Utiliser la plage de dates de la recherche UDM et gérer les requêtes

Compatible avec :

Google Security Operations vous permet de rechercher jusqu'à un an de données d'entreprise stockées dans votre compte. Il inclut également un certain nombre d'outils qui vous permettent d'exécuter plusieurs requêtes de recherche UDM, puis de récupérer et de partager les résultats de ces requêtes.

Utiliser UDM pour rechercher jusqu'à un an de données

Vous pouvez effectuer une recherche UDM sur un maximum d'un an de données UDM. Pour ajuster la période de votre recherche UDM, procédez comme suit :

  1. Accédez à Investigation > Recherche SIEM.
  2. Cliquez sur le champ du sélecteur de période pour ouvrir la boîte de dialogue du sélecteur de période.
  3. Dans l'onglet Période (onglet par défaut), ajustez la période en sélectionnant l'une des options allant de 5 dernières minutes à Dernière année.
  4. Utilisez les champs Début et Fin pour choisir une plage de dates plus spécifique (par exemple, les deux premières semaines de novembre).
  5. Ajustez les heures en sélectionnant des valeurs de début et de fin spécifiques, par exemple 03:00 et 08:30.
  6. Cliquez sur Appliquer, puis sur Exécuter la recherche.

Exécuter des recherches simultanées et gérer les requêtes de recherche

Les recherches simultanées et les résultats stockés nécessitent que la fonctionnalité d'historique des recherches soit active. Pour vous assurer que l'historique des recherches est activé, procédez comme suit :

  1. Accédez à Investigation > Recherche SIEM.

  2. Cliquez sur Historique. Si le message L'historique des recherches est désactivé s'affiche, passez à l'étape suivante. Si ce message ne s'affiche pas, cela signifie que l'historique des recherches est déjà activé pour votre compte.

  3. Cliquez sur more_vert , puis sélectionnez Activer l'historique des recherches.

Gérer les requêtes de recherche

Vous pouvez effectuer plusieurs recherches UDM, récupérer les résultats de recherches de requêtes précédentes et partager les résultats de vos requêtes avec d'autres membres de votre équipe :

  • Exécuter plusieurs recherches UDM : lorsqu'une requête de recherche est en cours, vous pouvez exécuter d'autres recherches dans l'éditeur de requêtes. Google SecOps continue d'exécuter vos recherches précédentes et exécute les nouvelles recherches en parallèle.

  • Afficher les résultats de la requête : parcourez l'historique des requêtes et sélectionnez les résultats de recherche dans les 24 heures suivant l'exécution d'une requête. Cliquez sur Historique, puis sélectionnez l'une de vos requêtes dans la liste.

    Les requêtes en cours sont affichées avec une icône d'état circulaire. Les requêtes terminées sont affichées avec une icône de coche verte et un compteur indiquant le nombre d'événements renvoyés par la requête. Cliquez sur une requête terminée pour afficher les résultats. Ces résultats sont mis en cache et n'incluent que les données disponibles au moment de l'exécution de la requête. Toutefois, vous pouvez cliquer sur cached Rerun (Mise en cache > Réexécuter) pour exécuter la requête sur les données les plus récentes. Cette nouvelle exécution est ajoutée à l'historique des recherches et les résultats sont disponibles une fois la requête terminée.

  • Partager les résultats de la requête : copiez l'URL des résultats de la requête pour les partager avec d'autres utilisateurs.

    Lorsque les résultats de recherche sont stockés, les niveaux d'accès RBAC de l'utilisateur qui a effectué la recherche sont stockés avec eux. Lorsqu'un autre utilisateur consulte ces résultats, le champ d'application RBAC du lecteur est comparé aux champs d'application stockés. Si les autorisations du lecteur sont plus restrictives, une erreur s'affiche et il ne peut pas voir les résultats.

    Les résultats de recherche enregistrés expirent 24 heures après l'exécution d'une requête. Toutefois, votre requête de recherche est toujours disponible dans le volet Historique. Vous pouvez relancer vos recherches et les résultats sont disponibles jusqu'à 24 heures après l'exécution de la requête.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.