UDM-Suche

Unterstützt in:

Mit der UDM-Suchfunktion können Sie UDM-Ereignisse (Unified Data Model) und -Benachrichtigungen in Ihrer Google Security Operations-Instanz finden. Die UDM-Suche bietet eine Vielzahl von Suchoptionen, mit denen Sie sich leichter in Ihren UDM-Daten zurechtfinden. Sie können nach einzelnen UDM-Ereignissen und Gruppen von UDM-Ereignissen suchen, die mit freigegebenen Suchbegriffen verknüpft sind.

In Systemen, in denen die RBAC für Daten verwendet wird, sehen Sie nur Daten, die Ihren Bereichen entsprechen. Weitere Informationen finden Sie unter Auswirkungen der rollenbasierten Zugriffssteuerung auf die Google Suche.

Google Security Operations-Kunden können Benachrichtigungen auch über Connectors und webhooks aufnehmen. Sie können diese Benachrichtigungen auch über die UDM-Suche finden.

Weitere Informationen zu UDM finden Sie unter Logdaten als UDM formatieren und Liste der Felder für einheitliche Datenmodelle.

Wenn Sie auf die UDM-Suche von Google Security Operations zugreifen möchten, klicken Sie in der Navigationsleiste auf Suchen. Sie können auch über ein beliebiges Suchfeld in Google Security Operations auf die UDM-Suche zugreifen, indem Sie ein gültiges UDM-Feld eingeben und die Strg-Taste + Eingabetaste drücken.

Eine Liste aller gültigen UDM-Felder finden Sie unter Liste der Felder für einheitliche Datenmodelle.

UDM-Suche

Abbildung 1. UDM-Suche

Leere UDM-Suche

Abbildung 2. UDM-Suchfenster, das mit Strg + Eingabetaste geöffnet wird

Führen Sie die folgenden Schritte aus, um eine UDM-Suche in das Feld UDM-Suche einzugeben. Klicken Sie auf Suche ausführen, wenn Sie die UDM-Suche abgeschlossen haben. Auf der Benutzeroberfläche von Google Security Operations können Sie nur einen gültigen UDM-Suchausdruck eingeben. Sie können auch den Datenbereich für die Suche anpassen, indem Sie das Fenster für den Zeitraum öffnen.

Wenn Ihre Suche zu allgemein ist, gibt Google Security Operations eine Warnung zurück, dass nicht alle Suchergebnisse angezeigt werden können. Verringern Sie den Umfang der Suche und führen Sie sie noch einmal aus. Wenn eine Suche zu breit gefasst ist, gibt Google Security Operations die neuesten Ergebnisse bis zum Suchlimit zurück (eine Million Ereignisse und 1.000 Benachrichtigungen). Es gibt möglicherweise deutlich mehr Ereignisse und Benachrichtigungen, die übereinstimmen, aber derzeit nicht angezeigt werden. Berücksichtigen Sie dies bei der Analyse der Ergebnisse. Wir empfehlen, zusätzliche Filter anzuwenden und die ursprüngliche Suche so lange auszuführen, bis Sie unter dem Grenzwert liegen.

Auf der UDM-Suchergebnisseite werden die zehntausend neuesten Ergebnisse angezeigt. Sie können die Suchergebnisse filtern und verfeinern, um ältere Ergebnisse anzuzeigen. Das ist eine Alternative dazu, die UDM-Suche zu ändern und die Suche noch einmal auszuführen.

Datum und Suche ausführen

Abbildung 3. Suche ausführen

UDM-Abfragen basieren auf UDM-Feldern, die alle in der Liste der Felder für einheitliche Datenmodelle aufgeführt sind. Sie können UDM-Felder auch im Kontext von Suchanfragen aufrufen, indem Sie Filter oder die Suche in Rohlogs verwenden.

  1. Wenn Sie nach Ereignissen suchen möchten, geben Sie einen UDM-Feldnamen in das Suchfeld ein. Die Benutzeroberfläche bietet eine automatische Vervollständigung und zeigt gültige UDM-Felder an, die auf Ihren Eingaben basieren.

  2. Nachdem Sie ein gültiges UDM-Feld eingegeben haben, wählen Sie einen gültigen Operator aus. Auf der Benutzeroberfläche werden die gültigen Operatoren angezeigt, die für das von Ihnen eingegebene UDM-Feld verfügbar sind. Folgende Operatoren werden unterstützt:

    • <, >
    • <=, >=
    • =, !=
    • nocase – wird für Strings unterstützt

  3. Nachdem Sie ein gültiges UDM-Feld und einen gültigen Operator eingegeben haben, geben Sie die entsprechenden Protokolldaten ein, nach denen Sie suchen. Folgende Datentypen werden unterstützt:

    • Aufzählungswerte:Auf der Benutzeroberfläche wird eine Liste der gültigen Aufzählungswerte für ein bestimmtes UDM-Feld angezeigt.

      Beispiel (mit doppelten Anführungszeichen und in Großbuchstaben): metadata.event_type = "NETWORK_CONNECTION"

    • Zusätzliche Werte:Mit „field[key] = value“ können Sie in zusätzlichen und Labelfeldern nach Ereignissen suchen.

      Beispiel: additional.fields["key"]="value"

    • Boolesche Ausdrücke:Sie können true oder false verwenden. Bei allen Zeichen wird die Groß- und Kleinschreibung ignoriert und das Keyword wird nicht in Anführungszeichen gesetzt.

      Beispiel: network.dns.response = true

    • Ganzzahlen

      Beispiel: target.port = 443

    • Gleitkommawerte:Geben Sie für UDM-Felder vom Typ float einen Gleitkommawert wie 3.1 ein. Sie können auch eine Ganzzahl eingeben, z. B. 3, was dem Eingeben von 3.0 entspricht.

      Beispiel: security_result.about.asset.vulnerabilities.cvss_base_score = 3.1 oder security_result.about.asset.vulnerabilities.cvss_base_score = 3

    • Reguläre Ausdrücke:Der reguläre Ausdruck muss in Schrägstriche (/) gesetzt werden.

