Pesquisa no UDM

Com a função de pesquisa do UDM, é possível encontrar eventos e alertas do Unified Data Model (UDM) na sua instância do Chronicle. A pesquisa no UDM inclui várias opções de pesquisa, que permitem que você navegue pelos dados do UDM. Você pode pesquisar eventos individuais e grupos de eventos do UDM vinculados a termos de pesquisa compartilhados.

Para clientes do Chronicle Security Operations, os alertas também podem ser ingeridos em connectors e webhooks. Também é possível usar a pesquisa de UDM para encontrar esses alertas.

Para mais informações sobre o UDM, consulte Formatar dados de registro como UDM e Lista de campos do modelo unificado de dados.

Para acessar a pesquisa do Chronicle UDM, clique em Pesquisar na barra de navegação. Também é possível acessar a pesquisa no UDM digitando um campo válido em qualquer campo de pesquisa do Chronicle e pressionando CTRL+Enter.

Para uma lista de todos os campos de UDM válidos, consulte a Lista de campos do modelo de dados unificado.

Pesquisa no UDM

Figura 1. Pesquisa do UDM

Pesquisa de UDM em branco

Figura 2. Janela de pesquisa do UDM que é aberta com CTRL+Enter

Conclua as etapas a seguir para digitar uma pesquisa de UDM no campo Pesquisa de UDM. Quando terminar de digitar uma pesquisa no UDM, clique em Executar pesquisa. A interface do usuário do Chronicle só permite que você digite uma expressão de pesquisa de UDM válida. Você também pode ajustar o intervalo de dados da pesquisa abrindo a janela de período.

Se a pesquisa for muito ampla, o Chronicle retornará uma mensagem de aviso indicando que não é possível exibir todos os resultados da pesquisa. Reduza o escopo da pesquisa e execute-a novamente. Quando uma pesquisa é muito ampla, o Chronicle retorna os resultados mais recentes até o limite (1 milhão de eventos e 1.000 alertas). Pode haver muito mais eventos e alertas correspondentes, mas eles não estão sendo mostrados no momento. Esteja ciente disso ao analisar os resultados. O Google recomenda aplicar mais filtros e fazer a pesquisa original até você ficar abaixo do limite. Em vez disso, aplique filtros adicionais e execute a pesquisa original novamente até ficar abaixo do limite.

Data e pesquisa em execução

Figura 3. executar pesquisa

As consultas de UDM são baseadas em campos de UDM, todos listados na lista de campos do modelo unificado de dados. Também é possível ver os campos de UDM no contexto das pesquisas usando filtros ou a pesquisa de registros brutos.

  1. Para pesquisar eventos, digite o nome de um campo de UDM no campo de pesquisa. A interface do usuário inclui preenchimento automático e exibe campos de UDM válidos com base no que você digitou.

  2. Depois de inserir um campo de UDM válido, selecione um operador válido. A interface do usuário mostra os operadores válidos disponíveis com base no campo de UDM inserido. Os seguintes operadores são aceitos:

    • <, >
    • <=, >=
    • =, !=
    • nocase: compatível com strings
  3. Depois de inserir um campo e um operador de UDM válidos, digite os dados de registro correspondentes que você está procurando. Os seguintes tipos de dados são compatíveis:

    • Valores enumerados:a interface do usuário mostra uma lista de valores enumerados válidos para um determinado campo do UDM.

      Por exemplo (use aspas duplas e todas as letras maiúsculas): metadata.event_type = "NETWORK_CONNECTION"

    • Valores adicionais:é possível usar "field[key] = value" para pesquisar outros campos e rótulos de eventos.

      Por exemplo: additional.fields["key"]="value"

    • Bools:você pode usar true ou false (todos os caracteres são indiferentes a maiúsculas e a palavra-chave não está entre aspas).

      Por exemplo: network.dns.response = true

    • Números inteiros

      Por exemplo: target.port = 443

    • Pontos flutuantes:para campos UDM do tipo float, insira um pontuação flutuante, como 3.1. Também é possível inserir um número inteiro, como 3, que é equivalente a inserir 3.0.

      Por exemplo: security_result.about.asset.vulnerabilities.cvss_base_score = 3.1 ou security_result.about.asset.vulnerabilities.cvss_base_score = 3

    • Expressões regulares: (a expressão regular precisa estar entre barras (/) caracteres)

      Por exemplo: principal.ip = /10.*/

      Para mais informações sobre expressões regulares, consulte a página de expressões regulares.

