Use o intervalo de tempo da pesquisa da UDM e faça a gestão das consultas

Compatível com:

As operações de segurança da Google permitem-lhe pesquisar até um ano de dados empresariais armazenados na sua conta. Também inclui várias ferramentas que lhe permitem executar várias consultas de pesquisa da UDM e, posteriormente, obter e partilhar os resultados dessas consultas.

Use o UDM para pesquisar até um ano de dados

Pode fazer uma pesquisa de UDM até um ano dos seus dados de UDM. Para ajustar o período da sua pesquisa de UDM, conclua os seguintes passos:

  1. Aceda a Investigação > Pesquisa SIEM.
  2. Clique no campo do seletor de horas para abrir a caixa de diálogo do seletor de horas.
  3. No separador Intervalo (o separador predefinido), ajuste o intervalo de tempo selecionando qualquer uma das opções de Últimos 5 minutos a Último ano.
  4. Use os campos Início e Fim para escolher um intervalo de datas mais específico (por exemplo, as duas primeiras semanas de novembro).
  5. Ajuste as horas selecionando valores de início e de fim específicos, por exemplo, 03:00 e 08:30.
  6. Clique em Aplicar e, de seguida, em Executar pesquisa.

Executar pesquisas em simultâneo e gerir consultas de pesquisa

As pesquisas simultâneas e os resultados armazenados requerem que a funcionalidade de histórico de pesquisas esteja ativa. Para garantir que o histórico de pesquisas está ativado, conclua os seguintes passos:

  1. Aceda a Investigação > Pesquisa SIEM.

  2. Clique em Histórico. Se for apresentada a mensagem O histórico de pesquisa está desativado, avance para o passo seguinte. Se não vir esta mensagem, significa que o histórico de pesquisas já está ativado para a sua conta.

  3. Clique em more_vert e selecione Ativar histórico de pesquisas.

Faça a gestão das consultas de pesquisa

Pode executar várias pesquisas na UDM, obter resultados de pesquisas de consultas anteriores e partilhar os resultados das consultas com outros membros da sua equipa:

  • Executar várias pesquisas de UDM: enquanto uma consulta de pesquisa está em curso, pode executar pesquisas adicionais no editor de consultas. O Google SecOps continua a executar as suas pesquisas anteriores e executa as novas pesquisas em paralelo.

  • Ver resultados da consulta: percorra o histórico de consultas e selecione os resultados da pesquisa no prazo de 24 horas após a execução de uma consulta. Clique em Histórico e selecione uma das suas consultas na lista.

    As consultas em curso são apresentadas com um ícone de estado circular. As consultas concluídas são apresentadas com um ícone de marca de verificação verde, juntamente com um contador que indica o número de eventos devolvidos pela consulta. Clique numa consulta concluída para apresentar os resultados. Estes resultados são colocados em cache e incluem apenas os dados disponíveis no momento da execução da consulta. No entanto, pode clicar em em cache Executar novamente para executar a consulta com os dados mais recentes. Esta nova execução é adicionada ao histórico de pesquisas e os resultados são disponibilizados quando a consulta é concluída.

  • Partilhar resultados da consulta: copie o URL dos resultados da consulta para os partilhar com outros utilizadores.

    Quando os resultados da pesquisa são armazenados, os âmbitos do RBAC do utilizador que executou a pesquisa são armazenados com os mesmos. Quando estes resultados são vistos por outro utilizador, o âmbito do RBAC do visitante é comparado com os âmbitos armazenados. Se os âmbitos do visitante forem mais restritivos, é apresentado um erro e este não pode ver os resultados.

    Os resultados da pesquisa armazenados expiram 24 horas após a execução de uma consulta. No entanto, a sua consulta de pesquisa continua disponível no painel Histórico. Pode executar novamente as suas pesquisas e os resultados ficam disponíveis até 24 horas após o tempo de execução da consulta.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.