      Beispiel: principal.ip = /10.*/

      Weitere Informationen zu regulären Ausdrücken finden Sie auf der Seite zu regulären Ausdrücken.

    • Strings

      Beispiel (doppelte Anführungszeichen erforderlich): metadata.product_name = "Google Cloud VPC Flow Logs"

  4. Mit dem Operator nocase können Sie nach einer beliebigen Kombination aus Groß- und Kleinbuchstaben eines bestimmten Strings suchen:

    • principal.hostname != "http-server" nocase
    • principal.hostname = "JDoe" nocase
    • principal.hostname = /dns-server-[0-9]+/ nocase

  5. Umgekehrte Schrägstriche und doppelte Anführungszeichen in Strings müssen mit einem umgekehrten Schrägstrich maskiert werden. Beispiel:

    • principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
    • target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""

  6. Mithilfe von booleschen Ausdrücken können Sie den angezeigten Datenbereich weiter eingrenzen. In den folgenden Beispielen sind einige Arten von unterstützten booleschen Ausdrücken zu sehen. Es können boolesche Operatoren vom Typ AND, OR und NOT verwendet werden:

    • A AND B
    • A OR B
    • (A OR B) AND (B OR C) AND (C OR NOT D)

    Die folgenden Beispiele veranschaulichen, wie die tatsächliche Syntax aussehen könnte:

    Anmeldevorgänge auf dem Finanzserver: 

    metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"

    Beispiel für die Verwendung eines regulären Ausdrucks, um nach der Ausführung des psexec.exe-Tools unter Windows zu suchen. 

    target.process.command_line = /\bpsexec(.exe)?\b/ nocase

    Beispiel für die Verwendung des Operators „größer als“ (>), um nach Verbindungen zu suchen, bei denen mehr als 10 MB an Daten gesendet wurden. 

    metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000

    Beispiel für die Suche mit mehreren Bedingungen nach Winword, das cmd.exe oder powershell.exe startet 

        metadata.event_type = "PROCESS_LAUNCH" and
    principal.process.file.full_path = /winword/ and
    (target.process.file.full_path = /cmd.exe/ or
    target.process.file.full_path = /powershell.exe/)

  7. Sie können die UDM-Suche auch verwenden, um in den Feldern „Zusätzlich“ und „Label“ nach bestimmten Schlüssel/Wert-Paaren zu suchen.

    Die Felder „Zusätzlich“ und „Label“ dienen als anpassbare „Alles-in-einem-Feld“ für Ereignisdaten, die nicht in ein standardmäßiges UDM-Feld passen. Zusätzliche Felder können mehrere Schlüssel/Wert-Paare enthalten. Labelfelder dürfen nur ein einzelnes Schlüssel/Wert-Paar enthalten. Jede Instanz des Felds enthält jedoch nur einen einzelnen Schlüssel und einen einzelnen Wert. Der Schlüssel muss in die Klammern gesetzt werden und der Wert muss sich auf der rechten Seite befinden.

    In den folgenden Beispielen wird gezeigt, wie Sie nach Ereignissen mit bestimmten Schlüssel/Wert-Paaren suchen: 

        additional.fields["pod_name"] = "kube-scheduler"
    metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"
     Im folgenden Beispiel wird gezeigt, wie der AND-Operator bei Suchanfragen nach Schlüssel/Wert-Paaren verwendet wird: 
        additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"

    Mit der folgenden Syntax können Sie nach allen Ereignissen suchen, die den angegebenen Schlüssel enthalten, unabhängig vom Wert. 

        additional.fields["pod_name"] != ""
     Sie können auch reguläre Ausdrücke und den Operator nocase verwenden: 
        additional.fields["pod_name"] = /br/
    additional.fields["pod_name"] = bar nocase

  8. Sie können auch Block- und einzeilige Kommentare verwenden.

    Im folgenden Beispiel wird gezeigt, wie ein Blockkommentar verwendet wird: 

        additional.fields["pod_name"] = "kube-scheduler"
    /*
    Block comments can span
    multiple lines.
    */
    AND additional.fields["pod_name1"] = "kube-scheduler1"

    Im folgenden Beispiel wird gezeigt, wie ein Einzeilenkommentar verwendet wird: 

        additional.fields["pod_name"] != "" // my single-line comment

  9. Klicken Sie auf Suche ausführen, um die UDM-Suche auszuführen und die Ergebnisse anzuzeigen.

  10. Ereignisse werden auf der Seite UDM-Suche in der Tabelle „Ereigniszeitleiste“ angezeigt. Sie können die Ergebnisse weiter eingrenzen, indem Sie manuell oder über die Benutzeroberfläche zusätzliche UDM-Felder hinzufügen.

In gruppierten Feldern suchen

Gruppierte Felder sind Aliasse für Gruppen ähnlicher UDM-Felder. So können Sie mehrere UDM-Felder gleichzeitig abfragen, ohne jedes Feld einzeln eingeben zu müssen.

Im folgenden Beispiel wird gezeigt, wie Sie eine Abfrage eingeben, um die gängigen UDM-Felder abzugleichen, die die angegebene IP-Adresse enthalten könnten: 

    ip = "1.2.3.4"

Sie können ein gruppiertes Feld mit einem regulären Ausdruck und dem Operator nocase abgleichen. Referenzlisten werden ebenfalls unterstützt. Gruppierte Felder können auch in Kombination mit regulären UDM-Feldern verwendet werden, wie im folgenden Beispiel gezeigt: 

    ip = "5.6.7.8" AND metadata.event_type = "NETWORK_CONNECTION"

Für gruppierte Felder gibt es einen separaten Bereich unter Aggregationen.