    • Strings

      Por exemplo (é preciso usar aspas duplas): metadata.product_name = "Google Cloud VPC Flow Logs"

  4. É possível usar o operador nocase para pesquisar qualquer combinação de versões em maiúsculas e minúsculas de uma determinada string:

    • principal.hostname != "http-server" nocase
    • principal.hostname = "JDoe" nocase
    • principal.hostname = /dns-server-[0-9]+/ nocase
  5. Barras invertidas e aspas duplas em strings precisam de escape usando um caractere de barra invertida. Exemplo:

    • principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
    • target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""
  6. Você pode usar expressões booleanas para restringir ainda mais o intervalo possível de dados exibidos. Confira nos exemplos a seguir alguns tipos de expressões booleanas compatíveis. É possível usar os operadores booleanos AND, OR e NOT:

    • A AND B
    • A OR B
    • (A OR B) AND (B OR C) AND (C OR NOT D)

    Os exemplos a seguir ilustram como a sintaxe real pode aparecer:

    Eventos de login no servidor de finanças:

    metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"

    Exemplo de uso de uma expressão regular para pesquisar a execução da ferramenta psexec.exe no Windows.

    target.process.command_line = /\bpsexec(.exe)?\b/ nocase

    Exemplo de uso do operador more than (>) para pesquisar conexões com envio de mais de 10 MB de dados.

    metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000

    Exemplo de uso de várias condições para pesquisar o Winword iniciando cmd.exe ou powershell.exe.

        metadata.event_type = "PROCESS_LAUNCH" and
        principal.process.file.full_path = /winword/ and
        (target.process.file.full_path = /cmd.exe/ or
        target.process.file.full_path = /powershell.exe/)

  7. Também é possível usar a pesquisa do UDM para pesquisar pares específicos de chave-valor nos campos "Adicionais" e "Marcador".

    Os campos "Additional" e "Label" são usados como um "catch all" personalizável para dados de eventos que não se encaixam em um campo de UDM padrão. Os campos adicionais podem conter vários pares de chave-valor. Os campos de rótulos só podem conter um único par de chave-valor. No entanto, cada instância do campo contém apenas uma chave e um único valor. A chave precisa estar entre colchetes, e o valor tem que estar do lado direito.

    Nos exemplos abaixo, mostramos como pesquisar eventos que contêm pares de chave-valor especificados:

        additional.fields["pod_name"] = "kube-scheduler"
        metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"
    O exemplo a seguir mostra como usar o operador AND com pesquisas de par de chave-valor:
        additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"

    Você pode usar a seguinte sintaxe para pesquisar todos os eventos que contêm a chave especificada (independentemente do valor)

        additional.fields["pod_name"] != ""
    Também é possível usar expressões regulares e o operador nocase:
        additional.fields["pod_name"] = /br/
        additional.fields["pod_name"] = bar nocase

  8. Você também pode usar comentários em bloco e de linha única.

    O exemplo a seguir mostra como usar um comentário de bloco:

        additional.fields["pod_name"] = "kube-scheduler"
        /*
        Block comments can span
        multiple lines.
        */
        AND additional.fields["pod_name1"] = "kube-scheduler1"

    O exemplo a seguir mostra como usar um comentário de linha única:

        additional.fields["pod_name"] != "" // my single-line comment

  9. Clique em Executar pesquisa para fazer sua pesquisa no UDM e exibir os resultados.

  10. Os eventos são exibidos na página UDM Search na tabela de cronograma "Eventos". É possível restringir ainda mais os resultados adicionando outros campos de UDM manualmente ou usando a interface.

Pesquisar campos agrupados

Os campos agrupados são aliases de grupos de campos de UDM relacionados. É possível usá-las para consultar vários campos de UDM ao mesmo tempo, sem digitar cada campo individualmente.

O exemplo a seguir mostra como inserir uma consulta para corresponder aos campos de UDM comuns que podem conter o endereço IP especificado:

    ip = "1.2.3.4"

É possível corresponder um campo agrupado usando uma expressão regular e o operador nocase. Também há suporte para listas de referência. Os campos agrupados também podem ser usados com os campos de UDM normais, como mostrado neste exemplo:

    ip = "5.6.7.8" AND metadata.event_type = "NETWORK_CONNECTION"

Os campos agrupados têm uma seção separada nos Filtros rápidos.

