el cronograma, el chip mostrará la cantidad de alertas asociadas.

La línea de tiempo muestra las 1000 alertas más recientes recuperadas de los resultados de la búsqueda. Cuando se alcanza el límite de 1,000, no se recuperan más alertas. Define mejor la búsqueda con filtros para asegurarte de ver todos los resultados relevantes.

Cómo investigar una alerta

Si quieres aprender a usar el Gráfico de alertas y los Detalles de la alerta para investigar una alerta, sigue los pasos que se describen en Cómo investigar una alerta.

Cómo usar listas de referencias en las búsquedas de UDM

El proceso para aplicar listas de referencias en reglas también se puede usar en la búsqueda. Se pueden incluir hasta siete listas en una sola consulta de búsqueda. Se admiten todos los tipos de listas de referencia (string, expresión regular, CIDR).

Puedes crear listas de cualquier variable a la que quieras hacer un seguimiento. Por ejemplo, puedes crear una lista de direcciones IP sospechosas:

// Field value exists in reference list
principal.ip IN %suspicious_ips

Además, puedes usar varias listas con AND o OR:

// multiple lists can be used with AND or OR
principal.ip IN %suspicious_ips AND
principal.hostname IN %suspicious_hostnames

Definir mejor los resultados de la búsqueda

Puedes usar la interfaz de usuario de búsqueda de UDM para filtrar y definir mejor los resultados como alternativa a modificar la búsqueda de UDM y volver a ejecutarla.

Gráfico de cronogramas

El gráfico de cronogramas proporciona una representación gráfica de la cantidad de eventos y alertas que ocurren cada día que aparecen en la búsqueda actual de UDM. Los eventos y las alertas se muestran en el mismo gráfico de cronograma, que está disponible en las pestañas Eventos y Alertas.

El ancho de cada barra depende del intervalo de tiempo de la búsqueda. Por ejemplo, cada barra representará 10 minutos cuando la búsqueda abarca 24 horas de datos. Este gráfico se actualiza de forma dinámica a medida que modificas la búsqueda de UDM existente.

Gráfico de cronogramas de eventos

Figura 8: Gráfico del cronograma de eventos

Ajuste del intervalo de tiempo

Puedes ajustar el intervalo de tiempo del gráfico moviendo los controles deslizantes blancos hacia la izquierda y la derecha para ajustar el intervalo de tiempo y centrarte en el período de interés. A medida que ajustes el intervalo de tiempo, las tablas de Campos, Valores y Eventos de UDM se actualizan para reflejar la selección actual. También puedes hacer clic en una sola barra del gráfico para enumerar solo los eventos de ese período.

Una vez que hayas ajustado el intervalo de tiempo, aparecerán las casillas de verificación Eventos filtrados y Eventos de consulta, lo que te permitirá limitar aún más los tipos de eventos que se muestran.

Gráfico de cronogramas de eventos con controles de intervalo de tiempo

Figura 9: Gráfico de cronogramas de eventos con controles de intervalo de tiempo

Modificar la búsqueda de UDM con Filtros rápidos

Con los Filtros rápidos, puedes acotar aún más tu búsqueda de UDM. Puedes desplazarte por la lista de campos de UDM o buscar campos o valores de UDM específicos con el campo de búsqueda. Los campos de UDM que se enumeran aquí están asociados con las listas de eventos existentes generados por tu búsqueda de UDM. Cada campo de UDM incluye la cantidad de eventos en tu búsqueda actual de UDM que también incluyen este dato. La lista de campos de UDM muestra el número único de valores total dentro de un campo. Esta función te permite buscar tipos particulares de datos de registro que podrían ser de más interés.

Los campos de UDM se enumeran en el siguiente orden:

  1. Campos con los recuentos de eventos más altos a los más bajos.
  2. Los campos con solo 1 valor son siempre los últimos.
  3. Los campos con exactamente el mismo recuento total de eventos se ordenan alfabéticamente de la A a la Z.

