Utilizzare l'intervallo di tempo della ricerca UDM e gestire le query

Supportato in:

Google Security Operations ti consente di eseguire ricerche fino a un anno di dati aziendali memorizzati nel tuo account. Include anche una serie di strumenti che consentono di eseguire più query di ricerca UDM e successivamente recuperare e condividere i risultati di queste query.

Utilizzare UDM per cercare fino a un anno di dati

Puoi eseguire una ricerca UDM su un massimo di un anno di dati UDM. Per regolare il periodo di tempo per la ricerca UDM, completa i seguenti passaggi:

  1. Vai a Indagine > Ricerca SIEM.
  2. Fai clic sul campo del selettore dell'ora per aprire la finestra di dialogo del selettore dell'ora.
  3. Nella scheda Intervallo (la scheda predefinita), modifica l'intervallo di tempo selezionando una delle opzioni da Ultimi 5 minuti a Ultimo anno.
  4. Utilizza i campi Inizio e Fine per scegliere un intervallo di date più specifico (ad esempio, le prime due settimane di novembre).
  5. Modifica gli orari selezionando valori di inizio e di fine specifici, ad esempio 03:00 e 08:30.
  6. Fai clic su Applica e poi su Esegui ricerca.

Esegui ricerche simultanee e gestisci le query di ricerca

Le ricerche simultanee e i risultati archiviati richiedono l'attivazione della funzionalità della cronologia delle ricerche. Per assicurarti che la cronologia delle ricerche sia attiva, completa i seguenti passaggi:

  1. Vai a Indagine > Ricerca SIEM.

  2. Fai clic su Cronologia. Se viene visualizzato il messaggio La cronologia delle ricerche è disattivata, vai al passaggio successivo. Se non vedi questo messaggio, significa che la cronologia della Ricerca è già attivata per il tuo account.

  3. Fai clic su more_vert e seleziona Attiva la cronologia delle ricerche.

Gestisci query di ricerca

Puoi eseguire più ricerche UDM, recuperare i risultati di ricerca delle query precedenti e condividere i risultati delle query con altri membri del tuo team:

  • Eseguire più ricerche UDM: mentre è in corso una query di ricerca, puoi eseguire ricerche aggiuntive nell'editor di query. Google SecOps continua a eseguire le ricerche precedenti ed esegue le nuove ricerche in parallelo.

  • Visualizza i risultati della query: scorri la cronologia delle query e seleziona i risultati di ricerca entro 24 ore dall'esecuzione di una query. Fai clic su Cronologia e seleziona una delle tue query dall'elenco.

    Le query in corso vengono visualizzate con un'icona di stato circolare. Le query completate vengono visualizzate con un'icona con un segno di spunta verde, insieme a un contatore che indica il numero di eventi restituiti dalla query. Fai clic su una query completata per visualizzare i risultati. Questi risultati vengono memorizzati nella cache e includono solo i dati disponibili al momento dell'esecuzione della query. Tuttavia, puoi fare clic su memorizzato nella cache Esegui di nuovo per eseguire la query sui dati più recenti. Questa nuova esecuzione viene aggiunta alla cronologia delle ricerche e i risultati vengono resi disponibili al termine della query.

  • Condividi risultati query: copia l'URL dei risultati della query per condividerli con altri utenti.

    Quando i risultati di ricerca vengono archiviati, vengono memorizzati anche gli ambiti RBAC dell'utente che ha eseguito la ricerca. Quando questi risultati vengono visualizzati da un altro utente, l'ambito RBAC del visualizzatore viene confrontato con gli ambiti archiviati. Se gli ambiti del visualizzatore sono più restrittivi, viene visualizzato un errore e non potrà visualizzare i risultati.

    I risultati di ricerca archiviati scadono 24 ore dopo l'esecuzione di una query. Tuttavia, la tua query di ricerca è ancora disponibile nel riquadro Cronologia. Puoi eseguire di nuovo le ricerche e i risultati sono disponibili fino a 24 ore dopo il tempo di esecuzione della query.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.