Tipos de campos de UDM agrupados

É possível pesquisar em todos os campos de UDM agrupados a seguir:

Nome de campo agrupado Campos de UDM associados
domínio sobre.admin_domain
about.asset.network_domain
network.dns.questions.name
network.dns_domain
principal.Administrative_domain
principal.asset.network_domain
target.Administrative_domain
target.asset.hostname
target.asset.network_domain
target.hostname
email intermediary.user.email_addresses
network.email.from
network.email.to
principal.user.email_addresses
security_result.about.user.email_addresses
target.user.email_addresses
file_path principal.file.full_path
principal.process.file.full_path
principal.process.parent_process.file.full_path
target.file.full_path
target.process.file.full_path
target.process.parent_process.file.full_path
jogo da velha sobre.file.md5











nome do host intermediary.hostname
observer.hostname
principal.asset.hostname
principal.hostname
src.asset.hostname
src.hostname
target.asset.hostname
target.hostname
ip intermediary.ip
observer.ip
principal.artifact.ip
principal.asset.ip
principal.ip
src.artifact.ip
src.asset.ip
src.ip
target.artifact.ip
target.asset.ip
target.ip
namespace principal.namespace
src.namespace
target.namespace
process_id principal.process.parent_process.pid
principal.process.parent_process.product_specific_process_id
principal.process.pid
principal.process.product_specific_process_id
target.process.parent_process.pid
target.process.parent_process.product_specific_process_id
target.process.pid
target.process.pid
usuário about.user.userid
observador.user.userid
principal.user.user_display_name
principal.user.userid
principal.user.windows_sid
src.user.userid
target.user.user_display_name
target.user.userid
target.user.windows_sid

Encontrar um campo de UDM para consulta de pesquisa

Ao escrever uma consulta de pesquisa do UDM, talvez você não saiba qual campo de UDM incluir. A pesquisa de UDM permite que você encontre rapidamente um nome de campo de UDM que contenha uma string de texto no nome ou que armazene um valor de string específico. Ele não é usado para pesquisar outros tipos de dados, como bytes, booleanos ou numéricos. Você seleciona um ou mais resultados retornados pelo UDM Lookup como ponto de partida para uma consulta de pesquisa de UDM.

Para usar a pesquisa de UDM, faça o seguinte:

  1. Na página Pesquisa de UDM, insira uma string de texto no campo Pesquisar campos de UDM por valor e clique em Pesquisa de UDM.

  2. Na caixa de diálogo UDM Lookup, selecione uma ou mais das seguintes opções para especificar o escopo dos dados a serem pesquisados:

    • Campos UDM: pesquise texto em nomes de campos UDM, por exemplo, network.dns.questions.name ou principal.ip.
    • Valores: pesquise texto nos valores atribuídos aos campos de UDM, por exemplo, dns ou google.com.
  3. Insira ou modifique a string no campo de pesquisa. Conforme você digita, os resultados da pesquisa aparecem na caixa de diálogo.

    Os resultados são um pouco diferentes nas pesquisas em Campos de UDM e valores. Ao pesquisar texto em Valores, os resultados aparecem da seguinte maneira:

    • Se a string for encontrada no início ou no final do valor, ela será destacada no resultado com o nome do campo do UDM e a hora em que o registro foi ingerido.
    • Se a string de texto for encontrada em outro lugar no valor, o resultado vai mostrar o nome do campo do UDM e o texto Correspondência de valor possível.

    Pesquisar nos valores

    Pesquisar valores no UDM Lookup

    • Ao pesquisar uma string de texto nos nomes de campos do UDM, a pesquisa de UDM retorna uma correspondência exata em qualquer local do nome.

    Pesquisar nos campos de UDM

    Pesquisar nos campos de UDM na pesquisa de UDM

  4. Na lista de resultados, faça o seguinte:

    • Clique no nome de um campo de UDM para ver uma descrição dele.

    • Selecione um ou mais resultados clicando na caixa de seleção à esquerda de cada nome de campo de UDM.

    • Clique no botão Redefinir para desmarcar todos os campos selecionados na lista de resultados.

  5. Para anexar os resultados selecionados ao campo UDM Search, clique no botão Anexar à pesquisa.

    Também é possível copiar o resultado selecionado usando o botão Copiar UDM e, em seguida, fechar a caixa de diálogo Pesquisa de UDM e colar a string de consulta de pesquisa no campo Pesquisa de UDM.

    O Chronicle converte o resultado selecionado em uma string de consulta de pesquisa do UDM como o nome do campo do UDM ou um par de nome-valor. Se você anexar vários resultados, cada um deles será adicionado ao final de uma consulta no campo de pesquisa de UDM usando o operador OR.

    A string de consulta anexada é diferente dependendo do tipo de correspondência retornado pelo UDM Lookup.

