Zeitbereich der UDM-Suche verwenden und Abfragen verwalten

Unterstützt in:

Mit Google Security Operations können Sie bis zu ein Jahr lang in den in Ihrem Konto gespeicherten Unternehmensdaten suchen. Außerdem enthält es eine Reihe von Tools, mit denen Sie mehrere UDM-Suchanfragen ausführen und die Ergebnisse dieser Anfragen später abrufen und teilen können.

Mit UDM Daten aus bis zu einem Jahr suchen

Sie können eine UDM-Suche für bis zu einem Jahr Ihrer UDM-Daten durchführen. So passen Sie den Zeitraum für Ihre UDM-Suche an:

  1. Gehen Sie zu Prüfung > SIEM-Suche.
  2. Klicken Sie auf das Feld für die Zeitauswahl, um das Dialogfeld für die Zeitauswahl zu öffnen.
  3. Passen Sie auf dem Tab Zeitraum (Standardtab) den Zeitraum an, indem Sie eine der Optionen von Letzte 5 Minuten bis Letztes Jahr auswählen.
  4. Mit den Feldern Start und Ende können Sie einen genaueren Zeitraum auswählen, z. B. die ersten zwei Wochen im November.
  5. Passen Sie die Zeiten an, indem Sie bestimmte Start- und Endwerte auswählen, z. B. 03:00 und 08:30.
  6. Klicken Sie auf Anwenden und dann auf Suche ausführen.

Nebenläufige Suchen ausführen und Suchanfragen verwalten

Für gleichzeitige Suchanfragen und gespeicherte Ergebnisse muss die Funktion „Suchverlauf“ aktiviert sein. Führen Sie die folgenden Schritte aus, um zu prüfen, ob der Suchverlauf aktiviert ist:

  1. Gehen Sie zu Prüfung > SIEM-Suche.

  2. Klicken Sie auf Verlauf. Wenn die Meldung Suchverlauf ist deaktiviert angezeigt wird, fahren Sie mit dem nächsten Schritt fort. Wenn diese Meldung nicht angezeigt wird, ist der Suchverlauf bereits für Ihr Konto aktiviert.

  3. Klicken Sie auf das Dreipunkt-Menü  more_vert und wählen Sie Suchverlauf aktivieren aus.

Suchanfragen verwalten

Sie können mehrere UDM-Suchen durchführen, vorherige Suchergebnisse abrufen und Ihre Suchergebnisse mit anderen Teammitgliedern teilen:

  • Mehrere UDM-Suchanfragen ausführen: Während eine Suchanfrage läuft, können Sie im Abfrageeditor weitere Suchanfragen ausführen. Google SecOps führt Ihre bisherigen Suchanfragen weiterhin aus und die neuen Suchanfragen parallel dazu.

  • Abfrageergebnisse ansehen: Scrollen Sie durch den Abfrageverlauf und wählen Sie Suchergebnisse innerhalb von 24 Stunden nach Ausführung einer Abfrage aus. Klicken Sie auf Verlauf und wählen Sie eine Ihrer Anfragen aus der Liste aus.

    Laufende Anfragen werden mit einem kreisförmigen Statussymbol angezeigt. Abgeschlossene Abfragen werden mit einem grünen Häkchen und einem Zähler angezeigt, der die Anzahl der von der Abfrage zurückgegebenen Ereignisse angibt. Klicken Sie auf eine abgeschlossene Abfrage, um die Ergebnisse aufzurufen. Diese Ergebnisse werden im Cache gespeichert und enthalten nur die Daten, die zum Zeitpunkt der Abfrageausführung verfügbar waren. Sie können jedoch auf im Cache Nochmal ausführen klicken, um die Abfrage mit den neuesten Daten auszuführen. Dieser neue Lauf wird dem Suchverlauf hinzugefügt und die Ergebnisse sind verfügbar, wenn die Abfrage abgeschlossen ist.

  • Suchergebnisse teilen: Kopieren Sie die URL der Suchergebnisse, um sie mit anderen Nutzern zu teilen.

    Wenn Suchergebnisse gespeichert werden, werden die RBAC-Bereiche des Nutzers, der die Suche ausgeführt hat, mit ihnen gespeichert. Wenn diese Ergebnisse von einem anderen Nutzer aufgerufen werden, wird der RBAC-Bereich des Betrachters mit den gespeicherten Bereichen verglichen. Wenn die Bereiche des Betrachters restriktiver sind, wird ein Fehler angezeigt und er kann die Ergebnisse nicht sehen.

    Gespeicherte Suchergebnisse laufen 24 Stunden nach der Ausführung einer Abfrage ab. Ihre Suchanfrage ist jedoch weiterhin im Bereich Verlauf verfügbar. Sie können Ihre Suchanfragen noch einmal ausführen. Die Ergebnisse sind bis zu 24 Stunden nach der Ausführungszeit der Anfrage verfügbar.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten