Bonnes pratiques de recherche
Ce document décrit les bonnes pratiques recommandées par Google pour utiliser la fonctionnalité Recherche dans Google Security Operations. Les recherches peuvent nécessiter des ressources de calcul importantes si elles ne sont pas soigneusement construites. Les performances varient également en fonction de la taille et de la complexité des données dans votre instance Google SecOps.
Créer des requêtes de recherche efficaces
Chaque condition doit être au format udm-field operator value.
Par exemple : principal.hostname = "win-server"
Restreindre la période de votre recherche
Étant donné que Google SecOps peut ingérer une grande quantité de données lors d'une recherche, nous vous recommandons de réduire la plage de temps pour limiter le champ d'application et améliorer les performances de recherche.
Utiliser des expressions régulières dans une requête de recherche
Vous pouvez utiliser des expressions régulières lorsque vous recherchez des données :
- Utilisez
AND,ORetNOT. ANDest supposé en l'absence des autres opérateurs.- Utilisez des parenthèses pour modifier l'ordre de priorité. Le nombre maximal d'opérateurs logiques (
OR,ANDetNOT) pouvant être utilisés entre parenthèses est de 169. - Selon le type de champ, les opérateurs de champ peuvent inclure les éléments suivants :
= != >= > < <=
Vous pouvez également utiliser les listes de référence.
Utiliser nocase comme modificateur de recherche
nocase peut être utilisé comme modificateur pour ignorer la casse.
Par exemple, la recherche suivante n'est pas valide :
target.user.userid = "TIM.SMITH" nocase
N'utilisez pas d'expressions régulières pour les champs énumérés.
Vous ne pouvez pas utiliser d'expressions régulières pour les champs énumérés (champs avec une plage de valeurs prédéfinies) tels que metadata.event_type ou network.ip_protocol.
L'exemple suivant est une recherche non valide :
metadata.eventtype = /NETWORK*/
En revanche, l'exemple suivant est une recherche valide :
(metadata.event_type = "NETWORK_CONNECTION" or
metadata.event_type = "NETWORK_DHCP")
Utiliser un ou plusieurs opérateurs dans le champ "Événements"
Dans Recherche, certains champs sont marqués comme répétés, ce qui signifie qu'ils contiennent une liste de valeurs ou de types de messages. Les champs répétés sont toujours traités avec l'opérateur any par défaut (il n'existe aucune option permettant de spécifier all).
Lorsque l'opérateur any est utilisé, le prédicat est évalué comme "true" si une valeur du champ répété remplit la condition. Par exemple, si vous recherchez principal.ip != "1.2.3.4" et que les événements de votre recherche incluent à la fois principal.ip = "1.2.3.4" et principal.ip = "5.6.7.8", une correspondance est générée. Votre recherche est alors élargie pour inclure les résultats correspondant à l'un des opérateurs, et non à tous.
Chaque élément du champ répété est traité individuellement. Si le champ répété est trouvé dans les événements de la recherche, les événements sont évalués pour chaque élément du champ. Cela peut entraîner un comportement inattendu, en particulier lors d'une recherche à l'aide de l'opérateur !=.
Lorsque vous utilisez l'opérateur any, le prédicat est évalué comme "true" si une valeur du champ répété remplit la condition.
Les codes temporels utilisent l'epoch Unix.
Les champs d'horodatage sont mis en correspondance à l'aide de l'époque Unix (nombre de secondes écoulées depuis le jeudi 1er janvier 1970 à 00:00:00).
Lorsque vous recherchez un code temporel spécifique, les éléments suivants (en temps Unix) sont valides :
metadata.ingested_timestamp.seconds = 1660784400
Le code temporel suivant n'est pas valide :
metadata.ingested_timestamp = "2022-08-18T01:00:00Z"
Certains champs sont exclus des filtres, y compris les suivants :
metadata.idmetadata.product_log_id*.timestamp
Comme ces champs contiennent souvent des valeurs uniques, ils peuvent ajouter des détails inutiles, ce qui peut réduire l'efficacité de la recherche.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.