    • Se o resultado corresponder a uma string de texto em um nome de campo do UDM, o nome completo do campo será anexado à consulta. Veja um exemplo abaixo.

      principal.artifact.network.dhcp.client_hostname

    • Se o resultado corresponder a uma string de texto no início ou no final de um valor, o par de nome-valor conterá o nome do campo do UDM e o valor completo no resultado. Confira alguns exemplos:

      metadata.log_type = "PCAP_DNS"

      network.dns.answers.name = "dns-A901F3j.hat.example.com"

    • Se o resultado incluir o texto Correspondência de valor possível, o par de nome-valor vai conter o nome do campo do UDM e uma expressão regular contendo o termo de pesquisa. Veja um exemplo abaixo.

      principal.process.file.full_path = /google/ NOCASE

  6. Edite a consulta de pesquisa do UDM de acordo com seu caso de uso. A string de consulta gerada pela pesquisa de UDM é um ponto de partida para escrever uma consulta de pesquisa de UDM completa.

Resumo do comportamento da pesquisa de UDM

Esta seção fornece mais detalhes sobre os recursos de pesquisa de UDM.

  • Dados de pesquisas da UDM Lookup ingeridos após 10 de agosto de 2023. Os dados ingeridos antes disso não são pesquisados. Ela retorna resultados encontrados em campos de UDM não aprimorados. Ela não retorna correspondências para campos enriquecidos. Para informações sobre campos com e não enriquecidos, consulte Visualizar eventos no Visualizador de eventos.
  • As pesquisas que usam o UDM Lookup não diferenciam maiúsculas de minúsculas. O termo hostname retorna o mesmo resultado que HostName.
  • Hifens (-) e sublinhados (_) em uma string de texto de consulta são ignorados ao pesquisar Valores. As strings de texto dns-l e dnsl retornam o valor dns-l.
  • Ao pesquisar Valores, a pesquisa de UDM não retorna correspondências nos seguintes casos:

    Corresponde aos seguintes campos de UDM:
    • metadata.product_log_id
    • network.session_id
    • security_result.rule_id
    • network.parent_session_id
    Corresponde em campos UDM com um nome de caminho completo que termina em um dos seguintes valores:
    • .pid
      Por exemplo, target.process.pid.
    • .asset_id
      Por exemplo, principal.asset_id.
    • .product_specific_process_id
      Por exemplo, principal.process.product_specific_process_id.
    • .resource.id
      Por exemplo, principal.resource.id.

  • Durante a pesquisa de Valores, a pesquisa de UDM mostra a mensagem Correspondência de valor possível no resultado quando uma correspondência é encontrada nos seguintes casos:

    Corresponde aos seguintes campos de UDM:
    • metadata.description
    • security_result.description
    • security_result.detection_fields.value
    • security_result.summary
    • network.http.user_agent
    Corresponde em campos com um nome de caminho completo que termina em um dos seguintes valores:
    • .command_line
      Por exemplo, principal.process.command_line.
    • .file.full_path
      Por exemplo, principal.process.file.full_path.
    • .labels.value
      Por exemplo, src.labels.value.
    • .registry.registry_key
      Por exemplo, principal.registry.registry_key.
    • .url
      Por exemplo, principal.url.
    Corresponde em campos com um nome de caminho completo que começa com os seguintes valores: additional.fields.value.
    Por exemplo, additional.fields.value.null_value.

Para visualizar alertas, clique na guia Alertas, à direita da guia Eventos, no canto superior direito da página Pesquisa do UDM.

Como os alertas são exibidos

O Chronicle avalia os eventos retornados na pesquisa do UDM em relação aos eventos existentes para alertas no ambiente do cliente. Quando um evento de consulta de pesquisa corresponde a um evento presente em um alerta, ele aparece na linha do tempo do alerta e na tabela de alertas resultante.

Definição de eventos e alertas

Um evento é gerado com base em uma origem de registro bruto que é ingerida no Chronicle e processada pelo processo de ingestão e normalização do Chronicle. Vários eventos podem ser gerados de um único registro bruto de origem. Um evento representa um conjunto de pontos de dados relevantes para a segurança gerados a partir do registro bruto.

Em uma pesquisa do UDM, um alerta é definido como uma detecção de regra YARA-L com o alerta ativado. Consulte Como executar uma regra em dados ativos para saber mais.

Outras fontes de dados podem ser ingeridas no Chronicle como alertas, como o Crowdstrike Falcon Alerts. Esses alertas não serão exibidos na pesquisa do UDM, a menos que sejam processados pelo mecanismo de detecção do Chronicle como uma regra YARA-L.

Captura de tela de alertas completos

Figura 4. cronograma de alertas

Os eventos associados a um ou mais alertas são marcados com um ícone de alerta na Linha do tempo do evento. Se houver vários alertas associados à linha do tempo, o ícone exibirá os números de alertas associados.

