Usar o período da pesquisa UDM e gerenciar consultas

Compatível com:

Com o Google Security Operations, você pode pesquisar até um ano de dados corporativos armazenados na sua conta. Ele também inclui várias ferramentas que permitem executar várias consultas de pesquisa da UDM e, depois, recuperar e compartilhar os resultados dessas consultas.

Use a UDM para pesquisar até um ano de dados

É possível fazer uma pesquisa UDM com até um ano de dados. Para ajustar o período da pesquisa da UDM, siga estas etapas:

  1. Acesse Investigação > Pesquisa do SIEM.
  2. Clique no campo do seletor de tempo para abrir a caixa de diálogo.
  3. Na guia Período (a padrão), ajuste o período selecionando uma das opções de Últimos 5 minutos a Último ano.
  4. Use os campos Início e Término para escolher um período mais específico (por exemplo, as duas primeiras semanas de novembro).
  5. Ajuste os horários selecionando valores específicos de início e término, por exemplo, 03:00 e 08:30.
  6. Clique em Aplicar e em Executar pesquisa.

Fazer pesquisas simultâneas e gerenciar consultas de pesquisa

Para fazer pesquisas simultâneas e armazenar resultados, o recurso de histórico de pesquisa precisa estar ativo. Para garantir que o histórico de pesquisa esteja ativado, siga estas etapas:

  1. Acesse Investigação > Pesquisa do SIEM.

  2. Clique em Histórico. Se a mensagem O histórico de pesquisa está desativado aparecer, siga para a próxima etapa. Se essa mensagem não aparecer, o Histórico de pesquisa já está ativado na sua conta.

  3. Clique em more_vert e selecione Ativar o histórico de pesquisa.

Gerenciar consultas de pesquisa

Você pode executar várias pesquisas da UDM, recuperar resultados de pesquisas de consultas anteriores e compartilhar os resultados com outros membros da equipe:

  • Executar várias pesquisas do UDM: enquanto uma consulta de pesquisa está em andamento, é possível executar outras pesquisas no editor de consultas. O Google SecOps continua executando suas pesquisas anteriores e as novas em paralelo.

  • Ver resultados da consulta: role o histórico de consultas e selecione os resultados da pesquisa em até 24 horas após a execução de uma consulta. Clique em Histórico e selecione uma das suas consultas na lista.

    As consultas em andamento são mostradas com um ícone de status circular. As consultas concluídas são mostradas com um ícone de marca de seleção verde e um contador que indica o número de eventos retornados pela consulta. Clique em uma consulta concluída para mostrar os resultados. Esses resultados são armazenados em cache e incluem apenas os dados disponíveis durante a execução da consulta. No entanto, é possível clicar em em cache Executar novamente para executar a consulta com os dados mais recentes. Essa nova execução é adicionada ao histórico de pesquisa, e os resultados ficam disponíveis quando a consulta é concluída.

  • Compartilhar resultados da consulta: copie o URL dos resultados da consulta para compartilhar com outros usuários.

    Quando os resultados da pesquisa são armazenados, os escopos RBAC do usuário que executou a pesquisa também são armazenados. Quando esses resultados são visualizados por outro usuário, o escopo de RBAC do leitor é comparado aos escopos armazenados. Se os escopos do leitor forem mais restritivos, um erro será exibido e ele não poderá ver os resultados.

    Os resultados da pesquisa armazenada expiram 24 horas após a execução de uma consulta. No entanto, sua consulta de pesquisa ainda está disponível no painel Histórico. Você pode executar as pesquisas novamente, e os resultados ficam disponíveis por até 24 horas após a execução da consulta.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.