UDM 검색 기간 사용 및 쿼리 관리

다음에서 지원:

Google Security Operations를 사용하면 계정에 저장된 최대 1년 분량의 회사 데이터를 검색할 수 있습니다. 또한 여러 UDM 검색어를 실행하고 나중에 이러한 검색어의 결과를 검색하고 공유할 수 있는 여러 도구가 포함되어 있습니다.

UDM을 사용하여 최대 1년간의 데이터 검색

최대 1년 동안의 UDM 데이터에 대해 UDM 검색을 실행할 수 있습니다. UDM 검색 기간을 조정하려면 다음 단계를 완료하세요.

  1. 조사 > SIEM 검색으로 이동합니다.
  2. 시간 선택기 필드를 클릭하여 시간 선택기 대화상자를 엽니다.
  3. 범위 탭 (기본 탭)에서 지난 5분부터 지난 1년까지의 옵션 중 하나를 선택하여 기간을 조정합니다.
  4. 시작종료 필드를 사용하여 더 구체적인 기간 (예: 11월 첫 2주)을 선택합니다.
  5. 예를 들어 03:00과 08:30과 같은 특정 시작 값과 종료 값을 선택하여 시간을 조정합니다.
  6. 적용을 클릭한 다음 검색 실행을 클릭합니다.

동시 검색 실행 및 검색어 관리

동시 검색 및 저장된 결과를 사용하려면 검색 기록 기능이 활성화되어 있어야 합니다. 검색 기록이 사용 설정되어 있는지 확인하려면 다음 단계를 완료하세요.

  1. 조사 > SIEM 검색으로 이동합니다.

  2. 기록을 클릭합니다. 검색 기록이 사용 중지됨 메시지가 표시되면 다음 단계로 진행합니다. 이 메시지가 표시되지 않으면 계정에 검색 기록이 이미 사용 설정되어 있는 것입니다.

  3. more_vert 를 클릭하고 검색 기록 선택을 선택합니다.

검색어 관리

여러 UDM 검색을 실행하고, 이전 쿼리 검색 결과를 검색하고, 쿼리 결과를 팀의 다른 구성원과 공유할 수 있습니다.

  • 여러 UDM 검색 실행: 검색어가 진행되는 동안 쿼리 편집기에서 추가 검색을 실행할 수 있습니다. Google SecOps는 이전 검색을 계속 실행하고 새 검색을 병렬로 실행합니다.

  • 쿼리 결과 보기: 쿼리 기록을 스크롤하고 쿼리를 실행한 후 24시간 이내에 검색 결과를 선택합니다. 기록을 클릭하고 목록에서 쿼리 중 하나를 선택합니다.

    진행 중인 쿼리는 원형 상태 아이콘과 함께 표시됩니다. 완료된 쿼리는 녹색 체크표시 아이콘과 함께 쿼리에서 반환된 이벤트 수를 나타내는 카운터가 표시됩니다. 완료된 쿼리를 클릭하여 결과를 표시합니다. 이러한 결과는 캐시되며 쿼리 실행 시간에 사용할 수 있는 데이터만 포함됩니다. 하지만 캐시됨 다시 실행을 클릭하여 최신 데이터에 대해 쿼리를 실행할 수 있습니다. 이 새로운 실행은 검색 기록에 추가되며 쿼리가 완료되면 결과를 사용할 수 있습니다.

  • 쿼리 결과 공유: 쿼리 결과의 URL을 복사하여 다른 사용자와 공유합니다.

    검색 결과가 저장되면 검색을 실행한 사용자의 RBAC 범위가 함께 저장됩니다. 다른 사용자가 이러한 결과를 볼 때 뷰어의 RBAC 범위가 저장된 범위와 비교됩니다. 뷰어의 범위가 더 제한적인 경우 오류가 표시되고 결과를 볼 수 없습니다.

    저장된 검색 결과는 쿼리가 실행된 후 24시간이 지나면 만료됩니다. 하지만 검색어는 기록 창에서 계속 확인할 수 있습니다. 검색을 다시 실행할 수 있으며, 쿼리 실행 시간 후 최대 24시간 동안 결과를 사용할 수 있습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.