Cómo usar el período de la Búsqueda de UDM y administrar consultas

Compatible con:

Google Security Operations te permite buscar hasta un año de los datos empresariales almacenados en tu cuenta. También incluye varias herramientas que te permiten ejecutar múltiples búsquedas en el UDM y, luego, recuperar y compartir los resultados de esas búsquedas.

Usa UDM para buscar hasta un año de datos

Puedes realizar una búsqueda de UDM en hasta un año de tus datos de UDM. Para ajustar el período de tu búsqueda en UDM, completa los siguientes pasos:

  1. Ve a Investigación > Búsqueda en el SIEM.
  2. Haz clic en el campo del selector de tiempo para abrir el diálogo del selector de tiempo.
  3. En la pestaña Intervalo (la pestaña predeterminada), ajusta el intervalo de tiempo seleccionando cualquiera de las opciones, desde Últimos 5 minutos hasta Último año.
  4. Usa los campos Inicio y Fin para elegir un período más específico (por ejemplo, las dos primeras semanas de noviembre).
  5. Para ajustar los horarios, selecciona valores de inicio y finalización específicos, por ejemplo, las 3:00 a.m. y las 8:30 a.m.
  6. Haz clic en Aplicar y, luego, en Ejecutar búsqueda.

Ejecuta búsquedas simultáneas y administra consultas de búsqueda

Las búsquedas simultáneas y los resultados almacenados requieren que la función de historial de búsqueda esté activa. Para asegurarte de que el historial de búsqueda esté activado, completa los siguientes pasos:

  1. Ve a Investigación > Búsqueda en el SIEM.

  2. Haz clic en Historial. Si se muestra el mensaje El historial de búsqueda está inhabilitado, continúa con el siguiente paso. Si no ves este mensaje, significa que el Historial de búsqueda ya está habilitado en tu cuenta.

  3. Haz clic en more_vert y selecciona Habilitar el historial de búsqueda.

Administra las búsquedas

Puedes ejecutar varias búsquedas en el UDM, recuperar los resultados de búsquedas anteriores y compartir los resultados de tus búsquedas con otros miembros de tu equipo:

  • Ejecuta varias búsquedas de UDM: Mientras se ejecuta una búsqueda, puedes realizar búsquedas adicionales en el editor de consultas. Google SecOps sigue ejecutando tus búsquedas anteriores y ejecuta las nuevas en paralelo.

  • Ver los resultados de la búsqueda: Desplázate por el historial de búsqueda y selecciona los resultados de la búsqueda dentro de las 24 horas posteriores a la ejecución de una búsqueda. Haz clic en Historial y selecciona una de tus búsquedas de la lista.

    Las búsquedas en curso se muestran con un ícono de estado circular. Las consultas completadas se muestran con un ícono de marca de verificación verde, junto con un contador que indica la cantidad de eventos que devolvió la consulta. Haz clic en una consulta completada para mostrar los resultados. Estos resultados se almacenan en caché y solo incluyen los datos disponibles en el momento de la ejecución de la consulta. Sin embargo, puedes hacer clic en Caché Volver a ejecutar para ejecutar la consulta con los datos más recientes. Esta nueva ejecución se agrega al historial de búsqueda y los resultados están disponibles cuando se completa la búsqueda.

  • Compartir resultados de la búsqueda: Copia la URL de los resultados de la búsqueda para compartirlos con otros usuarios.

    Cuando se almacenan los resultados de la búsqueda, también se almacenan los permisos de RBAC del usuario que realizó la búsqueda. Cuando otro usuario ve estos resultados, el alcance del RBAC del usuario que los ve se compara con los alcances almacenados. Si los permisos del usuario son más restrictivos, se mostrará un error y no podrá ver los resultados.

    Los resultados de la búsqueda almacenados vencen 24 horas después de que se ejecuta una consulta. Sin embargo, tu búsqueda seguirá disponible en el panel Historial. Puedes volver a ejecutar tus búsquedas, y los resultados estarán disponibles hasta 24 horas después del tiempo de ejecución de la búsqueda.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.