UDM-Suche

Mit der UDM-Suchfunktion können Sie Ereignisse und Benachrichtigungen zu Unified Data Model (UDM) in Ihrer Chronicle-Instanz finden. Die UDM-Suche bietet eine Vielzahl von Suchoptionen, mit denen Sie durch Ihre UDM-Daten navigieren können. Sie können sowohl nach einzelnen UDM-Ereignissen als auch nach Gruppen von UDM-Ereignissen suchen, die mit freigegebenen Suchbegriffen verknüpft sind.

Kunden von Chronicle Security Operations können Benachrichtigungen auch aus connectors und Webhooks aufnehmen. Sie können diese Benachrichtigungen auch mit der UDM-Suche finden.

Weitere Informationen zu UDM finden Sie unter Logdaten als UDM formatieren und Feldliste für Unified Data Model.

Auf UDM-Suche zugreifen

Klicken Sie in der Navigationsleiste auf Suchen, um auf die Chronicle UDM Search zuzugreifen. Sie können auch auf die UDM-Suche zugreifen, indem Sie in einem beliebigen Suchfeld in Chronicle ein gültiges UDM-Feld eingeben und Strg + Eingabetaste drücken.

Eine Liste aller gültigen UDM-Felder finden Sie in der Liste der Felder des einheitlichen Datenmodells.

Abbildung 1. UDM-Suche

Abbildung 2. UDM-Suchfenster, das mit Strg + Eingabetaste geöffnet wird

UDM-Suche eingeben

Führen Sie die folgenden Schritte aus, um eine UDM-Suche in das Feld UDM-Suche einzugeben. Wenn Sie mit der Eingabe einer UDM-Suche fertig sind, klicken Sie auf Suche ausführen. In der Chronicle-Benutzeroberfläche können Sie nur einen gültigen UDM-Suchausdruck eingeben. Sie können auch den Zeitraum anpassen, in dem gesucht werden soll, indem Sie das entsprechende Fenster öffnen.

Wenn Ihre Suche zu breit gefasst ist, gibt Chronicle eine Warnmeldung aus, dass nicht alle Suchergebnisse angezeigt werden können. Reduzieren Sie den Umfang der Suche und führen Sie sie noch einmal aus. Wenn eine Suche zu breit gefasst ist, gibt Chronicle die neuesten Ergebnisse bis zum Suchlimit (1 Million Ereignisse und 1.000 Benachrichtigungen) zurück. Möglicherweise gibt es deutlich mehr Ereignisse und Benachrichtigungen, die übereinstimmen, aber derzeit nicht angezeigt werden. Beachten Sie dies bei der Analyse der Ergebnisse. Google empfiehlt, zusätzliche Filter anzuwenden und die ursprüngliche Suche auszuführen, bis das Limit unterschritten wird. Wenden Sie stattdessen zusätzliche Filter an und führen Sie die ursprüngliche Suche noch einmal aus, bis das Limit nicht mehr erreicht ist.

Abbildung 3. Suche ausführen

UDM-Abfragen basieren auf UDM-Feldern, die alle in der Feldliste des einheitlichen Datenmodells aufgeführt sind. Mithilfe von Filtern oder der Rohdatenprotokollsuche können Sie UDM-Felder auch im Kontext von Suchanfragen ansehen.

1. Wenn Sie nach Ereignissen suchen möchten, geben Sie den Namen eines UDM-Felds in das Suchfeld ein. Die Benutzeroberfläche wird automatisch ausgefüllt und zeigt gültige UDM-Felder an, die auf Ihren Eingaben basieren.

2. Wählen Sie nach Eingabe eines gültigen UDM-Feldes einen gültigen Operator aus. Auf der Benutzeroberfläche werden die verfügbaren gültigen Operatoren basierend auf dem eingegebenen UDM-Feld angezeigt. Folgende Operatoren werden unterstützt:

   • <, >
   • <=, >=
   • =, !=
   • nocase: wird für Strings unterstützt

3. Nachdem Sie ein gültiges UDM-Feld und einen gültigen Operator eingegeben haben, geben Sie die entsprechenden Protokolldaten ein, nach denen Sie suchen. Die folgenden Datentypen werden unterstützt:

   • Enumerationswerte:In der Benutzeroberfläche wird eine Liste gültiger Enum-Werte für ein bestimmtes UDM-Feld angezeigt.

     Beispiel (verwenden Sie doppelte Anführungszeichen und Großbuchstaben): metadata.event_type = "NETWORK_CONNECTION"

   • Zusätzliche Werte: Mit „field[key] = value“ können Sie zusätzliche Felder und Labels für Ereignisse durchsuchen.

     Beispiel: additional.fields["key"]="value"

   • Boolesche Werte:Sie können true oder false verwenden. Die Groß-/Kleinschreibung wird bei allen Zeichen nicht berücksichtigt. Das Keyword darf nicht in Anführungszeichen gesetzt werden.

     Beispiel: network.dns.response = true

   • Ganzzahlen

     Beispiel: target.port = 443

   • Gleitkommazahlen:Geben Sie für UDM-Felder vom Typ float einen Gleitkommawert wie 3.1 ein. Sie können auch eine Ganzzahl eingeben, z. B. 3. Dies entspricht der Eingabe von 3.0.