A linha do tempo exibe os 1.000 alertas mais recentes recuperados dos resultados da pesquisa. Quando o limite de 1.000 é atingido, nenhum outro alerta é recuperado. Refine sua pesquisa com filtros para garantir que você veja todos os resultados relevantes para sua pesquisa.

Como investigar um alerta

Se quiser saber como usar o Gráfico de alertas e os Detalhes do alerta para investigar um alerta, siga as etapas descritas em Investigar um alerta.

Usar listas de referência em pesquisas de UDM

O processo de aplicação de listas de referência em regras também pode ser usado na pesquisa. Até sete listas podem ser incluídas em uma única consulta de pesquisa. Todos os tipos de listas de referência (string, expressão regular, CIDR) são compatíveis.

É possível criar listas de qualquer variável que você queira rastrear. Por exemplo, é possível criar uma lista de endereços IP suspeitos:

// Field value exists in reference list
principal.ip IN %suspicious_ips

E é possível usar várias listas usando AND ou OR:

// multiple lists can be used with AND or OR
principal.ip IN %suspicious_ips AND
principal.hostname IN %suspicious_hostnames

Refinar os resultados da pesquisa

Você pode usar a interface do usuário de pesquisa do UDM para filtrar e refinar resultados como uma alternativa à modificação da pesquisa do UDM e nova execução da pesquisa.

Gráfico de linhas do tempo

O gráfico de linhas do tempo é uma representação gráfica do número de eventos e alertas que ocorrem diariamente e são exibidos pela pesquisa atual do UDM. Eventos e alertas são exibidos no mesmo gráfico de linha do tempo, disponível nas guias Eventos e Alertas.

A largura de cada barra depende do intervalo de tempo pesquisado. Por exemplo, cada barra representará 10 minutos quando a pesquisa abranger 24 horas de dados. Este gráfico é atualizado dinamicamente conforme você modifica a pesquisa atual do UDM.

Gráfico de cronogramas de eventos

Figura 8. gráfico de linha do tempo de eventos

Ajuste de período

Para ajustar o intervalo de tempo do gráfico, mova o controle deslizante branco para a esquerda e para a direita a fim de ajustar o período e focar no período de interesse. À medida que você ajusta o período, as tabelas "Campos e valores" e "Eventos" do UDM são atualizadas para refletir a seleção atual. Também é possível clicar em uma única barra no gráfico para listar apenas os eventos desse período.

Depois de ajustar o período, as caixas de seleção Eventos filtrados e Eventos de consulta serão exibidas. Com isso, você pode limitar ainda mais os tipos de eventos exibidos.

Gráfico de cronogramas de eventos com controles de período

Figura 9. Gráfico de cronogramas de eventos com controles de período

Modificar a pesquisa do UDM com filtros rápidos

Com os filtros rápidos, é possível restringir ainda mais sua pesquisa no UDM. É possível rolar pela lista de campos de UDM ou pesquisar campos ou valores específicos usando o campo de pesquisa. Os campos de UDM listados aqui estão associados às listas de eventos gerados pela sua pesquisa de UDM. Cada campo de UDM inclui o número de eventos na sua pesquisa atual de UDM que também incluem esses dados. A lista de campos de UDM exibe o número total exclusivo de valores em um campo. Esse recurso permite buscar tipos específicos de dados de registro que podem ser interessantes para você.

Os campos de UDM são listados na seguinte ordem:

  1. Os campos com as maiores contagens de eventos para as menores contagens de eventos.
  2. Campos com apenas um valor são sempre o último.
  3. Os campos com o mesmo total de contagem de eventos são ordenados em ordem alfabética de A a Z.

Filtros rápidos

Figura 10. filtros rápidos

Modificar um Filtro rápido

Se você selecionar um valor de campo de UDM na lista "Filtros rápidos" e clicar no ícone de menu, terá a opção de Mostrar somente eventos que também incluem esse valor de campo de UDM ou de Filtrar esse valor de campo de UDM. Se o campo de UDM armazenar valores inteiros (por exemplo, target.port), você também verá opções para filtrar por <,>,<=,>=. As opções de filtro vão reduzir a lista de eventos mostrados.

Você também pode fixar campos (usando o ícone de alfinete) no Filtro rápido para salvá-los como favoritos. Eles vão aparecer no topo da lista "Filtros rápidos".

Somente programa

Figura 11. Exemplo: selecione "Mostrar apenas"

Esses filtros de UDM adicionais também são adicionados ao campo de eventos de filtro acima. O campo "Filtrar eventos" ajuda você a acompanhar os campos extras de UDM que você adicionou à pesquisa de UDM. Também é possível remover rapidamente esses outros campos de UDM conforme necessário.

