Suchen

Mit der Suchfunktion können Sie mithilfe der YARA-L 2.0-Syntax UDM-Ereignisse und -Benachrichtigungen in Ihrer Google Security Operations-Instanz finden. Die Suche bietet eine Vielzahl von Optionen, mit denen Sie sich leichter in Ihren UDM-Daten zurechtfinden. Sie können nach einzelnen UDM-Ereignissen und Gruppen von UDM-Ereignissen suchen, die mit freigegebenen Suchbegriffen verknüpft sind.

In Systemen mit der RBAC für Daten können Sie nur Daten sehen, die Ihren Bereichen entsprechen. Weitere Informationen finden Sie unter Auswirkungen der rollenbasierten Zugriffssteuerung auf Daten in der Google Suche.

Für Google SecOps-Kunden können Benachrichtigungen auch über Connectors und Webhooks aufgenommen werden. Sie können diese Benachrichtigungen auch über die Suche finden.

Weitere Informationen zu UDM finden Sie unter Logdaten als UDM formatieren und Liste der UDM-Felder.

Suche nach Zugriffen

Sie haben folgende Möglichkeiten, auf die Google SecOps-Suche zuzugreifen:

• Klicken Sie in der Navigationsleiste auf Analyse > Suchen.

• Geben Sie im Feld Suchen ein gültiges UDM-Feld für ein beliebiges Suchfeld in Google SecOps ein und drücken Sie dann die STRG + Eingabetaste.

  

  Abbildung 1. Beispiel für das Fenster Suchen, mit dem sich Ereignistrends untersuchen lassen

In den folgenden Abschnitten wird beschrieben, wie Sie die Suchfunktionen verwenden.

Suchfunktion verwenden

• Ein Suchausdruck besteht aus einem zu durchsuchenden UDM-Feld, einem Operator und einem zu suchenden Datenwert.

• Wenn der Abfrageausdruck gültig ist, wird in der Google SecOps Console die Schaltfläche Suche ausführen aktiviert.

• UDM-Abfragen basieren auf Feldern, die in der Liste der Felder für einheitliche Datenmodelle definiert sind. Sie können diese UDM-Felder mithilfe von Filtern oder der Suche in Rohlogs durchsuchen und auswählen.

• Wenn Sie die Anzahl der zurückgegebenen Ereignisse anpassen möchten, klicken Sie auf more_vert Mehr und wählen Sie Sucheinstellungen aus. Weitere Informationen finden Sie unter Sucheinstellungen.

• Wenn Sie den Zeitraum ändern möchten, öffnen Sie das Fenster Zeitraum.

So verwenden Sie die Suchfunktion:

1. Rufen Sie die Seite Suchen auf.
2. Geben Sie im Feld Suchen einen Suchbegriff ein.
3. Wenn Sie nach Ereignissen suchen möchten, geben Sie im Feld Suchen den Namen eines UDM-Felds ein. Während Sie tippen, werden anhand Ihrer Eingabe gültige UDM-Felder vorgeschlagen.

4. Nachdem Sie ein gültiges UDM-Feld eingegeben haben, wählen Sie einen gültigen Operator aus. Auf der Benutzeroberfläche werden die gültigen Operatoren angezeigt, die für das von Ihnen eingegebene UDM-Feld verfügbar sind. Folgende Operatoren werden unterstützt:

   • <, >
   • <=, >=
   • =, !=
   • nocase – wird für Strings unterstützt

5. Nachdem Sie ein gültiges UDM-Feld und einen gültigen Operator eingegeben haben, fügen Sie den Wert der Protokolldaten hinzu, nach dem Sie suchen möchten. Weitere Informationen finden Sie unter Datenwert für die Suche formatieren.

6. Klicken Sie auf Suche ausführen, um die Suche auszuführen.

   Die Ereignisergebnisse werden in der Tabelle Zeitachse der Ereignisse auf der Seite Suchen angezeigt.

7. Optional: Sie können die Ergebnisse eingrenzen, indem Sie manuell oder über die Console zusätzliche UDM-Filter hinzufügen.

Formatieren Sie den Datenwert, nach dem gesucht werden soll.