Typen von gruppierten UDM-Feldern

Sie können in allen folgenden gruppierten UDM-Feldern suchen:

Name des gruppierten Felds Verknüpfte UDM-Felder
Domain about.administrative_domain
about.asset.network_domain
network.dns.questions.name
network.dns_domain
principal.administrative_domain
principal.asset.network_domain
target.administrative_domain
target.asset.hostname
target.asset.network_domain
target.hostname
E-Mail intermediary.user.email_addresses
network.email.from
network.email.to
principal.user.email_addresses
security_result.about.user.email_addresses
target.user.email_addresses
file_path principal.file.full_path
principal.process.file.full_path
principal.process.parent_process.file.full_path
target.file.full_path
target.process.file.full_path
target.process.parent_process.file.full_path
Hash about.file.md5
about.file.sha1
about.file.sha256
principal.process.file.md5
principal.process.file.sha1
principal.process.file.sha256
security_result.about.file.sha256
target.file.md5
target.file.sha1
target.file.sha256
target.process.file.md5
target.process.file.sha1
target.process.file.sha256
Hostname intermediary.hostname
observer.hostname
principal.asset.hostname
principal.hostname
src.asset.hostname
src.hostname
target.asset.hostname
target.hostname
ip intermediary.ip
observer.ip
principal.artifact.ip
principal.asset.ip
principal.ip
src.artifact.ip
src.asset.ip
src.ip
target.artifact.ip
target.asset.ip
target.ip
Namespace principal.namespace
src.namespace
target.namespace
process_id principal.process.parent_process.pid
principal.process.parent_process.product_specific_process_id
principal.process.pid
principal.process.product_specific_process_id
target.process.parent_process.pid
target.process.parent_process.product_specific_process_id
target.process.pid
target.process.product_specific_process_id
Nutzer about.user.userid
observer.user.userid
principal.user.user_display_name
principal.user.userid
principal.user.windows_sid
src.user.userid
target.user.user_display_name
target.user.userid
target.user.windows_sid

UDM-Feld für Suchanfrage finden

Wenn Sie eine UDM-Suchanfrage schreiben, wissen Sie möglicherweise nicht, welches UDM-Feld Sie einschließen sollen. Mit der UDM-Suche können Sie schnell einen UDM-Feldnamen finden, der einen Textstring im Namen enthält oder in dem ein bestimmter Stringwert gespeichert ist. Sie ist nicht für die Suche nach anderen Datentypen wie Bytes, Booleschen oder numerischen Werten vorgesehen. Sie wählen ein oder mehrere von UDM Lookup zurückgegebene Ergebnisse als Ausgangspunkt für eine UDM-Suchabfrage aus.

So verwenden Sie die UDM-Suche:

  1. Geben Sie auf der Seite UDM-Suche einen Textstring in das Feld Nach UDM-Feldern anhand des Werts suchen ein und klicken Sie dann auf UDM-Suche.

  2. Wählen Sie im Dialogfeld UDM-Suche eine oder mehrere der folgenden Optionen aus, um den Umfang der zu durchsuchenden Daten anzugeben:

    • UDM-Felder: Sie können nach Text in UDM-Feldnamen suchen, z. B. network.dns.questions.name oder principal.ip.
    • Werte: Hier können Sie nach Text in den Werten suchen, die UDM-Feldern zugewiesen sind, z. B. dns oder google.com.

  3. Geben Sie den String in das Suchfeld ein oder ändern Sie ihn. Während Sie tippen, werden Suchergebnisse im Dialogfeld angezeigt.

    Die Ergebnisse unterscheiden sich geringfügig, wenn Sie in UDM-Feldern oder Werten suchen. Wenn Sie in Werte nach Text suchen, werden die Ergebnisse so angezeigt:

    • Wenn der String am Anfang oder Ende des Werts gefunden wird, wird er im Ergebnis zusammen mit dem UDM-Feldnamen und dem Zeitpunkt der Datenaufnahme hervorgehoben.
    • Wenn der Textstring an anderer Stelle im Wert gefunden wird, wird im Ergebnis der Name des UDM-Felds und der Text Mögliche Übereinstimmung des Werts angezeigt.

    In Werten suchen

    Innerhalb von Werten in der UDM-Lookup-Funktion suchen

    • Wenn Sie in UDM-Feldnamen nach einem Textstring suchen, gibt die UDM-Suche eine genaue Übereinstimmung an, die an einer beliebigen Stelle im Namen gefunden wurde.

    In UDM-Feldern suchen

    In UDM-Feldern in UDM-Lookup suchen

  4. In der Ergebnisliste haben Sie folgende Möglichkeiten:

    • Klicken Sie auf den Namen eines UDM-Felds, um eine Beschreibung dieses Felds aufzurufen.

    • Wählen Sie ein oder mehrere Ergebnisse aus, indem Sie das Kästchen links neben dem Namen jedes UDM-Felds anklicken.

    • Klicken Sie auf die Schaltfläche Zurücksetzen, um die Auswahl aller ausgewählten Felder in der Ergebnisliste aufzuheben.

  5. Wenn Sie die ausgewählten Ergebnisse dem Feld UDM-Suche anhängen möchten, klicken Sie auf die Schaltfläche Zur Suche anhängen.

    Sie können das ausgewählte Ergebnis auch über die Schaltfläche UDM kopieren kopieren, das Dialogfeld UDM-Suche schließen und den Suchanfragestring in das Feld UDM-Suche einfügen.

    Google Security Operations wandelt das ausgewählte Ergebnis in einen UDM-Suchabfragestring um, der als UDM-Feldname oder als Name-Wert-Paar verwendet wird. Wenn Sie mehrere Ergebnisse anhängen, wird jedes Ergebnis mit dem Operator OR an das Ende einer vorhandenen Abfrage im UDM-Suchfeld angehängt.

    Der angehängte Abfragestring unterscheidet sich je nach Art der Übereinstimmung, die von der UDM-Suche zurückgegeben wird.