Filtrar eventos

Figura 12. filtrar eventos

Se você clicar no ícone do menu "Filtrar eventos" ou em Adicionar filtro à esquerda, será aberta uma janela para selecionar outros campos de UDM.

Janela "Filtrar eventos"

Figura 13. janela "Filtrar eventos"

Quando você clica em APLICAR para pesquisar e executar, os campos de UDM são adicionados ao campo "Filtrar eventos" (veja a Figura 8), e os eventos exibidos são filtrados com base nesses filtros adicionais. Também é possível clicar em Aplicar à pesquisa e executar para adicioná-las ao campo principal de pesquisa do UDM na parte superior da página. A pesquisa é executada novamente de forma automática usando os mesmos parâmetros de data e hora. O Google recomenda restringir ao máximo sua pesquisa antes de clicar em APLICAR à Pesquisa e execução. Isso ajuda a melhorar a precisão e reduz os tempos de pesquisa.

Conferir eventos na tabela "Eventos"

Todos esses filtros e controles vão atualizar a lista de eventos exibida na tabela "Eventos". Clique em qualquer um dos eventos listados para abrir o Visualizador de registros, onde é possível examinar o registro bruto e o registro UDM desse evento. Ao clicar no carimbo de data/hora de um evento, você também pode acessar a vista "Recurso", "Endereço IP", "Domínio", "Hash" ou "Usuário" associada. Você também pode usar o campo Pesquisar na parte superior da tabela para encontrar um evento específico.

Tabela de eventos

Figura 14. tabela de eventos

Mostrar alertas na tabela "Alertas"

Para visualizar os alertas, clique na guia Alertas, no lado direito da guia Eventos. Use os filtros rápidos para classificar alertas por:

  • Caso
  • Nome
  • Prioridade
  • Gravidade
  • Status
  • Veredito

Assim, é possível se concentrar nos alertas mais importantes.

Os alertas são exibidos no mesmo período que os eventos na guia "Eventos". Assim fica fácil identificar a conexão entre os eventos e os alertas.

Para saber mais sobre um alerta específico, clique nele. Uma página de detalhes do alerta será aberta com informações mais detalhadas.

Ver eventos no Visualizador de eventos

Se você passar o cursor sobre um evento na tabela "Eventos", o ícone para abrir o visualizador de eventos será exibido à direita do evento destacado. Clique nele para abrir o Visualizador de eventos.

Visualizador de eventos

Figura 15. Visualizador de eventos

A janela "Registro bruto" mostra o registro bruto original em um dos seguintes formatos:

  • Dados
  • JSON
  • XML
  • CSV
  • Hex/ASCII

A janela de UDM mostra o registro estruturado. Passe o cursor sobre qualquer um dos campos de UDM, e um pop-up exibirá a definição do UDM. Ao marcar a caixa de seleção dos campos de UDM, você tem mais opções:

  • Você pode copiar o registro do UDM. Selecione um ou mais campos de UDM e, em seguida, a opção Copiar UDM no menu suspenso Ver ações. Os campos e os valores de UDM são copiados para a área de transferência do sistema.

  • Para adicionar os campos de UDM como colunas na tabela "Eventos", selecione a opção Adicionar colunas no menu suspenso Ver ações.

Cada campo de UDM é rotulado com um ícone que indica se o campo contém dados aprimorados ou não. Os rótulos dos ícones são os seguintes:

  • U: os campos não enriquecidos contêm valores preenchidos durante o processo de normalização usando dados do registro bruto original.
  • E: os campos aprimorados contêm valores preenchidos pelo Chronicle para fornecer mais contexto sobre os artefatos em um ambiente do cliente. Para mais informações, consulte Como o Chronicle enriquece dados de eventos e entidades.

    Campos de UDM aprimorados e não enriquecidos

Figura 16. Campos de UDM no Visualizador de eventos

Use a opção Colunas para ajustar quais colunas de informações são exibidas na tabela "Eventos". O menu pop-up "Colunas" é exibido. As opções disponíveis variam dependendo dos tipos de eventos retornados pela pesquisa do UDM.

É possível salvar o conjunto de colunas selecionado aqui clicando em Salvar. Dê um nome ao conjunto de colunas selecionadas e clique em Salvar novamente. Para carregar um conjunto de colunas salvas, clique em Carregar e selecione o conjunto na lista.

