Utiliser la plage de temps de la recherche UDM et gérer les requêtes

Compatible avec:

Google Security Operations vous permet de rechercher jusqu'à un an de données d'entreprise stockées dans votre compte. Il inclut également un certain nombre d'outils qui vous permettent d'exécuter plusieurs requêtes de recherche UDM, puis de récupérer et de partager les résultats de ces requêtes.

Utiliser UDM pour rechercher jusqu'à un an de données

Vous pouvez effectuer une recherche UDM sur une période maximale d'un an pour vos données UDM. Pour ajuster la période de votre recherche UDM, procédez comme suit:

  1. Accédez à Investigation > Recherche dans le SIEM.
  2. Cliquez sur le champ du sélecteur de date et d'heure pour ouvrir la boîte de dialogue de sélection de la date et de l'heure.
  3. Dans l'onglet Plage (onglet par défaut), ajustez la période en sélectionnant l'une des options entre Dernières 5 minutes et Dernière année.
  4. Utilisez les champs Début et Fin pour choisir une plage de dates plus spécifique (par exemple, les deux premières semaines de novembre).
  5. Ajustez les heures en sélectionnant des valeurs de début et de fin spécifiques, par exemple 03:00 et 08:30.
  6. Cliquez sur Appliquer, puis sur Exécuter la recherche.

Exécuter des recherches simultanées et gérer les requêtes de recherche

Les recherches simultanées et les résultats stockés nécessitent que la fonctionnalité d'historique des recherches soit active. Pour vous assurer que l'historique des recherches est activé, procédez comme suit:

  1. Accédez à Investigation > Recherche dans le SIEM.

  2. Cliquez sur Historique. Si le message L'historique de recherche est désactivé s'affiche, passez à l'étape suivante. Si ce message ne s'affiche pas, cela signifie que l'historique des recherches est déjà activé pour votre compte.

  3. Cliquez sur more_vert , puis sélectionnez Activer l'historique des recherches.

Gérer les requêtes de recherche

Vous pouvez effectuer plusieurs recherches UDM, récupérer les résultats de recherche de requêtes précédentes et partager les résultats de vos requêtes avec d'autres membres de votre équipe:

  • Exécuter plusieurs recherches UDM: lorsqu'une requête de recherche est en cours, vous pouvez exécuter des recherches supplémentaires dans l'éditeur de requêtes. Google Security Operations continue d'exécuter vos recherches précédentes et exécute les nouvelles recherches en parallèle.

  • Afficher les résultats de la requête: parcourez l'historique des requêtes et sélectionnez les résultats de recherche dans les 24 heures suivant l'exécution d'une requête. Cliquez sur Historique, puis sélectionnez l'une de vos requêtes dans la liste.

    Les requêtes en cours sont affichées avec une icône d'état circulaire. Les requêtes terminées sont affichées avec une icône en forme de coche verte, ainsi qu'un compteur indiquant le nombre d'événements renvoyés par la requête. Cliquez sur une requête terminée pour afficher les résultats. Ces résultats sont mis en cache et n'incluent que les données disponibles au moment de l'exécution de la requête. Toutefois, vous pouvez cliquer sur cached Rerun (Réexécuter) pour exécuter la requête avec les données les plus récentes. Cette nouvelle exécution est ajoutée à l'historique de recherche et les résultats sont disponibles une fois la requête terminée.

  • Partager les résultats de la requête: copiez l'URL des résultats de la requête pour les partager avec d'autres utilisateurs.

    Lorsque les résultats de recherche sont stockés, les portées RBAC de l'utilisateur qui a effectué la recherche sont également stockées. Lorsqu'un autre utilisateur consulte ces résultats, le champ d'application RBAC de l'utilisateur est comparé aux champs d'application stockés. Si les champs d'application du lecteur sont plus restrictifs, un message d'erreur s'affiche et le lecteur ne peut pas afficher les résultats.

    Les résultats de recherche stockés expirent 24 heures après l'exécution d'une requête. Toutefois, votre requête de recherche est toujours disponible dans le volet Historique. Vous pouvez relancer vos recherches. Les résultats sont disponibles jusqu'à 24 heures après l'exécution de la requête.