     Beispiel: security_result.about.asset.vulnerabilities.cvss_base_score = 3.1 oder security_result.about.asset.vulnerabilities.cvss_base_score = 3

   • Reguläre Ausdrücke: (regulärer Ausdruck muss in einem Schrägstrich (/) enthalten sein)

     Beispiel: principal.ip = /10.*/

     Weitere Informationen zu regulären Ausdrücken

   • Strings

     Beispiel (doppelte Anführungszeichen erforderlich): metadata.product_name = "Google Cloud VPC Flow Logs"

4. Mit dem Operator nocase können Sie nach einer beliebigen Kombination aus Versionen mit Groß- und Kleinbuchstaben eines bestimmten Strings suchen:

   • principal.hostname != "http-server" nocase
   • principal.hostname = "JDoe" nocase
   • principal.hostname = /dns-server-[0-9]+/ nocase

5. Umgekehrte Schrägstriche und doppelte Anführungszeichen in Strings müssen mit einem umgekehrten Schrägstrich maskiert werden. Beispiel:

   • principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
   • target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""

6. Sie können boolesche Ausdrücke verwenden, um den möglichen Datenbereich weiter einzugrenzen. Die folgenden Beispiele veranschaulichen einige Arten unterstützter boolescher Ausdrücke (die booleschen Operatoren AND, OR und NOT können verwendet werden):

   • A AND B
   • A OR B
   • (A OR B) AND (B OR C) AND (C OR NOT D)

   Die folgenden Beispiele veranschaulichen, wie die eigentliche Syntax aussehen könnte:

   Anmeldeereignisse auf dem Finanzserver:

   metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"

   Beispiel für die Verwendung eines regulären Ausdrucks für die Suche nach der Ausführung des Tools „psexec.exe“ unter Windows

   target.process.command_line = /\bpsexec(.exe)?\b/ nocase

   Beispiel für die Verwendung des „Mehr als“-Operators (>), um nach Verbindungen zu suchen, bei denen mehr als 10 MB Daten gesendet wurden.

   metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000

   Beispiel mit mehreren Bedingungen für die Suche nach Winword, das cmd.exe oder PowerShell.exe startet

       metadata.event_type = "PROCESS_LAUNCH" and
       principal.process.file.full_path = /winword/ and
       (target.process.file.full_path = /cmd.exe/ or
       target.process.file.full_path = /powershell.exe/)

7. Sie können die UDM-Suche auch verwenden, um in den Feldern „Zusätzliche“ und „Label“ nach bestimmten Schlüssel/Wert-Paaren zu suchen.

   Die Felder „Zusätzliche“ und „Label“ werden als anpassbares Catchall-Element für Ereignisdaten verwendet, die in kein UDM-Standardfeld passen. Zusätzliche Felder können mehrere Schlüssel/Wert-Paare enthalten. Labelfelder dürfen nur ein einziges Schlüssel/Wert-Paar enthalten. Allerdings enthält jede Instanz des Felds nur einen einzigen Schlüssel und einen einzelnen Wert. Der Schlüssel muss zwischen die Klammern und der Wert auf der rechten Seite stehen.

   Die folgenden Beispiele zeigen, wie nach Ereignissen gesucht wird, die bestimmte Schlüssel/Wert-Paare enthalten:

       additional.fields["pod_name"] = "kube-scheduler"
       metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"

   Das folgende Beispiel zeigt, wie der Operator AND bei der Suche nach Schlüssel/Wert-Paaren verwendet wird:

       additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"

   Mit der folgenden Syntax können Sie nach allen Ereignissen suchen, die den angegebenen Schlüssel enthalten (unabhängig vom Wert).

       additional.fields["pod_name"] != ""

   Sie können auch reguläre Ausdrücke und den Operator nocase verwenden:

       additional.fields["pod_name"] = /br/
       additional.fields["pod_name"] = bar nocase

8. Du kannst auch Block- und einzeilige Kommentare verwenden.

   Das folgende Beispiel zeigt, wie ein Kommentar blockiert wird:

       additional.fields["pod_name"] = "kube-scheduler"
       /*
       Block comments can span
       multiple lines.
       */
       AND additional.fields["pod_name1"] = "kube-scheduler1"

   Das folgende Beispiel zeigt, wie ein einzeiliger Kommentar verwendet wird:

       additional.fields["pod_name"] != "" // my single-line comment

9. Klicken Sie auf Suche ausführen, um die UDM-Suche auszuführen und die Ergebnisse anzuzeigen.

10. Ereignisse werden auf der Seite UDM-Suche in der Zeitachse des Ereignisses angezeigt. Sie können die Ergebnisse weiter eingrenzen, indem Sie manuell oder über die Benutzeroberfläche zusätzliche UDM-Felder hinzufügen.

Gruppierte Felder suchen

Gruppierte Felder sind Aliase für Gruppen zusammengehöriger UDM-Felder. Damit können Sie mehrere UDM-Felder gleichzeitig abfragen, ohne jedes Feld einzeln eingeben zu müssen.

Das folgende Beispiel zeigt, wie Sie eine Abfrage eingeben, um die allgemeinen UDM-Felder abzugleichen, die die angegebene IP-Adresse enthalten könnten:

    ip = "1.2.3.4"

Sie können einen regulären Ausdruck und den Operator nocase verwenden, um ein gruppiertes Feld abzugleichen. Referenzlisten werden ebenfalls unterstützt. Gruppierte Felder können auch in Kombination mit regulären UDM-Feldern verwendet werden, wie im folgenden Beispiel gezeigt:

    ip = "5.6.7.8" AND metadata.event_type = "NETWORK_CONNECTION"

Gruppierte Felder haben in Schnellfilter einen separaten Abschnitt.

