Menggunakan rentang waktu Penelusuran UDM dan mengelola kueri

Didukung di:

Google Security Operations memberi Anda kemampuan untuk menelusuri data perusahaan yang disimpan di akun Anda hingga satu tahun. Alat ini juga mencakup sejumlah alat yang memungkinkan Anda menjalankan beberapa kueri penelusuran UDM, lalu mengambil dan membagikan hasil kueri tersebut.

Menggunakan UDM untuk menelusuri data hingga satu tahun

Anda dapat melakukan penelusuran UDM pada data UDM Anda hingga satu tahun. Untuk menyesuaikan jangka waktu penelusuran UDM, selesaikan langkah-langkah berikut:

  1. Buka Investigasi > Penelusuran SIEM.
  2. Klik kolom pemilih waktu untuk membuka dialog pemilih waktu.
  3. Dari tab Rentang (tab default), sesuaikan rentang waktu dengan memilih salah satu opsi dari 5 menit terakhir hingga Tahun lalu.
  4. Gunakan kolom Mulai dan Akhir untuk memilih rentang tanggal yang lebih spesifik (misalnya, dua minggu pertama bulan November).
  5. Sesuaikan waktu dengan memilih nilai mulai dan akhir tertentu, misalnya, 03.00 dan 08.30.
  6. Klik Terapkan, lalu klik Jalankan Penelusuran.

Menjalankan penelusuran bersamaan dan mengelola kueri penelusuran

Penelusuran serentak dan hasil yang disimpan memerlukan fitur histori penelusuran agar aktif. Untuk memastikan histori penelusuran aktif, selesaikan langkah-langkah berikut:

  1. Buka Investigasi > Penelusuran SIEM.

  2. Klik Histori. Jika pesan Histori Penelusuran Dinonaktifkan ditampilkan, lanjutkan ke langkah berikutnya. Jika Anda tidak melihat pesan ini, berarti Histori Penelusuran sudah diaktifkan untuk akun Anda.

  3. Klik more_vert , lalu pilih Aktifkan histori penelusuran.

Mengelola kueri penelusuran

Anda dapat menjalankan beberapa penelusuran UDM, mengambil hasil penelusuran kueri sebelumnya, dan membagikan hasil kueri Anda kepada anggota tim lainnya:

  • Menjalankan beberapa penelusuran UDM: Saat kueri penelusuran sedang berlangsung, Anda dapat menjalankan penelusuran tambahan di editor kueri. Google SecOps terus menjalankan penelusuran Anda sebelumnya dan menjalankan penelusuran baru secara paralel.

  • Melihat hasil kueri: Scroll histori kueri dan pilih hasil penelusuran dalam waktu 24 jam setelah menjalankan kueri. Klik Histori, lalu pilih salah satu kueri Anda dari daftar.

    Kueri yang sedang berlangsung ditampilkan dengan ikon status melingkar. Kueri yang selesai ditampilkan dengan ikon tanda centang hijau, beserta penghitung yang menunjukkan jumlah peristiwa yang ditampilkan oleh kueri. Klik kueri yang selesai untuk menampilkan hasilnya. Hasil ini di-cache dan hanya menyertakan data yang tersedia pada waktu kueri dijalankan. Namun, Anda dapat mengklik dalam cache Jalankan ulang untuk menjalankan kueri terhadap data terbaru. Run baru ini ditambahkan ke histori penelusuran dan hasilnya tersedia saat kueri selesai.

  • Bagikan hasil kueri: Salin URL hasil kueri untuk membagikannya kepada pengguna lain.

    Saat hasil penelusuran disimpan, cakupan RBAC pengguna yang menjalankan penelusuran disimpan bersama hasil penelusuran tersebut. Saat hasil ini dilihat oleh pengguna lain, cakupan RBAC pelihat dibandingkan dengan cakupan yang disimpan. Jika cakupan penonton lebih ketat, error akan ditampilkan dan mereka tidak akan dapat melihat hasilnya.

    Hasil penelusuran yang disimpan akan berakhir 24 jam setelah kueri dijalankan. Namun, kueri penelusuran Anda masih tersedia di panel Histori. Anda dapat menjalankan ulang penelusuran dan hasilnya akan tersedia hingga 24 jam setelah waktu eksekusi kueri.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.