Filtros rápidos

Figura 10: Filtros rápidos

Cómo modificar un filtro rápido

Si seleccionas un valor de campo de UDM en la lista de Filtros rápidos y haces clic en el ícono de menú, tendrás la opción de Mostrar solo eventos que también incluyan ese valor de campo de UDM o Filtrar ese valor de campo de UDM. Si el campo de UDM almacena valores enteros (por ejemplo: target.port), también verás opciones para filtrar por <,>,<=,>=. Las opciones de filtro acortarán la lista de eventos que se muestra.

También puedes fijar campos (con el ícono de alfiler) en Filtro rápido para guardarlos como favoritos. Aparecerán en la parte superior de la lista de Filtros rápidos.

Solo programas

Figura 11: Ejemplo: Seleccionar Solo programa

Estos filtros de UDM adicionales también se agregan al campo de eventos de filtro de arriba. El campo de filtro de eventos te ayuda a hacer un seguimiento de los campos de UDM adicionales que agregaste a la búsqueda de UDM. También puedes quitar rápidamente estos campos de UDM adicionales según sea necesario.

Filtrar eventos

Figura 12: Cómo filtrar eventos

Si haces clic en el ícono de menú Filtrar eventos o en Agregar filtro a la izquierda, se abrirá una ventana que te permitirá seleccionar campos de UDM adicionales.

Ventana para filtrar eventos

Figura 13: Ventana para filtrar eventos

Cuando haces clic en APLICAR a Búsqueda y ejecución, los campos de UDM se agregan al campo Eventos de filtro (consulta la Figura 8) y los eventos que se muestran se filtran según esos filtros adicionales. También puedes hacer clic en Apply to Search and Run para agregarlos al campo principal de Búsqueda de UDM en la parte superior de la página. La búsqueda se vuelve a ejecutar automáticamente con los mismos parámetros de fecha y hora. Google recomienda acotar la búsqueda tanto como sea posible antes de hacer clic en APLICAR a Búsqueda y publicación. Esto ayuda a mejorar la precisión y reduce los tiempos de búsqueda.

Cómo ver eventos en la tabla Eventos

Todos estos filtros y controles actualizarán la lista de eventos que se muestra en la tabla Eventos. Haz clic en cualquiera de los eventos de la lista para abrir el Visor de registros, en el que podrás examinar el registro sin procesar y el registro de UDM de ese evento. Si haces clic en la marca de tiempo de un evento, también puedes navegar a la vista asociada Activo, Dirección IP, Dominio, Hash o Usuario. También puedes usar el campo de búsqueda de la parte superior de la tabla para encontrar un evento específico.

Tabla de eventos

Figura 14: Tabla de eventos

Ver alertas en la tabla Alertas

Para ver las alertas, haz clic en la pestaña Alertas en el lado derecho de la pestaña Eventos. Puedes usar los Filtros rápidos para ordenar las alertas por:

  • Caso
  • Nombre
  • Prioridad
  • Gravedad
  • Estado
  • Veredicto

Esto te permite concentrarte en las alertas que son más importantes para ti.

Las alertas se muestran en el mismo período que los eventos en la pestaña Eventos. Esto te permite ver fácilmente la conexión entre los eventos y las alertas.

Si deseas obtener más información sobre una alerta específica, haz clic en ella y se abrirá una página de detalles de la alerta individual que contiene información más detallada sobre esa alerta.

Visualiza eventos en el Visor de eventos

Si colocas el cursor sobre un evento de la tabla Eventos, aparecerá el ícono del visualizador de eventos abierto en el lado derecho del evento destacado. Haz clic en él para abrir el Visor de eventos.