Arten von gruppierten UDM-Feldern

Sie können in allen folgenden gruppierten UDM-Feldern suchen:

Name des gruppierten Felds	Verknüpfte UDM-Felder
Domain	about.administrative_domain about.asset.network_domain network.dns.questions.name network.dns_domain principal.administrative_domain principal.asset.network_domain target.administrative_domain target.asset.hostname target.asset.network_domain target.hostname
E‑Mail	intermediary.user.email_addresses network.email.from network.email.to principal.user.email_addresses security_result.about.user.email_addresses target.user.email_addresses
file_path	principal.file.full_path principal.process.file.full_path principal.process.parent_process.file.full_path target.file.full_path target.process.file.full_path target.process.parent_process.file.full_path
Hash	about.file.md5 about.file.sha1 about.file.sha256 principal.process.file.md5 principal.process.file.sha1 principal.process.file.sha256 security_result.about.file.sha256 target.file process.
Hostname	intermediary.hostname observer.hostname principal.asset.hostname principal.hostname src.asset.hostname src.hostname target.asset.hostname target.hostname
ip	intermediary.ip observer.ip principal.Artifact.ip principal.asset.ip principal.ip src.Artifact.ip src.asset.ip src.ip target.Artifact.ip target.asset.ip target.ip
Namespace	principal.namespace src.namespace target.namespace
process_id	principal.process.parent_process.pid principal.process.parent_process.product_specific_process_id principal.process.pid principal.process.product_specific_process_id target.process.parent_process.pid target.process.target_process.product_specific_process.
Nutzer	about.user.userid observer.user.userid principal.user.user_display_name principal.user.userid principal.user.windows_sid src.user.userid target.user.user_display_name target.user.userid .user.windows_sid

UDM-Feld für die Suchanfrage finden

Beim Schreiben einer UDM-Suchabfrage wissen Sie möglicherweise nicht, welches UDM-Feld Sie einschließen sollen. Mit UDM Lookup können Sie schnell einen UDM-Feldnamen finden, der eine Textzeichenfolge im Namen enthält oder einen bestimmten Stringwert speichert. Es ist nicht für die Suche nach anderen Datentypen wie Bytes, booleschen oder numerischen Datentypen gedacht. Sie wählen ein oder mehrere von UDM Lookup zurückgegebene Ergebnisse als Ausgangspunkt für eine UDM-Suchabfrage aus.

So verwenden Sie UDM Lookup:

1. Geben Sie auf der Seite UDM-Suche einen Textstring in das Feld UDM-Felder nach Wert suchen ein und klicken Sie dann auf UDM-Suche.

2. Wählen Sie im Dialogfeld UDM-Suche eine oder mehrere der folgenden Optionen aus, um den Bereich der zu durchsuchenden Daten anzugeben:

   • UDM-Felder: Suche nach Text in UDM-Feldnamen, z. B. network.dns.questions.name oder principal.ip.
   • Werte: Suche nach Text in den Werten, die UDM-Feldern zugewiesen sind, z. B. dns oder google.com.

3. Geben Sie den String in das Suchfeld ein oder ändern Sie ihn. Während der Eingabe werden Suchergebnisse im Dialogfeld angezeigt.

   Die Ergebnisse unterscheiden sich geringfügig bei der Suche in UDM-Feldern im Vergleich zu Werten. Wenn Sie in Werte nach Text suchen, erhalten Sie folgende Ergebnisse:

   • Wenn sich der String am Anfang oder Ende des Werts befindet, wird er im Ergebnis zusammen mit dem Namen des UDM-Felds und der Uhrzeit der Aufnahme des Logs hervorgehoben.
   • Wenn der Textstring an anderer Stelle im Wert gefunden wird, werden im Ergebnis der Name des UDM-Felds und der Text Mögliche Werteübereinstimmung angezeigt.

   

   In UDM Lookup innerhalb von Werten suchen

   • Bei der Suche nach einem Textstring in UDM-Feldnamen gibt UDM Lookup eine genaue Übereinstimmung an einer beliebigen Stelle im Namen zurück.

   

   In UDM-Feldern in UDM Lookup suchen

4. In der Ergebnisliste haben Sie folgende Möglichkeiten:

   • Klicken Sie auf den Namen eines UDM-Felds, um eine Beschreibung dieses Felds aufzurufen.

   • Wählen Sie ein oder mehrere Ergebnisse aus, indem Sie das Kästchen links neben dem Namen jedes UDM-Felds anklicken.

   • Klicken Sie auf die Schaltfläche Zurücksetzen, um die Auswahl aller ausgewählten Felder in der Ergebnisliste aufzuheben.

5. Klicken Sie auf die Schaltfläche An die Suche anfügen, um die ausgewählten Ergebnisse an das Feld UDM-Suche anzufügen.

   Sie können das ausgewählte Ergebnis auch mit der Schaltfläche Copy UDM (UDM kopieren) kopieren, das Dialogfeld UDM Lookup schließen und dann den Suchanfragestring in das Feld UDM Search einfügen.

   Chronicle wandelt das ausgewählte Ergebnis in einen UDM-Suchabfragestring als UDM-Feldname oder als Name/Wert-Paar um. Wenn Sie mehrere Ergebnisse anhängen, wird jedes Ergebnis im UDM-Suchfeld am Ende einer vorhandenen Abfrage mit dem Operator OR hinzugefügt.

   Der angehängte Abfragestring unterscheidet sich je nach Art der Übereinstimmung, die von UM Lookup zurückgegeben wird.

   • Wenn das Ergebnis mit einem Textstring in einem UDM-Feldnamen übereinstimmt, wird der vollständige UDM-Feldname an die Abfrage angehängt. Hier ein Beispiel:

     principal.artifact.network.dhcp.client_hostname

   • Wenn das Ergebnis mit einem Textstring am Anfang oder Ende eines Werts übereinstimmt, enthält das Name/Wert-Paar den UDM-Feldnamen und den vollständigen Wert im Ergebnis. Beispiele:

     metadata.log_type = "PCAP_DNS"

     network.dns.answers.name = "dns-A901F3j.hat.example.com"

   • Wenn das Ergebnis den Text Mögliche Werteübereinstimmung enthält, enthält das Name/Wert-Paar den Namen des UDM-Felds und einen regulären Ausdruck, der den Suchbegriff enthält. Hier ein Beispiel:

     principal.process.file.full_path = /google/ NOCASE

6. Bearbeiten Sie die UDM-Suchabfrage entsprechend Ihrem Anwendungsfall. Der von UDM Lookup generierte Abfragestring ist ein Ausgangspunkt für das Schreiben einer vollständigen UDM-Suchabfrage.