    • Wenn das Ergebnis mit einem Textstring in einem UDM-Feldnamen übereinstimmt, wird der vollständige UDM-Feldname an die Abfrage angehängt. Hier ein Beispiel:

      principal.artifact.network.dhcp.client_hostname

    • Wenn das Ergebnis mit einem Textstring am Anfang oder Ende eines Werts übereinstimmt, enthält das Name-Wert-Paar den Namen des UDM-Felds und den vollständigen Wert im Ergebnis. Beispiele:

      metadata.log_type = "PCAP_DNS"

      network.dns.answers.name = "dns-A901F3j.hat.example.com"

    • Wenn das Ergebnis den Text Mögliche Übereinstimmung mit Wert enthält, enthält das Name/Wert-Paar den Namen des UDM-Felds und einen regulären Ausdruck mit dem Suchbegriff. Hier ein Beispiel:

      principal.process.file.full_path = /google/ NOCASE

  6. Bearbeiten Sie die UDM-Suchanfrage so, dass sie Ihrem Anwendungsfall entspricht. Der von der UDM-Suche generierte Abfragestring ist ein Ausgangspunkt für das Schreiben einer vollständigen UDM-Suchanfrage.

Zusammenfassung des UDM-Lookup-Verhaltens

In diesem Abschnitt finden Sie weitere Informationen zu den UDM-Suchfunktionen.

  • Bei der UDM-Suche werden Daten ab dem 10. August 2023 berücksichtigt. Daten, die vor diesem Datum aufgenommen wurden, werden nicht durchsucht. Es werden Ergebnisse zurückgegeben, die in nicht angereicherten UDM-Feldern gefunden wurden. Es werden keine Übereinstimmungen für angereicherte Felder zurückgegeben. Informationen zu angereicherten und nicht angereicherten Feldern finden Sie im Hilfeartikel Ereignisse in der Ereignisanzeige ansehen.
  • Bei Suchanfragen mit UDM-Lookup wird die Groß- und Kleinschreibung nicht berücksichtigt. Der Ausdruck hostname gibt dasselbe Ergebnis zurück wie HostName.
  • Bindestrich (-) und Unterstrich (_) in einem Abfragetextstring werden bei der Suche nach Werten ignoriert. Sowohl der Textstring dns-l als auch dnsl geben den Wert dns-l zurück.

  • Bei der Suche nach Werten gibt die UDM-Suche in den folgenden Fällen keine Übereinstimmungen zurück:

    Übereinstimmungen in den folgenden UDM-Feldern:
    • metadata.product_log_id
    • network.session_id
    • security_result.rule_id
    • network.parent_session_id
    Übereinstimmungen in UDM-Feldern mit einem vollständigen Pfad, der auf einen der folgenden Werte endet:
    • .pid
      Beispiel: target.process.pid.
    • .asset_id
      Beispiel: principal.asset_id.
    • .product_specific_process_id
      Beispiel: principal.process.product_specific_process_id.
    • .resource.id
      Beispiel: principal.resource.id.

  • Bei der Suche nach Werten wird in der UDM-Suche die Meldung Mögliche Übereinstimmung mit Wert im Ergebnis angezeigt, wenn in den folgenden Fällen eine Übereinstimmung gefunden wird:

    Übereinstimmungen in den folgenden UDM-Feldern:
    • metadata.description
    • security_result.description
    • security_result.detection_fields.value
    • security_result.summary
    • network.http.user_agent
    Stimmt in Feldern mit einem vollständigen Pfad überein, der auf einen der folgenden Werte endet:
    • .command_line
      Beispiel: principal.process.command_line.
    • .file.full_path
      Beispiel: principal.process.file.full_path.
    • .labels.value
      Beispiel: src.labels.value.
    • .registry.registry_key
      Beispiel: principal.registry.registry_key.
    • .url
      Beispiel: principal.url.
    Übereinstimmt in Feldern mit einem vollständigen Pfad, der mit den folgenden Werten beginnt: additional.fields.value.
    Beispiel: additional.fields.value.null_value.

Wenn Sie Benachrichtigungen aufrufen möchten, klicken Sie rechts neben dem Tab Ereignisse auf der Seite UDM-Suche auf den Tab Benachrichtigungen.

Wie Benachrichtigungen angezeigt werden

Das Google Security Operations-Team vergleicht die in der UDM-Suche zurückgegebenen Ereignisse mit Ereignissen, die für Benachrichtigungen in der Kundenumgebung vorhanden sind. Wenn ein Suchanfrageereignis mit einem Ereignis in einer Benachrichtigung übereinstimmt, wird es in der Benachrichtigungszeitachse und in der zugehörigen Benachrichtigungstabelle angezeigt.

Definition von Ereignissen und Benachrichtigungen

Ein Ereignis wird aus einer Rohprotokollquelle generiert, die in Google Security Operations aufgenommen und durch den Aufnahme- und Normalisierungsprozess von Google Security Operations verarbeitet wird. Aus einem einzelnen Datensatz der Rohprotokollquelle können mehrere Ereignisse generiert werden. Ein Ereignis stellt eine Reihe von sicherheitsrelevanten Datenpunkten dar, die aus diesem Rohprotokoll generiert werden.

Bei einer UDM-Suche wird eine Benachrichtigung als YARA-L-Regelerkennung mit aktivierter Benachrichtigung definiert. Weitere Informationen finden Sie unter Regel mit Live-Daten ausführen.

Andere Datenquellen können als Benachrichtigungen in Google Security Operations aufgenommen werden, z. B. Crowdstrike Falcon-Benachrichtigungen. Diese Warnungen werden nur dann in der UDM-Suche angezeigt, wenn sie von der Google Security Operations Detection Engine als YARA-L-Regel verarbeitet werden.

Ereignisse, die mit einer oder mehreren Benachrichtigungen verknüpft sind, werden in der Ereigniszeitachse mit einem Benachrichtigungs-Chip gekennzeichnet. Wenn der Zeitachse mehrere Benachrichtigungen zugeordnet sind, wird auf dem Chip die Anzahl der zugehörigen Benachrichtigungen angezeigt.

Die Zeitachse enthält die 1.000 aktuellsten Benachrichtigungen,die aus den Suchergebnissen abgerufen wurden. Wenn die Grenze von 1.000 erreicht ist, werden keine weiteren Benachrichtigungen abgerufen. Damit Sie alle für Ihre Suche relevanten Ergebnisse sehen, können Sie die Suche mithilfe von Filtern eingrenzen.