Formatieren Sie den Datenwert gemäß den folgenden Richtlinien:

• Datentyp:Formatieren Sie den Datenwert entsprechend dem Datentyp:

  • Aufzählungswerte:Verwenden Sie einen gültigen Aufzählungswert, der für das ausgewählte UDM-Feld definiert ist.

    Beispiel: Ein Textwert in Großbuchstaben in doppelten Anführungszeichen:

    metadata.event_type = "NETWORK_CONNECTION"

  • Zusätzliche Werte:Verwenden Sie das Format field[key\] = value, um in den Feldern additional und labels zu suchen.

    Beispiel:

    additional.fields["key"]="value"

  • Boolesche Werte:Verwenden Sie true oder false (Groß- und Kleinschreibung nicht berücksichtigt, keine Anführungszeichen erforderlich).

    Beispiel:

    network.dns.response = true

  • Ganzzahlen: Verwenden Sie numerische Werte ohne Anführungszeichen.

    Beispiel:

    target.port = 443

  • Gleitkommawerte:Geben Sie für UDM-Felder vom Typ float einen Dezimalwert wie 3.1 oder eine Ganzzahl wie 3 ein.

    Beispiel:

    security_result.about.asset.vulnerabilities.cvss_base_score = 3.1

  • Reguläre Ausdrücke:Setzen Sie den regulären Ausdruck in Schrägstriche (/).

    Beispiel:

    • principal.ip = /10.*/

    • Suchen Sie nach der Ausführung von psexec.exe (Fenster):

      target.process.command_line = /\bpsexec(\.exe)?\b/ nocase

    Weitere Informationen zu regulären Ausdrücken finden Sie auf der Seite zu regulären Ausdrücken.

  • Strings:Textwerte müssen in doppelte Anführungszeichen gesetzt werden.

    Beispiel:

    metadata.product_name = "Google Cloud VPC Flow Logs"

• Strings ohne Berücksichtigung der Groß- und Kleinschreibung: Mit dem Operator nocase können Sie eine beliebige Kombination aus Groß- und Kleinbuchstaben in einem String abgleichen.

  Beispiel:

  • principal.hostname != "http-server" nocase
  • principal.hostname = "JDoe" nocase
  • principal.hostname = /dns-server-[0-9]+/ nocase

• Sonderzeichen in Strings maskieren: Sonderzeichen mit einem umgekehrten Schrägstrich maskieren, z. B. so:

  • Verwenden Sie \\, um einen umgekehrten Schrägstrich (\) zu maskieren.
  • Verwenden Sie \" als Escape-Zeichen für ein doppeltes Anführungszeichen (").

  Beispiel:

  • principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
  • target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""

• Boolesche Ausdrücke: Mit AND, OR und NOT können Sie Bedingungen kombinieren und Ergebnisse eingrenzen.

  In den folgenden Beispielen werden die unterstützten booleschen Operatoren (AND, OR und NOT) verwendet:

  • A AND B
  • A OR B

  • Mit Klammern ( ) können Sie Ausdrücke gruppieren und die Auswertungsreihenfolge steuern:

    (A OR B) AND (B OR C) AND (C OR NOT D)

  Beispiele:

  • So suchen Sie auf dem Finanzserver nach Anmeldeereignissen:

    metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"

  • Verwenden Sie den Operator (>), um nach Verbindungen zu suchen, bei denen mehr als 10 MB an Daten gesendet wurden:

    metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000

  • Mit mehreren Bedingungen nach winword.exe suchen, die cmd.exe oder powershell.exe startet:

    metadata.event_type = "PROCESS_LAUNCH" and
     principal.process.file.full_path = /winword/ and
     (target.process.file.full_path = /cmd.exe/ or
      target.process.file.full_path = /powershell.exe/)

• Schlüssel/Wert-Paare in den Feldern additional und labels suchen:

  Die Felder additional und labels dienen als anpassbare Container für Ereignisdaten, die nicht den standardmäßigen UDM-Feldern zugeordnet werden. In jedem Eintrag wird ein einzelnes Schlüssel/Wert-Paar gespeichert.

  • additional-Felder können mehrere Schlüssel/Wert-Paare enthalten.
  • labels-Felder können nur ein einzelnes Schlüssel/Wert-Paar enthalten.