Zusammenfassung des UDM-Lookup-Verhaltens

Dieser Abschnitt enthält weitere Informationen zu den UDM-Lookup-Funktionen.

• UDM Lookup-Suchanfragendaten, die nach dem 10. August 2023 aufgenommen wurden. Daten, die vor diesem Datum aufgenommen wurden, werden nicht durchsucht. Sie gibt Ergebnisse in nicht angereicherten UDM-Feldern zurück. Es werden keine Übereinstimmungen mit angereicherten Feldern zurückgegeben. Weitere Informationen zu angereicherten und nicht angereicherten Feldern finden Sie unter Ereignisse in der Ereignisanzeige aufrufen.
• Bei Suchvorgängen mit UDM Lookup wird die Groß-/Kleinschreibung nicht berücksichtigt. Der Begriff hostname gibt dasselbe Ergebnis zurück wie HostName.
• Bindestriche (-) und Unterstriche (_) in einem Abfragetextstring werden bei der Suche nach Werten ignoriert. Der Textstring dns-l und dnsl geben beide den Wert dns-l zurück.

• Bei der Suche nach Werten gibt die UDM-Suche in den folgenden Fällen keine Übereinstimmungen zurück:

  Übereinstimmungen in den folgenden UDM-Feldern:	metadata.product_log_id network.session_id security_result.rule_id network.parent_session_id
  Übereinstimmungen in UDM-Feldern mit einem vollständigen Pfadnamen, der mit einem der folgenden Werte endet:	.pid Beispiel: target.process.pid. .asset_id Beispiel: principal.asset_id. .product_specific_process_id Beispiel: principal.process.product_specific_process_id. .resource.id Beispiel: principal.resource.id.

• Bei der Suche nach Werten zeigt UDM Lookup die Meldung Mögliche Wertübereinstimmung im Ergebnis an, wenn in den folgenden Fällen eine Übereinstimmung gefunden wird:

  Übereinstimmungen in den folgenden UDM-Feldern:	metadata.description security_result.description security_result.detection_fields.value security_result.summary network.http.user_agent
  Stimmt in Feldern mit einem vollständigen Pfadnamen überein, der mit einem der folgenden Werte endet:	.command_line Beispiel: principal.process.command_line. .file.full_path Beispiel: principal.process.file.full_path. .labels.value Beispiel: src.labels.value. .registry.registry_key Beispiel: principal.registry.registry_key. .url Beispiel: principal.url.
  Stimmt in Feldern mit einem vollständigen Pfadnamen überein, der mit den folgenden Werten beginnt:	additional.fields.value. Beispiel: additional.fields.value.null_value.

Benachrichtigungen in UDM Search ansehen

Klicken Sie dazu rechts oben auf der Seite UDM-Suche rechts neben dem Tab Ereignisse auf den Tab Benachrichtigungen.

Wie Warnungen angezeigt werden

Chronicle wertet die bei der UDM-Suche zurückgegebenen Ereignisse mit Ereignissen aus, die für Benachrichtigungen in der Kundenumgebung vorliegen. Wenn ein Suchanfrageereignis mit einem Ereignis in einer Benachrichtigung übereinstimmt, wird es in der Zeitachse der Benachrichtigung und in der daraus resultierenden Benachrichtigungstabelle angezeigt.

Definition von Ereignissen und Warnungen

Ein Ereignis wird aus einer Log-Rohquelle generiert, die in Chronicle aufgenommen und durch den Aufnahme- und Normalisierungsprozess von Chronicle verarbeitet wird. Aus einem einzelnen Rohlogquelleintrag können mehrere Ereignisse generiert werden. Ein Ereignis steht für eine Reihe von sicherheitsrelevanten Datenpunkten, die aus diesem Rohprotokoll generiert werden.

In einer UDM-Suche ist eine Benachrichtigung als YARA-L-Regelerkennung mit aktivierten Benachrichtigungen definiert. Weitere Informationen finden Sie unter Regel für Live-Daten ausführen.

Andere Datenquellen können in Chronicle aufgenommen werden, z. B. Warnungen von Crowdstrike Falcon Alerts. Diese Benachrichtigungen werden nur dann in der UDM-Suche angezeigt, wenn sie von der Chronicle Detection Engine als YARA-L-Regel verarbeitet werden.

Abbildung 4. Zeitachse für Benachrichtigungen

Ereignisse, die mit einer oder mehreren Benachrichtigungen verknüpft sind, sind in der Ereigniszeitachse mit einem Benachrichtigungs-Chip gekennzeichnet. Wenn der Zeitachse mehrere Benachrichtigungen zugeordnet sind, zeigt der Chip die Anzahl der zugehörigen Benachrichtigungen an.

Auf der Zeitachse werden die letzten 1.000 Benachrichtigungen angezeigt,die aus den Suchergebnissen abgerufen wurden. Wenn das Limit von 1.000 erreicht ist, werden keine weiteren Benachrichtigungen abgerufen. Damit Sie alle für Ihre Suche relevanten Ergebnisse sehen, können Sie Ihre Suche mithilfe von Filtern eingrenzen.

So prüfen Sie eine Benachrichtigung

Weitere Informationen dazu, wie Sie eine Benachrichtigung mithilfe des Benachrichtigungsdiagramms und der Benachrichtigungsdetails untersuchen, finden Sie unter Benachrichtigungen prüfen.