Benachrichtigungen prüfen

Wie Sie mithilfe der Benachrichtigungsgrafik und der Benachrichtigungsdetails eine Benachrichtigung untersuchen, erfahren Sie unter Benachrichtigung untersuchen.

Referenzlisten in UDM-Suchanfragen verwenden

Das Verfahren zum Anwenden von Referenzlisten in Regeln kann auch in der Suche verwendet werden. Eine Suchanfrage kann bis zu sieben Listen enthalten. Alle Arten von Referenzlisten (String, regulärer Ausdruck, CIDR) werden unterstützt.

Sie können Listen für jede Variable erstellen, die Sie erfassen möchten. Sie können beispielsweise eine Liste mit verdächtigen IP-Adressen erstellen: 

// Field value exists in reference list
principal.ip IN %suspicious_ips

Mit AND oder OR können Sie auch mehrere Listen verwenden:

// multiple lists can be used with AND or OR
principal.ip IN %suspicious_ips AND
principal.hostname IN %suspicious_hostnames

Suchergebnisse eingrenzen

Sie können die Benutzeroberfläche der UDM-Suche verwenden, um Ergebnisse zu filtern und einzugrenzen, anstatt die UDM-Suche zu ändern und die Suche noch einmal auszuführen.

Zeitachsendiagramm

Das Zeitachsendiagramm bietet eine grafische Darstellung der Anzahl der Ereignisse und Benachrichtigungen, die jeden Tag auftreten und in der aktuellen UDM-Suche angezeigt werden. Ereignisse und Benachrichtigungen werden im selben Zeitachsendiagramm angezeigt, das sowohl auf dem Tab Ereignisse als auch auf dem Tab Benachrichtigungen verfügbar ist.

Die Breite der einzelnen Balken hängt vom gesuchten Zeitraum ab. Wenn die Suche beispielsweise 24 Stunden an Daten umfasst, entspricht jeder Balken 10 Minuten. Dieses Diagramm wird dynamisch aktualisiert, während Sie die vorhandene UDM-Suche ändern.

Zeitraum anpassen

Sie können den Zeitraum für das Diagramm anpassen, indem Sie die weißen Schieberegler nach links und rechts bewegen. Wenn Sie den Zeitraum anpassen, werden die Tabellen „UDM-Felder und -Werte“ und „Ereignisse“ entsprechend der aktuellen Auswahl aktualisiert. Sie können auch auf eine einzelne Balken im Diagramm klicken, um nur die Ereignisse in diesem Zeitraum aufzulisten.

Nachdem Sie den Zeitraum angepasst haben, werden die Kästchen Gefilterte Ereignisse und Abgefragte Ereignisse angezeigt. So können Sie die angezeigten Ereignistypen weiter einschränken.

Diagramm mit Zeitachsen für Ereignisse und Steuerelementen für den Zeitraum

Abbildung 4. Zeitachse mit Steuerelementen für den Zeitraum

UDM-Suche mit Aggregationen ändern

Mithilfe von Aggregationen können Sie Ihre UDM-Suche weiter eingrenzen. Sie können entweder durch die Liste der UDM-Felder scrollen oder über das Suchfeld nach bestimmten UDM-Feldern oder -Werten suchen. Die hier aufgeführten UDM-Felder sind mit den vorhandenen Listen von Ereignissen verknüpft, die durch Ihre UDM-Suche generiert wurden. Jedes UDM-Feld enthält die Anzahl der Ereignisse in Ihrer aktuellen UDM-Suche, die auch dieses Datenelement enthalten. In der Liste der UDM-Felder wird die Gesamtzahl der eindeutigen Werte in einem Feld angezeigt. Mit dieser Funktion können Sie nach bestimmten Arten von Logdaten suchen, die für Sie von Interesse sein könnten.

Die UDM-Felder sind in der folgenden Reihenfolge aufgeführt:

  1. Felder mit der höchsten Ereignisanzahl bis zur niedrigsten Ereignisanzahl.
  2. Felder mit nur einem Wert werden immer als letztes aufgeführt.
  3. Felder mit der exakt gleichen Gesamtzahl von Ereignissen werden alphabetisch von A bis Z sortiert.

Zusammenfassungen

Abbildung 5. Zusammenfassungen

Aggregationen ändern

Wenn Sie in der Liste „Aggregationen“ einen UDM-Feldwert auswählen und auf das Dreipunkt-Menü klicken, haben Sie die Möglichkeit, entweder nur Ereignisse anzuzeigen, die auch diesen UDM-Feldwert enthalten, oder diesen UDM-Feldwert auszuschließen. Wenn im UDM-Feld Ganzzahlwerte gespeichert sind (z. B. target.port), werden auch Optionen zum Filtern nach <,>,<=,>= angezeigt. Mit Filteroptionen wird die Liste der angezeigten Ereignisse verkürzt.

Sie können Felder auch in Aggregationen anpinnen (über das Markierungssymbol), um sie als Favoriten zu speichern. Sie werden oben in der Liste der Aggregationen angezeigt.

Nur anzeigen

Abbildung 6. Beispiel: „Nur anzeigen“ auswählen

Diese zusätzlichen UDM-Filter werden auch dem Feld „Ereignisse filtern“ hinzugefügt. Mit dem Feld „Filter-Ereignisse“ können Sie die zusätzlichen UDM-Felder im Blick behalten, die Sie der UDM-Suche hinzugefügt haben. Sie können diese zusätzlichen UDM-Felder bei Bedarf auch schnell entfernen.

Ereignisse filtern

Abbildung 7. Ereignisse filtern

Wenn Sie links auf das Menüsymbol „Ereignisse filtern“ oder auf Filter hinzufügen klicken, wird ein Fenster geöffnet, in dem Sie weitere UDM-Felder auswählen können.

