使用 UDM 搜索时间范围和管理查询

支持的平台:

借助 Google Security Operations,您可以搜索账号中存储的长达一年的企业数据。它还包含一些工具,可让您运行多个 UDM 搜索查询,并稍后检索和共享这些查询的结果。

使用 UDM 搜索长达一年的数据

您最多可对过去一年内的 UDM 数据执行 UDM 搜索。如需调整 UDM 搜索的时间段,请完成以下步骤:

  1. 依次前往调查 > SIEM 搜索
  2. 点击时间选择器字段以打开时间选择器对话框。
  3. 范围标签页(默认标签页)中,选择过去 5 分钟去年之间的任意选项,以调整时间范围。
  4. 使用开始结束字段选择更具体的日期范围(例如,11 月的前两周)。
  5. 通过选择具体的开始值和结束值(例如 03:00 和 08:30)来调整时间。
  6. 点击应用,然后点击运行搜索

运行并发搜索和管理搜索查询

若要进行并发搜索和存储搜索结果,则需要启用搜索记录功能。如需确保搜索记录处于开启状态,请完成以下步骤:

  1. 依次前往调查 > SIEM 搜索

  2. 点击历史记录。如果系统显示搜索记录已停用消息,请继续执行下一步。如果您没有看到此消息,则表示您的账号已启用搜索记录

  3. 点击 more_vert ,然后选择启用搜索记录

管理搜索查询

您可以运行多个 UDM 搜索、检索之前的查询搜索结果,以及与团队中的其他成员分享您的查询结果:

  • 运行多个 UDM 搜索:在搜索查询进行期间,您可以在查询编辑器中运行其他搜索。Google 安全运营团队会继续运行您之前的搜索,并并行运行新搜索。

  • 查看查询结果:滚动查询历史记录,并在运行查询后的 24 小时内选择搜索结果。点击历史记录,然后从列表中选择一个查询。

    正在进行的查询会显示圆形状态图标。已完成的查询会显示一个绿色对勾标记图标,以及一个用于指示查询返回的事件数的计数器。点击已完成的查询即可显示结果。这些结果会缓存,并且仅包含查询运行时可用的数据。不过,您可以点击 缓存 重新运行,以针对最新数据运行查询。此新运行作业会添加到搜索记录中,并且在查询完成后,系统会提供结果。

  • 分享查询结果:复制查询结果的网址,以便与其他用户分享。

    存储搜索结果时,系统会将执行搜索的用户的 RBAC 权限范围一并存储。当其他用户查看这些结果时,系统会将查看者的 RBAC 权限范围与存储的权限范围进行比较。如果查看者的范围更为严格,系统会显示错误消息,并且他们将无法查看结果。

    存储的搜索结果会在运行查询 24 小时后过期。不过,您的搜索查询仍会显示在历史记录窗格中。您可以重新运行搜索,并且结果在查询运行时间后的最多 24 小时内可用。