Referenzlisten in UDM-Suchanfragen verwenden

Das Verfahren zum Anwenden von Referenzlisten in Regeln kann auch für die Suche verwendet werden. Eine Suchanfrage kann bis zu sieben Listen enthalten. Alle Arten von Referenzlisten (String, regulärer Ausdruck, CIDR) werden unterstützt.

Sie können Listen mit allen Variablen erstellen, die Sie erfassen möchten. Sie können beispielsweise eine Liste verdächtiger IP-Adressen erstellen:

// Field value exists in reference list
principal.ip IN %suspicious_ips

Außerdem können Sie mit AND oder OR mehrere Listen verwenden:

// multiple lists can be used with AND or OR
principal.ip IN %suspicious_ips AND
principal.hostname IN %suspicious_hostnames

Suchergebnisse verfeinern

Als Alternative zum Ändern der UDM-Suche und zum erneuten Ausführen der Suche können Sie die Benutzeroberfläche der UDM-Suche zum Filtern und Verfeinern der Ergebnisse verwenden.

Zeitachsendiagramm

Das Zeitachsendiagramm bietet eine grafische Darstellung der Anzahl der Ereignisse und Warnungen, die jeden Tag auftreten und von der aktuellen UDM-Suche angezeigt werden. Ereignisse und Benachrichtigungen werden im selben Zeitachsendiagramm angezeigt, das sowohl auf dem Tab Ereignisse als auch auf dem Tab Benachrichtigungen verfügbar ist.

Die Breite der einzelnen Balken hängt vom durchsuchten Zeitintervall ab. Beispielsweise steht jeder Balken für 10 Minuten, wenn die Suche Daten aus 24 Stunden umfasst. Dieses Diagramm wird dynamisch aktualisiert, wenn Sie die vorhandene UDM-Suche ändern.

Abbildung 8: Zeitachse für Ereignisse

Anpassung des Zeitraums

Sie können den Zeitraum für das Diagramm anpassen, indem Sie die weißen Schieberegler nach links und rechts bewegen, um den Zeitraum anzupassen und den Fokus auf den gewünschten Zeitraum zu legen. Wenn Sie den Zeitraum anpassen, werden die Tabellen mit Feldern, Werten und Ereignissen der UDM entsprechend der aktuellen Auswahl aktualisiert. Sie können auch auf einen einzelnen Balken in der Grafik klicken, um nur die Ereignisse aus diesem Zeitraum aufzulisten.

Nachdem Sie den Zeitraum angepasst haben, werden die Kästchen Gefilterte Ereignisse und Abfrageereignisse angezeigt, mit denen Sie die Ereignistypen weiter einschränken können.

Abbildung 9: Ereigniszeitachsendiagramm mit Zeitraumsteuerung

UDM-Suche mit Schnellfiltern modifizieren

Mit Schnellfiltern können Sie Ihre UDM-Suche weiter eingrenzen. Sie können entweder durch die Liste der UDM-Felder scrollen oder mit dem Suchfeld nach bestimmten UDM-Feldern oder Werten suchen. Die hier aufgeführten UDM-Felder sind mit den vorhandenen Ereignislisten verknüpft, die von Ihrer UDM-Suche generiert wurden. Jedes UDM-Feld enthält die Anzahl der Ereignisse in Ihrer aktuellen UDM-Suche, die diese Daten ebenfalls enthalten. In der Liste der UDM-Felder wird die Gesamtzahl der eindeutigen Werte in einem Feld angezeigt. Mit dieser Funktion können Sie nach bestimmten Arten von Protokolldaten suchen, die für Sie von weiterem Interesse sein könnten.

Die UDM-Felder sind in der folgenden Reihenfolge aufgeführt:

1. Felder mit der höchsten und der niedrigsten Ereignisanzahl
2. Felder mit nur einem Wert werden immer zuletzt verwendet.
3. Felder mit genau derselben Ereignisanzahl sind alphabetisch von A bis Z sortiert.

Abbildung 10. Schnellfilter

Schnellfilter ändern

Wenn Sie in der Schnellfilterliste einen UDM-Feldwert auswählen und auf das Menüsymbol klicken, haben Sie die Möglichkeit, entweder Nur Ereignisse anzeigen, die ebenfalls diesen UDM-Feldwert enthalten, oder diesen UDM-Feldwert herauszufiltern. Wenn im UDM-Feld Ganzzahlwerte gespeichert sind (Beispiel: target.port), werden auch Optionen zum Filtern nach <,>,<=,>= angezeigt. Mithilfe von Filteroptionen wird die Liste der angezeigten Ereignisse gekürzt.

Sie können Felder auch mithilfe des Pin-Symbols in der Schnellfilter-Funktion anpinnen, um sie als Favoriten zu speichern. Sie werden oben in der Schnellfilterliste angezeigt.

Abbildung 11. Beispiel: „Nur anzeigen“ auswählen

Diese zusätzlichen UDM-Filter werden auch zum Feld für Filterereignisse oben hinzugefügt. Mit dem Feld „Filterereignisse“ können Sie den Überblick über die zusätzlichen UDM-Felder behalten, die Sie der UDM-Suche hinzugefügt haben. Sie können diese zusätzlichen UDM-Felder bei Bedarf auch schnell entfernen.

Abbildung 12. Ereignisse filtern

Wenn Sie links auf das Menüsymbol „Ereignisse filtern“ oder auf Filter hinzufügen klicken, wird ein Fenster geöffnet, in dem Sie weitere UDM-Felder auswählen können.