Fenster „Ereignisse filtern“

Abbildung 8. Fenster „Ereignisse filtern“

Wenn Sie auf ANWENDEN auf Suche und Ausführung klicken, werden die UDM-Felder dem Feld „Ereignisse filtern“ hinzugefügt und die angezeigten Ereignisse werden anhand dieser zusätzlichen Filter gefiltert. Sie können auch auf Auf Suche anwenden und ausführen klicken, um sie dem Hauptsuchfeld für UDM oben auf der Seite hinzuzufügen. Die Suche wird automatisch noch einmal mit denselben Datums- und Uhrzeitparametern ausgeführt. Google empfiehlt, die Suche so weit wie möglich einzugrenzen, bevor Sie auf ANWENDEN auf Suche und Ausführung klicken. So lässt sich die Genauigkeit verbessern und die Suchzeiten verkürzen.

Ereignisse in der Tabelle „Ereignisse“ ansehen

Durch alle diese Filter und Steuerelemente wird die Liste der Ereignisse in der Tabelle „Ereignisse“ aktualisiert. Klicken Sie auf eines der aufgeführten Ereignisse, um die Log-Anzeige zu öffnen. Dort können Sie das Rohprotokoll und den UDM-Eintrag für das Ereignis prüfen. Wenn Sie auf den Zeitstempel für ein Ereignis klicken, können Sie auch die zugehörige Asset-, IP-Adressen-, Domain-, Hash- oder Nutzeransicht aufrufen. Sie können auch das Suchfeld oben in der Tabelle verwenden, um nach einem bestimmten Ereignis zu suchen.

Benachrichtigungen in der Tabelle „Benachrichtigungen“ ansehen

Klicken Sie auf dem Tab Ereignisse rechts auf den Tab Benachrichtigungen, um sich Benachrichtigungen anzusehen. Mit Zusammenfassungen können Sie Benachrichtigungen nach folgenden Kriterien sortieren:

  • Fall
  • Name
  • Priorität
  • Schweregrad
  • Status
  • Urteil

So können Sie sich auf die Benachrichtigungen konzentrieren, die für Sie am wichtigsten sind.

Benachrichtigungen werden im selben Zeitraum wie die Ereignisse auf dem Tab „Ereignisse“ angezeigt. So können Sie die Verbindung zwischen Ereignissen und Benachrichtigungen besser nachvollziehen.

Wenn Sie mehr über eine bestimmte Benachrichtigung erfahren möchten, klicken Sie darauf. Daraufhin wird eine Detailseite mit ausführlicheren Informationen zu dieser Benachrichtigung geöffnet.

Ereignisse in der Ereignisanzeige aufrufen

Wenn Sie den Mauszeiger in der Tabelle „Ereignisse“ auf ein Ereignis bewegen, wird rechts neben dem markierten Ereignis das Symbol für die Ereignisanzeige angezeigt. Klicken Sie darauf, um die Ereignisanzeige zu öffnen.

Im Fenster „Raw Log“ (Log in Rohform) wird das ursprüngliche Rohzeichen in einem der folgenden Formate angezeigt:

  • Roh
  • JSON
  • XML
  • CSV
  • Hex/ASCII

Im UDM-Fenster wird der strukturierte UDM-Eintrag angezeigt. Wenn Sie den Mauszeiger auf eines der UDM-Felder bewegen, wird die UDM-Definition angezeigt. Wenn Sie das Kästchen für die UDM-Felder aktivieren, werden weitere Optionen angezeigt:

  • Sie können den UDM-Eintrag kopieren. Wählen Sie ein oder mehrere UDM-Felder aus und dann im Drop-down-Menü Aktionen die Option UDM kopieren. Die UDM-Felder und -Werte werden in die Systemzwischenablage kopiert.

  • Sie können die UDM-Felder als Spalten in der Tabelle „Ereignisse“ hinzufügen. Wählen Sie dazu im Drop-down-Menü Aktionen ansehen die Option Spalten hinzufügen aus.

Jedes UDM-Feld ist mit einem Symbol gekennzeichnet, das angibt, ob das Feld angereicherte oder nicht angereicherte Daten enthält. Die Symbole haben folgende Bedeutung:

  • U: Nicht angereicherte Felder enthalten Werte, die während des Normalisierungsprozesses mit Daten aus dem ursprünglichen Rohprotokoll ausgefüllt wurden.

  • E: Angereicherte Felder enthalten Werte, die vom Google Security Operations-Team ausgefüllt werden, um zusätzlichen Kontext zu Artefakten in einer Kundenumgebung bereitzustellen. Weitere Informationen finden Sie unter So werden Ereignis- und Entitätsdaten durch Google Security Operations angereichert.

    Angereicherte und nicht angereicherte UDM-Felder

Abbildung 9. UDM-Felder in der Ereignisanzeige

Mit der Option Spalten können Sie festlegen, welche Informationsspalten in der Tabelle „Ereignisse“ angezeigt werden. Das Menü „Spalten“ wird angezeigt. Die verfügbaren Optionen variieren je nach Art der Ereignisse, die von der UDM-Suche zurückgegeben werden.

Sie können die ausgewählten Spalten optional speichern, indem Sie auf Speichern klicken. Geben Sie den ausgewählten Spalten einen Namen und klicken Sie noch einmal auf Speichern. Sie können eine Gruppe gespeicherter Spalten laden, indem Sie auf Laden klicken und die gewünschten Spalten aus der Liste auswählen.

Sie können die angezeigten Ereignisse auch herunterladen. Klicken Sie dazu auf das Dreipunkt-Menü und wählen Sie Als CSV-Datei herunterladen aus. Dadurch werden alle Suchergebnisse bis zu einer Million Ereignisse heruntergeladen. Auf der Benutzeroberfläche wird die Anzahl der heruntergeladenen Ereignisse angezeigt.

UDM-Suchspalten

Abbildung 10. UDM-Suchspalten

Ereignisse mithilfe der Pivot-Tabelle analysieren

In der Pivot-Tabelle können Sie Ereignisse mithilfe von Ausdrücken und Funktionen anhand der Ergebnisse aus der UDM-Suche analysieren.

