Recomendaciones para la búsqueda
En este documento, se describen las prácticas recomendadas de Google para realizar búsquedas con la Búsqueda. Las búsquedas pueden requerir recursos de procesamiento sustanciales para completarse si no se crean con cuidado. El rendimiento también varía según el tamaño y la complejidad de los datos en tu instancia de Google Security Operations.
Cómo crear búsquedas eficaces
Cada condición debe tener el formato udm-field operator value.
Por ejemplo: principal.hostname = "win-server"
Optimiza el intervalo de tiempo de tu búsqueda
Intenta siempre reducir el intervalo de tiempo al mínimo necesario. Google Security Operations puede transferir una gran cantidad de datos, por lo que limitar la amplitud de esos datos mientras se realiza una búsqueda puede mejorar significativamente el rendimiento de la búsqueda.
Usa expresiones regulares con la Búsqueda
Puedes usar expresiones regulares cuando realizas búsquedas:
- Usa
AND,ORyNOT. - Se supone
ANDen ausencia de los otros operadores. - Usa paréntesis para modificar el orden de prioridad. Hay un límite máximo de 169 operadores lógicos (
OR,ANDyNOT) que se pueden usar en los paréntesis. - Según el tipo de campo, los operadores de campo pueden incluir lo siguiente:
= != >= > < <=
Como alternativa, también puedes usar las listas de referencia.
Usa nocase como modificador de búsqueda
nocase se puede usar como modificador para ignorar el uso de mayúsculas.
Por ejemplo, la siguiente búsqueda no es válida:
target.user.userid = "TIM.SMITH" nocase
Las expresiones regulares no funcionan para los campos enumerados.
No puedes usar expresiones regulares para campos enumerados (campos con un rango de valores predefinidos) como metadata.event_type o network.ip_protocol.
Por ejemplo, la siguiente búsqueda no es válida:
metadata.eventtype = /NETWORK*/
Sin embargo, la siguiente búsqueda es válida (y se aproxima a lo que se intentó anteriormente):
(metadata.event_type = "NETWORK_CONNECTION" or
metadata.event_type = "NETWORK_DHCP")
Usar cualquier operador en el campo Eventos
En la Búsqueda, algunos campos se etiquetan como repetidos, lo que significa que contienen una lista de valores o tipos de mensajes. A diferencia de las reglas, los campos repetidos en la Búsqueda siempre se tratan con el operador any de forma predeterminada, sin opción para especificar all.
Cuando se usa el operador any, el predicado se evalúa como verdadero si algún valor del campo repetido satisface la condición. Por ejemplo, si buscas principal.ip != "1.2.3.4" y los eventos de tu búsqueda incluyen principal.ip = "1.2.3.4" y principal.ip = "5.6.7.8", la Búsqueda generará coincidencias. Esto expande tu búsqueda para incluir resultados que coincidan con cualquiera de los operadores en lugar de coincidir con todos ellos.
Cada elemento del campo repetido se trata de forma individual. Si el campo repetido se encuentra en los eventos de la búsqueda, los eventos se evalúan para cada elemento del campo. Esto puede causar un comportamiento inesperado, en especial cuando se realiza una búsqueda con el operador !=.
Cuando se usa el operador any, el predicado se evalúa como verdadero si algún valor del campo repetido satisface la condición.
Las marcas de tiempo usan el tiempo de Unix
Los campos de marca de tiempo se hacen coincidir con la época Unix (cantidad de segundos que transcurrieron desde el jueves 1 de enero de 1970 a las 00:00:00).
Cuando buscas una marca de tiempo específica, lo siguiente (en tiempo de época) es válido:
metadata.ingested_timestamp.seconds = 1660784400
La siguiente marca de tiempo no es válida:
metadata.ingested_timestamp = "2022-08-18T01:00:00Z"
Existen ciertos campos que se excluyen de los filtros, incluidos los siguientes:
metadata.idmetadata.product_log_id*.timestamp
Debido a que estos campos suelen contener valores únicos, a menudo agregan detalles innecesarios, lo que reduce la eficacia de la búsqueda.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.