Abbildung 13. Fenster „Ereignisse filtern“

Wenn Sie auf ANWENDEN klicken, werden die UDM-Felder zum Feld „Ereignisse filtern“ hinzugefügt (siehe Abbildung 8). Die angezeigten Ereignisse werden dann anhand dieser zusätzlichen Filter gefiltert. Sie können auch auf Auf Suchen und Ausführen anwenden klicken, um sie zum UDM-Hauptfeld oben auf der Seite hinzuzufügen. Die Suche wird automatisch noch einmal mit denselben Datums- und Uhrzeitparametern durchgeführt. Google empfiehlt, Ihre Suche so weit wie möglich einzugrenzen, bevor Sie auf Auf die Schaltfläche „Suchanfragen“ anwenden klicken. Das verbessert die Genauigkeit und verkürzt die Suchdauer.

Ereignisse in der Tabelle „Ereignisse“ ansehen

Durch all diese Filter und Steuerelemente wird die Liste der Ereignisse in der Ereignistabelle aktualisiert. Klicken Sie auf eines der aufgeführten Ereignisse, um die Loganzeige zu öffnen. Dort können Sie das Rohdatenlog und den UDM-Eintrag für dieses Ereignis prüfen. Wenn Sie auf den Zeitstempel eines Ereignisses klicken, können Sie auch zur zugehörigen Ansicht „Asset“, „IP-Adresse“, „Domain“, „Hash“ oder „Nutzer“ gehen. Sie können auch das Suchfeld oben in der Tabelle verwenden, um nach einem bestimmten Ereignis zu suchen.

Abbildung 14. Ereignistabelle

Benachrichtigungen in der Benachrichtigungstabelle ansehen

Sie können Benachrichtigungen aufrufen, indem Sie rechts neben dem Tab Ereignisse auf den Tab Benachrichtigungen klicken. Mithilfe von Schnellfiltern können Sie Benachrichtigungen nach folgenden Kriterien sortieren:

• Fall
• Name
• Priorität
• Schweregrad
• Status
• Urteil

So können Sie sich auf die wichtigsten Benachrichtigungen konzentrieren.

Benachrichtigungen werden im selben Zeitraum angezeigt wie die Ereignisse auf dem Tab „Ereignisse“. So lässt sich der Zusammenhang zwischen Ereignissen und Warnungen einfach erkennen.

Wenn Sie mehr über eine bestimmte Benachrichtigung erfahren möchten, klicken Sie einfach darauf. Daraufhin wird die Seite mit den Details der Benachrichtigung geöffnet.

Ereignisse in der Ereignisanzeige ansehen

Wenn Sie den Mauszeiger auf ein Ereignis in der Tabelle „Ereignisse“ bewegen, wird rechts neben dem markierten Ereignis das Symbol für die Ereignisanzeige geöffnet. Klicken Sie darauf, um die Ereignisanzeige zu öffnen.

Abbildung 15. Ereignisanzeige

Im Fenster „Roh Log“ (Rohprotokoll) wird das ursprüngliche Rohprotokoll in einem der folgenden Formate angezeigt:

• Rohdaten
• JSON
• XML
• CSV
• Hex/ASCII

Im UDM-Fenster wird der strukturierte UDM-Eintrag angezeigt. Wenn Sie den Mauszeiger auf eines der UDM-Felder bewegen, wird ein Pop-up-Fenster mit der UDM-Definition angezeigt. Wenn Sie das Kästchen für die UDM-Felder anklicken, erhalten Sie zusätzliche Optionen:

• Sie können den UDM-Eintrag kopieren. Wählen Sie ein oder mehrere UDM-Felder und dann im Drop-down-Menü Ansichtsaktionen die Option UDM kopieren aus. Die UDM-Felder und UDM-Werte werden in die Systemzwischenablage kopiert.

• Sie können die UDM-Felder als Spalten in die Ereignistabelle einfügen, indem Sie im Drop-down-Menü Ansichtsaktionen die Option Spalten hinzufügen auswählen.

Jedes UDM-Feld ist mit einem Symbol beschriftet, das angibt, ob das Feld angereicherte oder nicht angereicherte Daten enthält. Die Symbolbeschriftungen sind:

• U: Nicht angereicherte Felder enthalten Werte, die während des Normalisierungsprozesses anhand von Daten aus dem ursprünglichen Rohlog eingefügt werden.

• E: Angereicherte Felder enthalten Werte, die von Chronicle ausgefüllt werden, um zusätzlichen Kontext zu Artefakten in einer Kundenumgebung bereitzustellen. Weitere Informationen finden Sie unter So reichert Chronicle Ereignis- und Entitätsdaten an.

  

Abbildung 16. UDM-Felder in der Ereignisanzeige

Die Option „Spalten“ für die UDM-Suche verwenden

Mit der Option Spalten können Sie anpassen, welche Informationsspalten in der Ereignistabelle angezeigt werden. Das Popup-Menü „Spalten“ wird angezeigt. Die verfügbaren Optionen variieren je nach den von der UDM-Suche zurückgegebenen Ereignistypen.

Optional können Sie den ausgewählten Spaltensatz hier speichern, indem Sie auf Speichern klicken. Geben Sie einen Namen für die ausgewählten Spalten ein und klicken Sie noch einmal auf Speichern. Wenn Sie mehrere gespeicherte Spalten laden möchten, klicken Sie auf Laden und wählen Sie die gewünschten Spalten aus der Liste aus.

Sie können auch die angezeigten Ereignisse herunterladen, indem Sie auf das Dreipunkt-Menü klicken und Als CSV-Datei herunterladen auswählen. Dadurch werden alle Suchergebnisse mit bis zu einer Million Ereignissen heruntergeladen. In der Benutzeroberfläche wird die Anzahl der Ereignisse angezeigt, die heruntergeladen werden.

Abbildung 17. UDM-Suchspalten

Ereignisse mithilfe der Pivot-Tabelle analysieren

Mithilfe der Pivot-Tabelle können Sie Ereignisse mithilfe von Ausdrücken und Funktionen anhand der Ergebnisse der UDM-Suche analysieren.