Führen Sie die folgenden Schritte aus, um die Pivot-Tabelle zu öffnen und zu konfigurieren:

  1. Führen Sie eine UDM-Suchanfrage aus.

  2. Klicken Sie auf den Tab Pivot, um die Pivot-Tabelle zu öffnen.

  3. Geben Sie einen Wert für Nach an, um die Ereignisse nach einem bestimmten UDM-Feld zu gruppieren. Sie können die Ergebnisse mit der Standard- oder nur in Kleinbuchstaben anzeigen lassen, indem Sie im Menü Kleinbuchstaben auswählen. Diese Option ist nur für Stringfelder verfügbar. Sie können bis zu fünf Nach-Werte angeben. Klicken Sie dazu auf Feld hinzufügen.

    Wenn der Wert für Nach eines der Hostnamenfelder ist, stehen Ihnen zusätzliche Transformationsoptionen zur Verfügung:

    • Top-N-Level-Domain: Wählen Sie aus, welche Ebene der Domain angezeigt werden soll. Wenn Sie beispielsweise den Wert „1“ verwenden, wird nur die Top-Level-Domain angezeigt (z. B. com, gov oder edu). Bei einem Wert von „3“ werden die nächsten beiden Ebenen der Domainnamen angezeigt (z. B. google.co.uk).
    • Registrierte Domain abrufen: Hier wird nur der registrierte Domainname angezeigt, z. B. google.com, nytimes.com und youtube.com.

    Wenn der Wert für Nach eines der IP-Felder ist, stehen Ihnen zusätzliche Transformationsoptionen zur Verfügung:

    • (IP) Länge des CIDR-Präfixes in Bits: Sie können für IPv4-Adressen 1 bis 32 angeben. Für IPv6-Adressen können Sie Werte bis zu 128 angeben.

    Wenn der Wert für Nach einen Zeitstempel enthält, stehen Ihnen zusätzliche Transformationsoptionen zur Verfügung:

    • (Zeit) Auflösung in Millisekunden
    • (Zeit) Auflösung in Sekunden
    • (Zeit) Auflösung in Minuten
    • (Zeit) Auflösung in Stunden
    • (Zeit) Lösung in Tagen

  4. Wählen Sie in den Ergebnissen in der Liste der Felder einen Wert für die Pivot-Tabelle aus. Sie können bis zu 5 Werte angeben. Nachdem Sie ein Feld angegeben haben, müssen Sie eine Option für Zusammenfassen auswählen. Sie haben folgende Möglichkeiten:

    • Summe
    • count
    • count distinct
    • Durchschnitt
    • stddev
    • Min.
    • Max

    Geben Sie den Wert Ereignisanzahl an, um die Anzahl der Ereignisse zurückzugeben, die für diese UDM-Suche und diese Pivot-Tabelle gefunden wurden.

    Die Optionen für Zusammenfassen sind nicht universell mit den Feldern Gruppieren nach kompatibel. Die Optionen sum, average, stddev, min und max können beispielsweise nur auf numerische Felder angewendet werden. Wenn Sie versuchen, eine inkompatible Zusammenfassungsoption mit einem Nach-Feld zu verknüpfen, erhalten Sie eine Fehlermeldung.

  5. Geben Sie ein oder mehrere UDM-Felder an und wählen Sie mit der Option Sortieren nach eine oder mehrere Sortierungen aus.

  6. Klicken Sie auf Übernehmen, wenn Sie fertig sind. Die Ergebnisse werden in der Pivot-Tabelle angezeigt.

  7. Optional: Wenn Sie die Pivot-Tabelle herunterladen möchten, klicken Sie auf  und wählen Sie Als CSV-Datei herunterladen aus. Wenn Sie keinen Pivot-Tab ausgewählt haben, ist diese Option deaktiviert.

Suche in der Schnellsuche

  1. Klicken Sie auf Schnellsuche, um das Fenster „Schnellsuche“ zu öffnen. In diesem Fenster werden Ihre gespeicherten Suchanfragen und Ihr Suchverlauf angezeigt.

  2. Klicken Sie auf eine der aufgeführten Suchanfragen, um sie in das UDM-Suchfeld zu laden.

  3. Klicken Sie auf Suche ausführen, wenn Sie bereit sind.

Die aufgeführten Suchanfragen werden in Ihrem Google Security Operations-Konto gespeichert. Wenn Sie eine Ihrer gespeicherten Suchanfragen ändern (z. B. eine vorhandene Suchanfrage umbenennen), gespeicherte Suchanfragen löschen oder Suchanfragen aus Ihrem Suchverlauf löschen möchten, öffnen Sie den Suchmanager, indem Sie auf Alle Suchanfragen ansehen klicken.

Gespeicherte Suchanfragen und Suchverlauf

Klicken Sie auf Suchmanager, um gespeicherte Suchanfragen abzurufen und Ihren Suchverlauf aufzurufen. Gespeicherte Suchanfragen und der Suchverlauf werden in Ihrem Google Security Operations-Konto gespeichert. Gespeicherte Suchanfragen und der Suchverlauf sind nur für den einzelnen Nutzer sichtbar und zugänglich, es sei denn, Sie verwenden die Funktion Suchanfrage teilen, um Ihre Suchanfrage für Ihre Organisation freizugeben. Wählen Sie eine gespeicherte Suche aus, um weitere Informationen wie Titel und Beschreibung aufzurufen.

So speichern Sie eine Suche:

  1. Klicken Sie auf der Seite „UDM-Suche“ auf Speichern, um die UDM-Suche für später zu speichern. Dadurch wird der Suchmanager geöffnet. Wir empfehlen, Ihrer gespeicherten Suche einen aussagekräftigen Namen und eine Beschreibung in Form von Nur-Text zu geben. Sie können auch über den Suchmanager eine neue UDM-Suche erstellen, indem Sie auf  klicken. Die standardmäßigen UDM-Tools zum Bearbeiten und Vervollständigen sind hier ebenfalls verfügbar.

  2. Optional: Geben Sie Platzhaltervariablen im Format ${<variable name>} an. Verwenden Sie dabei dasselbe Format wie für Variablen in YARA-L. Wenn Sie einer UDM-Suche eine Variable hinzufügen, müssen Sie auch einen Prompt einfügen, damit Nutzer wissen, welche Informationen sie eingeben müssen, bevor sie die Suche starten. Alle Variablen müssen mit Werten ausgefüllt sein, bevor eine Suche ausgeführt wird.