Você também pode fazer o download dos eventos exibidos clicando no menu de três pontos e selecionando Fazer o download como CSV. Isso fará o download de todos os resultados da pesquisa até um milhão de eventos. A interface do usuário vai indicar o número de eventos transferidos por download.

Colunas de pesquisa do UDM

Figura 17. colunas de pesquisa do UDM

Usar a tabela dinâmica para analisar eventos

Com a tabela dinâmica, é possível analisar eventos usando expressões e funções em relação aos resultados da pesquisa de UDM.

Siga estas etapas para abrir e configurar a tabela dinâmica:

  1. Faça uma pesquisa no UDM.

  2. Clique na guia Dinâmica para abrir a tabela dinâmica.

  3. Especifique um valor de Group By para agrupar os eventos por um campo de UDM específico. É possível exibir os resultados usando as letras maiúsculas padrão ou apenas letras minúsculas selecionando letras minúsculas no menu. Essa opção está disponível apenas para campos de string. É possível especificar até cinco valores Agrupar por clicando em Adicionar campo.

    Se o valor Group By for um dos campos do nome do host, você terá outras opções de transformação:

    • Domínio de nível N superior: escolha o nível de domínio a ser exibido. Por exemplo, o uso de um valor de 1 exibe apenas o domínio de nível superior (como com, gov ou edu). O uso de um valor de 3 exibe os próximos dois níveis dos nomes de domínio (como google.co.uk).
    • Get Registered Domain: mostra apenas o nome do domínio registrado (como google.com, nytimes.com e youtube.com).

    Se o valor de Group By for um dos campos de IP, você terá outras opções de transformação:

    • Comprimento do prefixo CIDR(IP) em bits: é possível especificar de 1 a 32 para endereços IPv4. Para endereços IPv6, é possível especificar valores de até 128.

    Se o valor de Group By incluir um carimbo de data/hora, você terá outras opções de transformação:

    • (Tempo) Resolução em milissegundos
    • (Tempo) Resolução em segundos
    • (Tempo) Resolução em minutos
    • (Tempo) Resolução em horas
    • (Tempo) Resolução em dias
  4. Especifique um valor para a tabela dinâmica na lista de campos dos resultados. É possível especificar até cinco valores. Depois de especificar um campo, selecione a opção Resumir. Você pode resumir pelas seguintes opções:

    • ponderada
    • count
    • contagem distinta
    • na média
    • stddev
    • mín.
    • max

    Especifique um valor de Contagem de eventos para simplesmente retornar o número de eventos identificados para essa pesquisa de UDM e essa tabela dinâmica específicas.

    As opções Resumir não são universalmente compatíveis com os campos Agrupar por. Por exemplo, as opções sum, average, stddev, min e max só podem ser aplicadas a campos numéricos. Se você tentar associar uma opção Resumir incompatível a um campo Agrupar por, vai receber uma mensagem de erro.

  5. Especifique um ou mais campos de UDM e selecione uma ou mais classificações usando a opção Ordenar por.

  6. Clique em Aplicar quando estiver tudo pronto. Os resultados são exibidos na tabela dinâmica.

  7. (Opcional) Para fazer o download da tabela dinâmica, clique em e selecione Fazer o download como CSV. Se você não selecionou uma tabela dinâmica, esta opção estará desativada.

Fazer uma pesquisa em "Pesquisas rápidas"

  1. Clique em Pesquisas rápidas para abrir a janela "Pesquisas rápidas". Essa janela mostra as pesquisas salvas e o histórico de pesquisa.

  2. Clique em qualquer uma das pesquisas para carregá-la no campo de pesquisa do UDM.

  3. Clique em Executar pesquisa quando estiver tudo pronto.

As pesquisas listadas são salvas na sua conta do Chronicle. Se você precisar modificar alguma pesquisa salva (por exemplo, renomear uma pesquisa existente), excluir pesquisas salvas ou excluir pesquisas do seu histórico, abra o Gerenciador de pesquisa clicando em Ver todas as pesquisas.

Visão geral das pesquisas salvas e do histórico de pesquisa

Use o Gerenciador de pesquisa para recuperar pesquisas salvas e ver seu histórico de pesquisa. Para isso, clique em Gerenciador de pesquisa. As pesquisas salvas e o histórico de pesquisa são armazenados na sua conta do Chronicle. As pesquisas salvas e o histórico de pesquisa só podem ser visualizados e acessados por um usuário, a menos que você use o recurso Compartilhar uma pesquisa para compartilhar a pesquisa com sua organização. Selecione uma pesquisa salva para ver mais informações, incluindo o título e a descrição.

