Usar el intervalo de tiempo de la búsqueda de UDM y gestionar consultas
Google Security Operations te permite buscar en los datos de empresa almacenados en tu cuenta durante un periodo de hasta un año. También incluye varias herramientas que te permiten ejecutar varias consultas de búsqueda de UDM y, más adelante, recuperar y compartir los resultados de esas consultas.
Usar UDM para buscar datos de hasta un año de antigüedad
Puedes realizar una búsqueda de UDM en tus datos de UDM de hasta un año de antigüedad. Para ajustar el periodo de tiempo de tu búsqueda de UDM, sigue estos pasos:
- Ve a Investigación > Búsqueda en SIEM.
- Haz clic en el campo del selector de hora para abrir el cuadro de diálogo correspondiente.
- En la pestaña Intervalo (la pestaña predeterminada), ajuste el intervalo de tiempo seleccionando una de las opciones que van desde Últimos 5 minutos hasta Último año.
- Usa los campos Inicio y Fin para elegir un periodo más específico (por ejemplo, las dos primeras semanas de noviembre).
- Ajusta las horas seleccionando valores de inicio y finalización específicos, por ejemplo, 03:00 y 08:30.
- Haz clic en Aplicar y, a continuación, en Ejecutar búsqueda.
Ejecutar búsquedas simultáneas y gestionar consultas de búsqueda
Para realizar búsquedas simultáneas y almacenar resultados, la función de historial de búsqueda debe estar activa. Para asegurarte de que el historial de búsqueda está activado, sigue estos pasos:
Ve a Investigación > Búsqueda en SIEM.
Haz clic en Historial. Si se muestra el mensaje El historial de búsqueda está inhabilitado, ve al paso siguiente. Si no ves este mensaje, significa que el historial de búsqueda ya está habilitado en tu cuenta.
Haz clic en more_vert y selecciona Habilitar el historial de búsqueda.
Gestionar consultas de búsqueda
Puedes realizar varias búsquedas de UDM, recuperar los resultados de búsquedas de consultas anteriores y compartir los resultados de tus consultas con otros miembros de tu equipo:
Ejecutar varias búsquedas de UDM: mientras se está procesando una consulta de búsqueda, puedes ejecutar otras búsquedas en el editor de consultas. Google SecOps sigue ejecutando tus búsquedas anteriores y ejecuta las nuevas en paralelo.
Ver resultados de consultas: desplázate por el historial de consultas y selecciona los resultados de búsqueda en un plazo de 24 horas después de ejecutar una consulta. Haz clic en Historial y selecciona una de tus consultas de la lista.
Las consultas en curso se muestran con un icono de estado circular. Las consultas completadas se muestran con un icono de marca de verificación verde, junto con un contador que indica el número de eventos devueltos por la consulta. Haga clic en una consulta completada para mostrar los resultados. Estos resultados se almacenan en caché y solo incluyen los datos disponibles durante la ejecución de la consulta. Sin embargo, puedes hacer clic en Almacenado en caché Volver a ejecutar para ejecutar la consulta con los datos más recientes. Esta nueva ejecución se añade al historial de búsqueda y los resultados están disponibles cuando se completa la consulta.
Compartir resultados de la consulta: copia la URL de los resultados de la consulta para compartirlos con otros usuarios.
Cuando se almacenan los resultados de búsqueda, se almacenan con ellos los ámbitos de control de acceso basado en roles del usuario que realizó la búsqueda. Cuando otro usuario ve estos resultados, el ámbito de RBAC del visor se compara con los ámbitos almacenados. Si los ámbitos del visor son más restrictivos, se mostrará un error y no podrá ver los resultados.
Los resultados de búsqueda almacenados caducan 24 horas después de que se ejecute una consulta. Sin embargo, tu consulta de búsqueda sigue estando disponible en el panel Historial. Puedes volver a ejecutar tus búsquedas y los resultados estarán disponibles hasta 24 horas después de la hora de ejecución de la consulta.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.