Visualizador de eventos

Figura 15: Visualizador de eventos

La ventana Registro sin procesar muestra el registro original sin procesar en cualquiera de los siguientes formatos:

  • Datos
  • JSON
  • XML
  • CSV
  • Hexágonos/ASCII

La ventana de UDM muestra el registro estructurado de UDM. Puedes colocar el cursor sobre cualquiera de los campos del UDM y aparecerá una ventana emergente con la definición del UDM. Si seleccionas la casilla de verificación de los campos de UDM, obtendrás opciones adicionales:

  • Puedes copiar el registro UDM. Selecciona uno o más campos de UDM y, luego, la opción Copiar UDM del menú desplegable Ver acciones. Los campos y los valores de UDM se copian en el portapapeles del sistema.

  • Puedes agregar los campos de UDM como columnas en la tabla Eventos seleccionando la opción Agregar columnas del menú desplegable Ver acciones.

Cada campo de UDM está etiquetado con un ícono que indica si el campo contiene datos enriquecidos o no enriquecidos. Las etiquetas de los íconos son las siguientes:

  • U: Los campos sin enriquecer contienen valores propagados durante el proceso de normalización con datos del registro original sin procesar.
  • E: Los campos enriquecidos contienen valores que Chronicle propaga para proporcionar contexto adicional sobre los artefactos en el entorno de un cliente. Para obtener más información, consulta Cómo Chronicle enriquece los datos de eventos y entidades.

    Campos de UDM enriquecidos y no enriquecidos

Figura 16: Campos de UDM en el Visor de eventos

Utiliza la opción Columnas para ajustar las columnas de información que se muestran en la tabla Eventos. Se mostrará el menú emergente Columnas. Las opciones disponibles varían según los tipos de eventos que devuelve la búsqueda de UDM.

De manera opcional, puedes hacer clic en Guardar para guardar el conjunto de columnas que seleccionaste aquí. Asígnale un nombre al conjunto de columnas seleccionadas y vuelve a hacer clic en Guardar. Para cargar un conjunto de columnas guardadas, haz clic en Cargar y selecciona en la lista el conjunto de columnas guardadas.

También puedes descargar los eventos mostrados. Para ello, haz clic en el menú de tres puntos y selecciona Descargar como CSV. Se descargarán todos los resultados de la búsqueda hasta un millón de eventos. La interfaz de usuario indicará la cantidad de eventos que descargará.

Columnas de búsqueda de UDM

Figura 17: columnas de búsqueda de UDM

Utilizar la tabla dinámica para analizar eventos

La tabla dinámica te permite analizar eventos utilizando expresiones y funciones en comparación con los resultados de la búsqueda de UDM.

Completa los siguientes pasos para abrir y configurar la tabla dinámica:

  1. Ejecuta una búsqueda de UDM.

  2. Haz clic en la pestaña Pivot para abrir la tabla dinámica.

  3. Especifica un valor en Agrupar por para agrupar los eventos según un campo de UDM específico. Puedes mostrar los resultados con las mayúsculas predeterminadas o solo usando minúsculas. Para ello, selecciona minúscula en el menú. Esta opción solo está disponible para los campos de cadenas. Para especificar hasta 5 valores de Agrupar por, haz clic en Agregar campo.

    Si tu valor Agrupar por es uno de los campos de nombre de host, tendrás opciones de transformación adicionales:

    • Dominio de nivel N superior: Elige el nivel del dominio que deseas mostrar. Por ejemplo, cuando se usa el valor 1, se muestran solo los dominios de nivel superior (como com, gov o edu). El valor 3 muestra los siguientes dos niveles de los nombres de dominio (como google.co.uk).
    • Obtener dominio registrado: Se muestra solo el nombre de dominio registrado (como google.com, nytimes.com y youtube.com).

    Si tu valor Agrupar por (Group By) es uno de los campos de IP, tienes opciones de transformación adicionales:

    • Longitud del prefijo CIDR(IP) en bits: puedes especificar de 1 a 32 para direcciones IPv4. Para direcciones IPv6, puedes especificar valores de hasta 128.

    Si el valor Agrupar por incluye una marca de tiempo, tendrás opciones de transformación adicionales:

    • Resolución en milisegundos(tiempo)
    • Resolución en segundos(tiempo)
    • (Tiempo) Resolución en minutos
    • (Tiempo) Resolución en horas
    • (Tiempo) Resolución en días
  4. Especifica un valor para tu tabla dinámica de la lista de campos en tus resultados. Puedes especificar hasta 5 valores. Después de especificar un campo, debes seleccionar la opción Resumir. Puedes resumirlo con las siguientes opciones:

    • ponderada
    • count
    • count DISTINCT
    • promedio
    • stddev
    • min
    • max

    Especifica un valor de Cantidad de eventos (Event Count) para mostrar simplemente la cantidad de eventos identificados para esta búsqueda de UDM y esta tabla dinámica en particular.

    Las opciones de Resumir no son compatibles universalmente con los campos Agrupar por. Por ejemplo, las opciones sum, average, stddev, min y max solo se pueden aplicar a campos numéricos. Si intentas asociar una opción Resumir incompatible con un campo Agrupar por, recibirás un mensaje de error.

  5. Especifica uno o más campos de UDM y selecciona uno o más tipos de ordenamiento con la opción Order By.

  6. Haz clic en Aplicar cuando hayas finalizado. Los resultados se muestran en la tabla dinámica.

  7. Para descargar la tabla dinámica, haz clic en y selecciona Descargar como CSV (opcional). Si no seleccionaste una tabla dinámica, esta opción estará inhabilitada.

Cómo ejecutar una búsqueda en Búsquedas rápidas

  1. Haz clic en Búsquedas rápidas para abrir la ventana Búsquedas rápidas. En esta ventana, se muestran tus búsquedas guardadas y el historial de búsqueda.

  2. Haz clic en cualquiera de las búsquedas que aparecen para cargarla en el campo de búsqueda de UDM.

  3. Haz clic en Ejecutar búsqueda cuando termines.

Las búsquedas que se muestran se guardan en tu cuenta de Chronicle. Si necesitas modificar alguna de las búsquedas guardadas (por ejemplo, cambiar el nombre de una búsqueda existente), eliminar búsquedas guardadas o eliminar búsquedas del historial de búsqueda, abre el Administrador de búsquedas haciendo clic en Ver todas las búsquedas.

Descripción general del historial de búsqueda y las búsquedas guardadas

Haz clic en Administrador de búsquedas para recuperar las búsquedas guardadas y ver tu historial de búsqueda. Las búsquedas guardadas y el historial de búsqueda se almacenan en tu cuenta de Chronicle. Solo el usuario específico puede ver y acceder a las búsquedas guardadas y el historial de búsqueda, a menos que uses la función Compartir una búsqueda para compartir tu búsqueda con tu organización. Selecciona una búsqueda guardada para ver información adicional, como el título y la descripción.

Administrador de búsqueda

Figura 19: Administrador de Búsqueda

Para guardar una búsqueda:

  1. En la página de búsqueda de UDM, haz clic en Guardar para guardar tu búsqueda de UDM y usarla más tarde. Se abrirá el Administrador de búsqueda. Google recomienda asignarle a la búsqueda guardada un nombre significativo y una descripción de texto sin formato de lo que estás buscando. También puedes crear una búsqueda de UDM nueva desde el Administrador de búsqueda haciendo clic en . Las herramientas estándar de edición y finalización de UDM también están disponibles aquí.

  2. (Opcional) Especifica las variables del marcador de posición en el formato $<variable name> con el mismo formato que se usa para las variables en YARA-L. Si agregas una variable a una búsqueda de UDM, también debes incluir un mensaje que ayude al usuario a comprender qué información debe ingresar antes de ejecutar la búsqueda. Todas las variables deben completarse con valores antes de ejecutar una búsqueda.

