UDM 検索の期間を使用してクエリを管理する

以下でサポートされています。

Google Security Operations を使用すると、アカウントに保存されている最大 1 年間の企業データを検索できます。また、複数の UDM 検索クエリを実行し、後でそれらのクエリの結果を取得して共有できるツールも含まれています。

UDM を使用して最大 1 年間のデータを検索する

UDM 検索では、最大 1 年間の UDM データを検索できます。UDM 検索の期間を調整する手順は次のとおりです。

  1. [Investigation] > [SIEM Search] に移動します。
  2. 時間選択フィールドをクリックして、時間選択ダイアログを開きます。
  3. [範囲] タブ(デフォルトのタブ)で、[直近 5 分間]~[昨年] のいずれかのオプションを選択して期間を調整します。
  4. [開始] フィールドと [終了] フィールドを使用して、より具体的な期間(たとえば、11 月の最初の 2 週間)を選択します。
  5. 開始値と終了値を指定して、時刻を調整します(例: 03:00 と 08:30)。
  6. [適用] をクリックし、[検索を実行] をクリックします。

検索の同時実行と検索クエリの管理

同時検索と保存された結果には、検索履歴機能が有効になっている必要があります。検索履歴がオンになっていることを確認する手順は次のとおりです。

  1. [Investigation] > [SIEM Search] に移動します。

  2. [履歴] をクリックします。 [検索履歴が無効になっています] というメッセージが表示された場合は、次の手順に進みます。このメッセージが表示されない場合は、アカウントで検索履歴がすでに有効になっています。

  3. more_vert をクリックし、[検索履歴を有効にする] を選択します。

検索クエリを管理する

複数の UDM 検索を実行すること、以前のクエリ検索結果を取得すること、クエリ結果をチームの他のメンバーと共有することが可能です。

  • 複数の UDM 検索を実行する: 検索クエリの処理中に、クエリエディタで追加の検索を実行できます。Google SecOps は、以前の検索を継続して実行し、新しい検索を並行して実行します。

  • クエリ結果を表示する: クエリ履歴をスクロールして、クエリの実行から 24 時間以内の検索結果を選択します。[履歴] をクリックし、リストからクエリを 1 つ選択します。

    進行中のクエリは、円形のステータス アイコンで表示されます。完了したクエリは、緑色のチェックマーク アイコンとともに、クエリによって返されたイベントの数を示すカウンタが表示されます。完了したクエリをクリックして、結果を表示します。これらの結果はキャッシュに保存され、クエリの実行時に利用可能なデータのみが含まれます。ただし、[キャッシュに保存済み] [再実行] をクリックすると、最新のデータに対してクエリを実行できます。この新しい実行は検索履歴に追加され、クエリが完了すると結果が利用可能になります。

  • クエリ結果を共有する: クエリ結果の URL をコピーして、他のユーザーと共有します。

    検索結果が保存されると、検索を実行したユーザーの RBAC スコープも一緒に保存されます。これらの結果が別のユーザーによって表示されると、閲覧者の RBAC スコープが保存されたスコープと比較されます。閲覧者のスコープがより制限されている場合は、エラーが表示され、結果を表示できません。

    保存された検索結果は、クエリの実行後 24 時間で期限切れになります。ただし、検索クエリは [履歴] ペインで引き続き使用できます。検索を再実行できます。結果は、クエリの実行時間から最大 24 時間利用できます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。