  Verwenden Sie diese Syntax, um die Schlüssel/Wert-Paare anzugeben, nach denen in den Feldern additional und labels gesucht werden soll:

  field[key\] = value.

  Beispiel:

  additional.fields["key"]="value"

  Beispiele für Suchanfragen mit bestimmten Schlüssel/Wert-Paaren in den Feldern additional und labels:

  • Nach Ereignissen mit bestimmten Schlüssel/Wert-Paaren suchen:

    • additional.fields["pod_name"] = "kube-scheduler"

    • metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"

  • Verwenden Sie den Operator AND für Suchanfragen nach Schlüssel/Wert-Paaren:

    additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"

  • Es wird nach allen Ereignissen gesucht, die den angegebenen Schlüssel enthalten, unabhängig vom Wert:

    additional.fields["pod_name"] != ""

  • Mit einem regulären Ausdruck nach Ereignissen suchen, die einen bestimmten Schlüssel enthalten:

    additional.fields.value.string_value = "mystring"

  • Mit einem regulären Ausdruck nach Ereignissen suchen, für die mehrere Schlüssel mit demselben Namen verwendet werden:

    additional.fields.key = /myKeynumber_*/

  • Verwenden Sie reguläre Ausdrücke und den Operator nocase:

    • additional.fields["pod_name"] = /br/

    • additional.fields["pod_name"] = bar nocase

• Verwenden Sie Block- und einzeilige Kommentare.

  • Blockkommentar verwenden:

      additional.fields["pod_name"] = "kube-scheduler"
      /*
      Block comments can span
      multiple lines.
      */
      AND additional.fields["pod_name1"] = "kube-scheduler1"

  • Verwenden Sie einen einzeiligen Kommentar:

    additional.fields["pod_name"] != "" // my single-line comment

Sucheinstellungen

Sie können die maximale Anzahl von Suchergebnissen in den UDM-Sucheinstellungen festlegen. Diese Einstellungen sind nutzerspezifisch.

1. Klicken Sie neben Suchen ausführen auf das Dreipunkt-Menü more_vertMehr und dann auf Sucheinstellungen.

2. Wählen Sie Maximale Anzahl zurückzugebender Ergebnisse aus. Die Optionen sind 1K, 10K, 100K, 1M und custom. Sie können Werte zwischen 1 und 1M annehmen. Der Standardwert ist 1M. Abfragen werden in der Regel schneller ausgeführt, wenn Sie einen kleineren Ergebnissatz auswählen.

Bei der Suche werden zu viele Ergebnisse zurückgegeben

Wenn Ihre Suche zu weit gefasst ist, zeigt Google SecOps eine Warnmeldung an, dass nicht alle Suchergebnisse angezeigt werden können.

In solchen Fällen ruft das System nur die neuesten Ergebnisse ab, bis das Suchlimit von 1 Million Ereignissen und 1.000 Benachrichtigungen erreicht ist. Es kann jedoch viele weitere übereinstimmende Ereignisse und Benachrichtigungen geben, die nicht angezeigt werden.

Wenn Sie alle relevanten Ergebnisse sehen möchten, sollten Sie Ihre Suche mithilfe zusätzlicher Filter eingrenzen. Wenn Sie den Suchumfang eingrenzen, lässt sich der Datensatz auf eine überschaubare Größe reduzieren und die Genauigkeit wird verbessert. Wir empfehlen, die Suche anzupassen und noch einmal auszuführen, bis die Ergebnisse die Anzeigebeschränkung des Systems nicht mehr überschreiten.

Auf der Suchergebnisseite werden die letzten 10.000 Ergebnisse angezeigt. Sie können die Suchergebnisse filtern und verfeinern, um ältere Ergebnisse anzuzeigen, anstatt die Suche zu ändern und noch einmal auszuführen.

In gruppierten Feldern suchen

Gruppierte Felder sind Aliasse für Gruppen verwandter UDM-Felder. So können Sie mehrere UDM-Felder gleichzeitig abfragen, ohne jedes Feld einzeln eingeben zu müssen.