    Por ejemplo, puedes agregar metadata.vendor_name = $vendor_name a tu búsqueda de UDM. En el caso de $vendor_name, debes agregar un mensaje para los usuarios futuros, como "Ingresa el nombre del proveedor para tu búsqueda". Cada vez que un usuario cargue esta búsqueda en el futuro, se le pedirá que ingrese el nombre del proveedor antes de poder ejecutar la búsqueda.

  3. Haz clic en Guardar cambios cuando hayas terminado.

  4. Para ver las búsquedas guardadas, haz clic en Administrador de búsquedas y, luego, en la pestaña Guardadas.

Para recuperar y ejecutar una búsqueda guardada:

  1. En el Administrador de búsqueda, haz clic en la pestaña Guardados.

  2. Selecciona una búsqueda guardada de la lista. Estas búsquedas guardadas se guardan en tu cuenta de Chronicle. Para borrar una búsqueda, haz clic en y selecciona Borrar búsqueda.

  3. Puedes cambiar el nombre de la búsqueda y la descripción. Haz clic en Guardar cambios cuando hayas terminado.

  4. Haz clic en Load Search. La búsqueda se carga en el campo de búsqueda principal de UDM.

  5. Haz clic en Ejecutar búsqueda para ver los eventos asociados con esta búsqueda.

Cómo recuperar una búsqueda de tu historial de búsqueda

Para recuperar y ejecutar una búsqueda desde tu historial de búsqueda:

  1. En el Administrador de búsqueda, haz clic en Historial.

  2. Selecciona una búsqueda de tu historial de búsquedas. El historial de búsqueda se guarda en tu cuenta de Chronicle. Para borrar una búsqueda, haz clic en

  3. Haz clic en Load Search. La búsqueda se carga en el campo de búsqueda principal de UDM.

  4. Haz clic en Ejecutar búsqueda para ver los eventos asociados con esta búsqueda.

Cómo borrar, inhabilitar o habilitar el historial de búsqueda

Sigue estos pasos para borrar, habilitar o inhabilitar el historial de búsqueda:

  1. En el Administrador de búsqueda, haz clic en la pestaña Historial.

  2. Haz clic en .

  3. Selecciona Borrar historial para borrar el historial de búsqueda.

  4. Haz clic en Inhabilitar historial para inhabilitarlo. Puedes realizar una de las siguientes acciones:

    • Solo inhabilitar: Inhabilita el historial de búsqueda.

    • Inhabilitar y borrar: Inhabilita el historial de búsqueda y borra el historial de búsqueda guardado.

  5. Si inhabilitaste el historial de búsqueda anteriormente, puedes habilitarlo nuevamente haciendo clic en Habilitar el historial de búsqueda.

  6. Haz clic en Cerrar para salir del Administrador de búsqueda.

Compartir una búsqueda

Las búsquedas compartidas le permiten compartir búsquedas con el resto de su equipo. En la pestaña Guardados, puedes compartir o borrar búsquedas. También puedes filtrar tus búsquedas haciendo clic en el ícono de filtro junto a la barra de búsqueda y ordenar las búsquedas por Mostrar todo, Definida por Chronicle, Autorizada por mí o Compartido.

No puede modificar una búsqueda compartida que no sea de su propiedad.

  1. Haz clic en Guardado.
  2. Haz clic en la búsqueda que quieres compartir.
  3. Haz clic en en el lado derecho de la búsqueda. Aparecerá un cuadro de diálogo con la opción de compartir tu búsqueda.
  4. Haz clic en Compartir con la organización.
  5. Aparecerá una ventana emergente en la que se indicará que las personas de tu organización podrán ver el uso compartido de tu búsqueda. ¿Confirmas que quieres compartirlo? Haz clic en Compartir

Si quieres que solo tú puedas ver la búsqueda, haz clic en y, luego, en Dejar de compartir. Si dejas de compartir contenido, solo tú podrás usar esta búsqueda.

¿Qué sigue?

Para obtener información sobre cómo usar datos enriquecidos con contexto en la búsqueda de UDM, consulta Cómo usar datos enriquecidos de contexto en la búsqueda de UDM.