Führen Sie die folgenden Schritte aus, um die Pivot-Tabelle zu öffnen und zu konfigurieren:

1. Führen Sie eine UDM-Suche aus.

2. Klicken Sie auf den Tab Pivot, um die Pivot-Tabelle zu öffnen.

3. Geben Sie einen Wert für Gruppieren nach an, um die Ereignisse nach einem bestimmten UDM-Feld zu gruppieren. Sie können sich die Ergebnisse mit der Standard-Groß- oder Kleinschreibung anzeigen lassen. Wählen Sie dazu im Menü die Option Kleinschreibung aus. Diese Option ist nur für Stringfelder verfügbar. Sie können bis zu fünf Werte für Gruppieren nach angeben. Klicken Sie dazu auf Feld hinzufügen.

   Wenn Ihr Wert für Gruppieren nach eines der Felder für den Hostnamen ist, stehen Ihnen zusätzliche Transformationsoptionen zur Verfügung:

   • Top-N-Level-Domain: Wählen Sie aus, welche Ebene der Domain angezeigt werden soll. Wenn Sie beispielsweise den Wert 1 verwenden, wird nur die Top-Level-Domain (z. B. com, gov oder edu) angezeigt, bei einem Wert von 3 werden die nächsten beiden Ebenen der Domainnamen angezeigt (z. B. google.co.uk).
   • Get Registered Domain (Registrierte Domain abrufen): Hier wird nur der registrierte Domainname angezeigt, z. B. google.com, nytimes.com und youtube.com.

   Wenn der Wert für Gruppieren nach eines der IP-Felder ist, stehen Ihnen zusätzliche Transformationsoptionen zur Verfügung:

   • CIDR-Präfixlänge in Bit(IP): Sie können 1 bis 32 für IPv4-Adressen angeben. Für IPv6-Adressen können Sie Werte bis zu 128 angeben.

   Wenn Ihr Wert für Gruppieren nach einen Zeitstempel enthält, stehen Ihnen zusätzliche Transformationsoptionen zur Verfügung:

   • (Zeit) Auflösung in Millisekunden
   • (Zeit) Auflösung in Sekunden
   • (Zeit) Auflösung in Minuten
   • (Zeit) Auflösung in Stunden
   • (Zeit) Auflösung in Tagen

4. Geben Sie in der Liste der Felder in Ihren Ergebnissen einen Wert für Ihren Pivot ein. Sie können bis zu fünf Werte angeben. Nachdem Sie ein Feld angegeben haben, müssen Sie die Option Zusammenfassen auswählen. Für die Zusammenfassung stehen folgende Optionen zur Auswahl:

   • sum
   • count
   • Anzahl unterschiedlich
   • Durchschnitt
   • stddev
   • Min.
   • Max

   Legen Sie den Wert Ereignisanzahl fest, damit nur die Anzahl der Ereignisse zurückgegeben wird, die für diese spezielle UDM-Suche und Pivot-Tabelle identifiziert wurden.

   Die Optionen für Zusammenfassen sind nicht universell mit den Feldern Gruppieren nach kompatibel. Die Optionen sum, average, stddev, min und max können beispielsweise nur auf numerische Felder angewendet werden. Wenn Sie versuchen, eine inkompatible Option Zusammenfassen mit dem Feld Gruppieren nach zu verknüpfen, erhalten Sie eine Fehlermeldung.

5. Geben Sie ein oder mehrere UDM-Felder an und wählen Sie mit der Option Order By (Sortieren nach) eine oder mehrere Sortierungen aus.

6. Klicken Sie abschließend auf Übernehmen. Die Ergebnisse werden in der Pivot-Tabelle angezeigt.

7. Optional: Wenn Sie die Pivot-Tabelle herunterladen möchten, klicken Sie auf more_vert und wählen Sie Als CSV-Datei herunterladen aus. Wenn Sie keinen Pivot ausgewählt haben, ist diese Option deaktiviert.

Eine Suche über die Schnellsuche ausführen

1. Klicken Sie auf Schnellsuche, um das Fenster „Schnellsuche“ zu öffnen. In diesem Fenster werden Ihre gespeicherten Suchanfragen und Ihr Suchverlauf angezeigt.

2. Klicken Sie auf eine der aufgeführten Suchanfragen, um sie in das UDM-Suchfeld zu laden.

3. Klicken Sie auf Suche ausführen, wenn Sie bereit sind.

Die aufgeführten Suchanfragen werden in Ihrem Chronicle-Konto gespeichert. Wenn Sie eine Ihrer gespeicherten Suchanfragen ändern (z. B. eine vorhandene Suchanfrage umbenennen), gespeicherte Suchanfragen oder Suchanfragen aus Ihrem Suchverlauf löschen möchten, öffnen Sie den Search Manager, indem Sie auf Alle Suchanfragen anzeigen klicken.

Übersicht über gespeicherte Suchanfragen und den Suchverlauf

Mit dem Search Manager können Sie gespeicherte Suchanfragen abrufen und Ihren Suchverlauf ansehen, indem Sie auf Search Manager klicken. Gespeicherte Suchanfragen und der Suchverlauf werden in Ihrem Chronicle-Konto gespeichert. Gespeicherte Suchanfragen und der Suchverlauf sind nur für den jeweiligen Nutzer sichtbar und zugänglich, es sei denn, Sie verwenden die Funktion Suche teilen, um Ihre Suche für Ihre Organisation freizugeben. Wählen Sie eine gespeicherte Suchanfrage aus, um zusätzliche Informationen wie Titel und Beschreibung aufzurufen.

