使用 UDM 搜尋時間範圍及管理查詢

Google Security Operations 可讓您搜尋帳戶中儲存的企業資料，最長可回溯一年。此外，這項功能還提供多種工具，可讓您執行多個 UDM 搜尋查詢，並在稍後擷取及分享這些查詢的結果。

使用 UDM 搜尋最多一年的資料

您最多可以搜尋過去一年的 UDM 資料。如要調整 UDM 搜尋的時間範圍，請完成下列步驟：

1. 依序前往「調查」> SIEM 搜尋」。
2. 按一下時間選取器欄位，開啟時間選取器對話方塊。
3. 在「範圍」分頁 (預設分頁) 中，選取「過去 5 分鐘」到「過去 1 年」的任一選項，調整時間範圍。
4. 使用「開始」和「結束」欄位選擇更具體的日期範圍 (例如 11 月的前兩週)。
5. 選取特定開始和結束值 (例如 03:00 和 08:30)，即可調整時間。
6. 依序點選「套用」和「執行搜尋」。

執行並行搜尋及管理搜尋查詢

如要同時搜尋及儲存結果，必須啟用搜尋記錄功能。如要確認搜尋記錄已開啟，請完成下列步驟：

1. 依序前往「調查」> SIEM 搜尋」。

2. 按一下「記錄」。如果畫面顯示「搜尋記錄已停用」訊息，請繼續下一個步驟。如果沒有看到這則訊息，表示帳戶已啟用搜尋記錄。

3. 按一下 more_vert 並選取「啟用搜尋記錄」。

管理搜尋查詢

您可以執行多項 UDM 搜尋、擷取先前的查詢搜尋結果，以及與團隊其他成員分享查詢結果：

• 執行多項 UDM 搜尋：搜尋查詢進行期間，您可以在查詢編輯器中執行其他搜尋。Google SecOps 會繼續執行先前的搜尋作業，並同時執行新的搜尋作業。

• 查看查詢結果：捲動瀏覽查詢記錄，然後選取在執行查詢後 24 小時內的搜尋結果。按一下「記錄」，然後從清單中選取一項查詢。

  進行中的查詢會顯示圓形狀態圖示。完成的查詢會顯示綠色勾號圖示，以及表示查詢傳回事件數量的計數器。按一下已完成的查詢，即可顯示結果。這些結果會經過快取處理，且只包含查詢執行時可用的資料。不過，您可以點選「已快取」 重新執行，針對最新資料執行查詢。這項新執行作業會新增至搜尋記錄，查詢完成後即可查看結果。

• 分享查詢結果：複製查詢結果的網址，即可與其他使用者分享。

  儲存搜尋結果時，系統會連同執行搜尋的使用者 RBAC 範圍一併儲存。當其他使用者查看這些結果時，系統會比較檢視者的 RBAC 範圍與儲存的範圍。如果檢視者的範圍較為嚴格，系統會顯示錯誤訊息，且檢視者無法查看結果。

  查詢執行完畢後，儲存的搜尋結果會在 24 小時後失效。不過，搜尋查詢仍會保留在「記錄」窗格中。您可以重新執行搜尋，查詢執行時間後最多 24 小時內，系統都會提供結果。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。