    Sie können beispielsweise metadata.vendor_name = ${vendor_name} in Ihre UDM-Suche einfügen. Für ${vendor_name} müssen Sie einen Prompt für zukünftige Nutzer hinzufügen, z. B. „Geben Sie den Namen des Anbieters für Ihre Suche ein“. Jedes Mal, wenn ein Nutzer diese Suche in Zukunft lädt, wird er aufgefordert, den Namen des Anbieters einzugeben, bevor er die Suche ausführen kann.

  3. Klicken Sie auf Änderungen speichern, wenn Sie fertig sind.

  4. Klicken Sie auf Suchmanager und dann auf den Tab Gespeichert, um gespeicherte Suchanfragen aufzurufen.

So rufen Sie eine gespeicherte Suche ab und führen sie aus:

  1. Klicken Sie im Suchmanager auf den Tab Gespeichert.

  2. Wählen Sie eine gespeicherte Suche aus der Liste aus. Diese gespeicherten Suchanfragen werden in Ihrem Google Security Operations-Konto gespeichert. Sie können eine Suche löschen, indem Sie auf  klicken und Suche löschen auswählen.

  3. Sie können den Namen der Suche und die Beschreibung ändern. Klicken Sie auf Änderungen speichern, wenn Sie fertig sind.

  4. Klicken Sie auf Suche laden. Die Suche wird in das Hauptsuchfeld der UDM geladen.

  5. Klicken Sie auf Suche ausführen, um die mit dieser Suche verknüpften Ereignisse aufzurufen.

Suchanfrage aus dem Suchverlauf abrufen

So rufen Sie eine Suche aus Ihrem Suchverlauf ab und führen sie aus:

  1. Klicken Sie im Suchmanager auf Verlauf.

  2. Wählen Sie eine Suche aus Ihrem Suchverlauf aus. Ihr Suchverlauf wird in Ihrem Google Security Operations-Konto gespeichert. Sie können eine Suche löschen, indem Sie auf  klicken.

  3. Klicken Sie auf Suche laden. Die Suche wird in das Hauptsuchfeld der UDM geladen.

  4. Klicken Sie auf Suche ausführen, um die mit dieser Suche verknüpften Ereignisse aufzurufen.

Suchverlauf löschen, deaktivieren oder aktivieren

So löschen, deaktivieren oder aktivieren Sie den Suchverlauf:

  1. Klicken Sie im Search Manager auf den Tab Verlauf.

  2. Klicken Sie auf .

  3. Wähle Verlauf löschen aus, um den Suchverlauf zu löschen.

  4. Klicken Sie auf Verlauf deaktivieren, um den Suchverlauf zu deaktivieren. Sie haben dabei folgende Optionen:

    • Nur deaktivieren: Der Suchverlauf wird deaktiviert.

    • Deaktivieren und löschen: Deaktivieren Sie den Suchverlauf und löschen Sie den gespeicherten Suchverlauf.

  5. Wenn Sie den Suchverlauf zuvor deaktiviert haben, können Sie ihn wieder aktivieren, indem Sie auf Suchverlauf aktivieren klicken.

  6. Klicken Sie auf Schließen, um den Suchmanager zu schließen.

Suche teilen

Mit geteilten Suchanfragen können Sie Suchanfragen mit dem Rest Ihres Teams teilen. Auf dem Tab Gespeichert können Sie Suchanfragen teilen oder löschen. Sie können Ihre Suchanfragen auch filtern, indem Sie auf das Filtersymbol neben der Suchleiste klicken. Sie können die Suchanfragen nach Alle anzeigen, Von Google SecOps definiert, Von mir verfasst oder Geteilt sortieren.

Sie können keine geteilte Suche bearbeiten, die nicht Ihnen gehört.

  1. Klicken Sie auf Gespeichert.
  2. Klicken Sie auf die Suchanfrage, die Sie teilen möchten.
  3. Klicken Sie rechts neben der Suche auf . Ein Dialogfeld mit der Option zum Teilen Ihrer Suche wird angezeigt.
  4. Klicken Sie auf Mit Ihrer Organisation teilen.
  5. In einem Dialogfeld wird angezeigt, dass die geteilte Suche für Personen in Ihrer Organisation sichtbar ist. Sind Sie sicher, dass Sie die Informationen teilen möchten? Klicken Sie auf Freigeben.

Wenn die Suche nur für Sie sichtbar sein soll, klicken Sie auf  und dann auf Freigabe beenden. Wenn Sie die Freigabe beenden, können nur Sie diese Suche nutzen.

UDM-Felder, die von der Plattform im CSV-Format heruntergeladen werden können oder nicht

In den folgenden Unterabschnitten finden Sie Informationen zu unterstützten und nicht unterstützten UDM-Feldern, die heruntergeladen werden können.

Unterstützte Felder

Sie können die folgenden Felder von der Plattform in eine CSV-Datei herunterladen:

  • Nutzer

  • Hostname

  • Prozessname

  • Ereignistyp

  • timestamp

  • Rohprotokoll (nur gültig, wenn Rohprotokolle für den Kunden aktiviert sind)

  • Alle Felder, die mit „udm.additional“ beginnen

Gültige Feldtypen

Sie können die folgenden Feldtypen in eine CSV-Datei herunterladen:

  • double

  • float

  • int32

  • uint32

  • int64

  • uint64

  • bool

  • String

  • enum

  • Byte

  • google.protobuf.Timestamp

  • google.protobuf.Duration

Nicht unterstützte Felder

Felder, die mit „udm“ beginnen (nicht „udm.additional“) und eine der folgenden Bedingungen erfüllen, können nicht im CSV-Format heruntergeladen werden:

  • Das Feld ist in udm proto mehr als 10-mal verschachtelt.

  • Der Datentyp ist „Nachricht“ oder „Gruppe“.

Nächste Schritte

Informationen zur Verwendung kontextreicher Daten in der UDM-Suche finden Sie unter Kontextreiche Daten in der UDM-Suche verwenden.