Gerenciador de pesquisa

Figura 19. gerente de pesquisa

Para salvar uma pesquisa:

  1. Na página de pesquisa do UDM, clique em Salvar para guardar mais tarde. Isso abre o Gerenciador de pesquisa. O Google recomenda que você dê um nome significativo à pesquisa salva e uma descrição em texto simples do que você está procurando. Também é possível criar uma pesquisa de UDM no Gerenciador de pesquisa. Para isso, clique em . As ferramentas padrão de edição e conclusão do UDM também estão disponíveis aqui.

  2. (Opcional) Especifique variáveis de marcador de posição no formato $<variable name> usando o mesmo formato usado para variáveis em YARA-L. Se você adicionar uma variável a uma pesquisa de UDM, também será preciso incluir um comando para ajudar o usuário a entender quais informações ele precisa inserir antes de fazer a pesquisa. Todas as variáveis precisam ser preenchidas com valores antes da execução de uma pesquisa.

    Por exemplo, é possível adicionar metadata.vendor_name = $vendor_name à sua pesquisa de UDM. Para $vendor_name, é necessário adicionar uma solicitação para futuros usuários, como "Insira o nome do fornecedor para sua pesquisa". Cada vez que um usuário carregar esta pesquisa no futuro, ele será solicitado a inserir o nome do fornecedor antes de poder executar a pesquisa.

  3. Clique em Salvar edições quando terminar.

  4. Para acessar as pesquisas salvas, clique em Gerenciador de pesquisa e, em seguida, na guia Salvas.

Para recuperar e executar uma pesquisa salva:

  1. No Gerenciador de pesquisa, clique na guia Salvos.

  2. Selecione uma pesquisa salva na lista. Estas pesquisas são salvas na sua conta do Chronicle. Para excluir uma pesquisa, clique em e selecione Excluir pesquisa.

  3. É possível mudar o nome e a descrição da pesquisa. Clique em Salvar edições quando terminar.

  4. Clique em Load Search. A pesquisa é carregada no campo de pesquisa principal do UDM.

  5. Clique em Executar pesquisa para ver os eventos associados a esta pesquisa.

Recuperar uma pesquisa do histórico

Para recuperar e executar uma pesquisa a partir do histórico de pesquisas:

  1. No Gerenciador de pesquisa, clique em Histórico.

  2. Selecione uma pesquisa no seu histórico. Seu histórico de pesquisa é salvo na sua conta do Chronicle. Para excluir uma pesquisa, clique em

  3. Clique em Load Search. A pesquisa é carregada no campo de pesquisa principal do UDM.

  4. Clique em Executar pesquisa para ver os eventos associados a esta pesquisa.

Limpar, desativar ou ativar o histórico de pesquisa

Para limpar, desativar ou ativar o histórico de pesquisa:

  1. No Gerenciador de pesquisa, clique na guia Histórico.

  2. Clique em .

  3. Selecione Limpar histórico para limpar o histórico de pesquisa.

  4. Clique em Desativar histórico para desativar o histórico de pesquisa. Você tem as seguintes opções:

    • Apenas desativar: desative o histórico de pesquisa.

    • Desativar e limpar: desative o histórico de pesquisa e exclua o histórico de pesquisa salvo.

  5. Se você já tiver desativado o histórico de pesquisa, poderá ativá-lo novamente clicando em Ativar histórico de pesquisa.

  6. Clique em Fechar para sair do Gerenciador de pesquisa.

Compartilhar uma pesquisa

Com as pesquisas compartilhadas, você pode compartilhar pesquisas com o restante da equipe. Na guia Salvos, é possível compartilhar ou excluir pesquisas. Também é possível filtrar as buscas clicando no ícone de filtro ao lado da barra de pesquisa e ordenar as buscas por Mostrar tudo, Definido pelo Chronicle, Criado por mim ou Compartilhado.

Não é possível editar uma pesquisa compartilhada que não seja sua.

  1. Clique em Salvos.
  2. Clique na pesquisa que você quer compartilhar.
  3. Clique em , à direita da pesquisa. Uma caixa de diálogo com a opção de compartilhar sua pesquisa é exibida.
  4. Clique em Compartilhar com sua organização.
  5. Será exibido um pop-up com a mensagem de que o compartilhamento da sua pesquisa ficará visível para as pessoas na sua organização. Você quer mesmo compartilhar? Clique em Compartilhar.

Se quiser que a pesquisa seja visível apenas para você, clique em e em Parar compartilhamento. Se parar de compartilhar, só você vai poder usar esta pesquisa.

A seguir

Para informações sobre como usar dados enriquecidos com o contexto na UDM Search, consulte Usar dados enriquecidos de contexto na pesquisa do UDM.