Abbildung 19. Search Manager

Suchanfrage speichern

So speichern Sie eine Suchanfrage:

1. Klicken Sie auf der UDM-Suchseite auf Speichern, um die UDM-Suche für später zu speichern. Daraufhin wird der Suchmanager geöffnet. Google empfiehlt, Ihrer gespeicherten Suche einen aussagekräftigen Namen und eine Nur-Text-Beschreibung Ihrer Suche zu geben. Sie können auch über den Suchmanager eine neue UDM-Suche erstellen, indem Sie auf add klicken. Die standardmäßigen UDM-Bearbeitungs- und -Vervollständigungstools sind hier ebenfalls verfügbar.

2. Optional: Geben Sie Platzhaltervariablen im Format $<variable name> an. Verwenden Sie dabei dasselbe Format wie für Variablen in YARA-L. Wenn Sie einer UDM-Suche eine Variable hinzufügen, müssen Sie auch eine Aufforderung hinzufügen, damit der Nutzer versteht, welche Informationen er vor der Suche eingeben muss. Alle Variablen müssen vor einer Suche mit Werten gefüllt werden.

   Sie können beispielsweise metadata.vendor_name = $vendor_name in Ihre UDM-Suche aufnehmen. Für $vendor_name müssen Sie eine Aufforderung für zukünftige Nutzer hinzufügen, z. B. „Geben Sie den Namen des Anbieters für Ihre Suche ein“. Jedes Mal, wenn ein Nutzer diese Suche in Zukunft lädt, wird er aufgefordert, den Anbieternamen einzugeben, bevor er die Suche ausführen kann.

3. Klicken Sie abschließend auf Änderungen speichern.

4. Wenn Sie gespeicherte Suchanfragen aufrufen möchten, klicken Sie auf Suchmanager und dann auf den Tab Gespeichert.

Gespeicherte Suchanfragen abrufen

So rufen Sie eine gespeicherte Suchanfrage ab und führen sie aus:

1. Klicken Sie im Suchmanager auf den Tab Gespeichert.

2. Wählen Sie eine gespeicherte Suchanfrage aus der Liste aus. Diese gespeicherten Suchanfragen werden in Ihrem Chronicle-Konto gespeichert. Sie können eine Suchanfrage löschen, indem Sie auf more_horiz klicken und Suche löschen auswählen.

3. Sie können den Namen der Suchanfrage und die Beschreibung ändern. Klicken Sie abschließend auf Änderungen speichern.

4. Klicken Sie auf Suche laden. Die Suche wird in das UDM-Hauptsuchfeld geladen.

5. Klicken Sie auf Suche ausführen, um die mit dieser Suche verbundenen Ereignisse zu sehen.

Suchanfragen aus dem Suchverlauf abrufen

So rufen Sie eine Suchanfrage aus Ihrem Suchverlauf ab und führen sie aus:

1. Klicken Sie im Suchmanager auf Verlauf.

2. Wählen Sie eine Suchanfrage aus Ihrem Suchverlauf aus. Ihr Suchverlauf wird in Ihrem Chronicle-Konto gespeichert. Sie können eine Suchanfrage löschen, indem Sie auf delete klicken

3. Klicken Sie auf Suche laden. Die Suche wird in das UDM-Hauptsuchfeld geladen.

4. Klicken Sie auf Suche ausführen, um die mit dieser Suche verbundenen Ereignisse zu sehen.

Suchverlauf löschen, deaktivieren oder aktivieren

So löschen, deaktivieren oder aktivieren Sie den Suchverlauf:

1. Klicken Sie im Search Manager auf den Tab Verlauf.

2. Klicken Sie auf more_vert.

3. Wähle Verlauf löschen aus, um den Suchverlauf zu löschen.

4. Klicke auf Verlauf deaktivieren, um den Suchverlauf zu deaktivieren. Du hast folgende Möglichkeiten:

   • Nur deaktivieren: Der Suchverlauf wird deaktiviert.

   • Deaktivieren und löschen: Der Suchverlauf wird deaktiviert und der gespeicherte Suchverlauf wird gelöscht.

5. Wenn du den Suchverlauf deaktiviert hast, kannst du ihn jederzeit wieder aktivieren, indem du auf Suchverlauf aktivieren klickst.

6. Klicken Sie auf Schließen, um den Suchmanager zu beenden.

Suchanfrage teilen

Über freigegebene Suchanfragen können Sie Suchanfragen für den Rest Ihres Teams freigeben. Auf dem Tab Gespeichert können Sie Suchanfragen teilen oder löschen. Sie können Ihre Suchanfragen auch filtern, indem Sie auf das Filtersymbol neben der Suchleiste klicken und die Suchanfragen nach Alle anzeigen, In Chronicle definiert, Von mir erstellt oder Geteilt sortieren.

Sie können nur Ihre eigene freigegebene Suche bearbeiten.

1. Klicken Sie auf Gespeichert.
2. Klicken Sie auf die Suchanfrage, die Sie teilen möchten.
3. Klicken Sie rechts neben der Suche auf more_horiz. Ein Dialogfeld mit der Option zum Teilen Ihrer Suchanfrage wird angezeigt.
4. Klicken Sie auf Für meine Organisation freigeben.
5. Ein Pop-up-Fenster erscheint, in dem Sie darüber informiert werden, dass das Teilen Ihrer Suche für Personen in Ihrer Organisation sichtbar ist. Möchten Sie ihn wirklich freigeben? Klicken Sie auf Freigeben.

Wenn die Suche nur für Sie sichtbar sein soll, klicken Sie auf more_horiz und dann auf Teilen beenden. Wenn Sie die Freigabe beenden, können nur Sie diese Suche verwenden.

Nächste Schritte

Weitere Informationen zur Verwendung kontextreicher Daten in der UDM-Suche