Cette page a été traduite par l'API Cloud Translation.

Bonnes pratiques de Search

Compatible avec :

Google SecOps SIEM

Ce document décrit les bonnes pratiques recommandées par Google pour effectuer des recherches à l'aide de Recherche. Les recherches peuvent nécessiter des ressources de calcul importantes pour être effectuées si elles ne sont pas construites avec soin. Les performances varient également en fonction de la taille et de la complexité des données de votre instance Google Security Operations.

Créer des requêtes de recherche efficaces

Chaque condition doit être au format udm-field operator value.

Par exemple : principal.hostname = "win-server"

Optimiser la période de votre recherche

Essayez toujours de réduire votre plage de dates au minimum nécessaire. Google SecOps peut ingérer une énorme quantité de données. Limiter l'étendue de ces données lors d'une recherche peut donc améliorer considérablement les performances de recherche.

Utiliser des expressions régulières avec la recherche

Vous pouvez utiliser des expressions régulières lorsque vous effectuez des recherches :

Utilisez AND, OR et NOT.
AND est supposé en l'absence des autres opérateurs.
Utilisez des parenthèses pour modifier l'ordre de priorité. Le nombre maximal d'opérateurs logiques (OR, AND et NOT) pouvant être utilisés entre parenthèses est de 169.
Selon le type de champ, les opérateurs de champ peuvent inclure les éléments suivants : = != >= > < <=

Vous pouvez également utiliser les listes de référence.

Utiliser `nocase` comme modificateur de recherche

nocase peut être utilisé comme modificateur pour ignorer la casse.

Par exemple, la recherche suivante n'est pas valide :

target.user.userid = "TIM.SMITH" nocase

Les expressions régulières ne fonctionnent pas pour les champs énumérés

Vous ne pouvez pas utiliser d'expressions régulières pour les champs énumérés (champs avec une plage de valeurs prédéfinies) tels que metadata.event_type ou network.ip_protocol.

Par exemple, la recherche suivante n'est pas valide :

metadata.eventtype = /NETWORK*/

Toutefois, la recherche suivante est valide (et se rapproche de ce qui a été tenté ci-dessus) :

(metadata.event_type = "NETWORK_CONNECTION" or metadata.event_type = "NETWORK_DHCP")

Utiliser un ou plusieurs opérateurs dans le champ "Événements"

Dans la recherche, certains champs sont marqués comme répétés, ce qui signifie qu'ils contiennent une liste de valeurs ou de types de messages. Contrairement aux règles, les champs répétés dans la recherche sont toujours traités avec l'opérateur any par défaut, sans possibilité de spécifier all.

Lorsque l'opérateur any est utilisé, le prédicat est évalué comme "true" si une valeur du champ répété remplit la condition. Par exemple, si vous recherchez principal.ip != "1.2.3.4" et que les événements de votre recherche incluent à la fois principal.ip = "1.2.3.4" et principal.ip = "5.6.7.8", la recherche générera des correspondances. Votre recherche est alors élargie pour inclure les résultats correspondant à l'un des opérateurs, et non à tous.

Chaque élément du champ répété est traité individuellement. Si le champ répété est trouvé dans les événements de la recherche, les événements sont évalués pour chaque élément du champ. Cela peut entraîner un comportement inattendu, en particulier lors d'une recherche à l'aide de l'opérateur !=.

Lorsque vous utilisez l'opérateur any, le prédicat est évalué comme "true" si une valeur du champ répété remplit la condition.

Les codes temporels utilisent l'epoch Unix.

Les champs d'horodatage sont mis en correspondance à l'aide de l'époque Unix (nombre de secondes écoulées depuis le jeudi 1er janvier 1970 à 00:00:00).

Lorsque vous recherchez un code temporel spécifique, les éléments suivants (en temps Unix) sont valides :

metadata.ingested_timestamp.seconds = 1660784400

Le code temporel suivant n'est pas valide :

metadata.ingested_timestamp = "2022-08-18T01:00:00Z"

Certains champs sont exclus des filtres, y compris les suivants :

metadata.id
metadata.product_log_id
*.timestamp

Comme ces champs contiennent souvent des valeurs uniques, ils ajoutent souvent des détails inutiles, ce qui réduit l'efficacité de la recherche.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.