Im folgenden Beispiel wird gezeigt, wie Sie eine Abfrage eingeben, um die gängigen UDM-Felder abzugleichen, die die angegebene IP-Adresse enthalten könnten:

ip = "1.2.3.4"

Sie können ein gruppiertes Feld mit einem regulären Ausdruck und dem Operator nocase abgleichen. Referenzlisten werden ebenfalls unterstützt. Gruppierte Felder können auch in Kombination mit regulären UDM-Feldern verwendet werden, wie im folgenden Beispiel gezeigt:

ip = "5.6.7.8" AND metadata.event_type = "NETWORK_CONNECTION"

Für gruppierte Felder gibt es einen separaten Bereich unter Aggregationen.

Typen von gruppierten UDM-Feldern

Sie können in allen folgenden gruppierten UDM-Feldern suchen:

UDM-Feld für Suchanfrage finden

Wenn Sie eine Suchanfrage schreiben, wissen Sie möglicherweise nicht, welches UDM-Feld Sie einschließen sollen. Mit der UDM-Suche können Sie schnell einen UDM-Feldnamen finden, der einen Textstring im Namen enthält oder in dem ein bestimmter Stringwert gespeichert ist. Die Funktion UDM-Suche ist nicht für die Suche nach anderen Datentypen wie Bytes, Boolesche Werte oder Zahlen vorgesehen. Sie wählen ein oder mehrere Ergebnisse aus, die von UDM-Lookup zurückgegeben wurden, und verwenden sie als Ausgangspunkt für eine Suchanfrage.

So verwenden Sie die UDM-Suche:

1. Klicken Sie auf der Seite Suchen auf UDM-Suche.

2. Wählen Sie im Dialogfeld UDM-Suche eine oder mehrere der folgenden Abgleichsoptionen aus, um den Umfang der zu durchsuchenden Daten anzugeben:

   • UDM-Felder: Hier können Sie nach Text in den Namen von UDM-Feldern suchen.

     Beispiel: network.dns.questions.name oder principal.ip

   • Werte: Hier können Sie in den Werten, die UDM-Feldern zugewiesen sind, nach Text suchen.

     Beispiel: dns oder google.com.

3. Geben Sie den String in das Feld Nach UDM-Feldern/Werten suchen ein oder ändern Sie ihn. Während Sie tippen, werden Suchergebnisse im Dialogfeld angezeigt.

   Die Ergebnisse unterscheiden sich geringfügig, wenn Sie in UDM-Feldern oder Werten suchen:

   • Wenn Sie in den Namen von UDM-Feldern nach einem Textstring suchen, wird eine genaue Übereinstimmung an einer beliebigen Stelle im Namen zurückgegeben.

     

     Abbildung 3. Suchen Sie in der UDM-Suche in den Namen von UDM-Feldern.

   • Wenn Sie in Werte nach Text suchen, werden folgende Ergebnisse zurückgegeben:

     • Wenn der String am Anfang oder Ende des Werts gefunden wird, wird er im Ergebnis zusammen mit dem UDM-Feldnamen und der Zeit der Datenaufnahme hervorgehoben.
     • Wenn der Textstring an anderer Stelle im Wert gefunden wird, wird im Ergebnis der Name des UDM-Felds und der Text Mögliche Übereinstimmung des Werts angezeigt.

     

     Abbildung 2. Suchen Sie in der UDM-Suche unter Werte.

4. In der Ergebnisliste haben Sie folgende Möglichkeiten:

   • Klicken Sie auf den Namen eines UDM-Felds, um eine Beschreibung dieses Felds aufzurufen.

   • Wählen Sie ein oder mehrere Ergebnisse aus, indem Sie das Kästchen links neben dem Namen jedes UDM-Felds anklicken.

   • Klicken Sie auf die Schaltfläche Zurücksetzen, um die Auswahl aller ausgewählten Felder in der Ergebnisliste aufzuheben.

5. Wenn Sie die ausgewählten Ergebnisse dem Feld Suchen auf der Seite Suchen anhängen möchten, gehen Sie so vor:

   • Klicken Sie auf Zur Suche anhängen.

   • Klicken Sie auf UDM kopieren, um die ausgewählten Ergebnisse in die Zwischenablage zu kopieren. Schließen Sie dann das Dialogfeld UDM-Suche und fügen Sie den Suchanfragestring in das Feld Suchen auf der Seite Suchen ein.

   Google SecOps wandelt die ausgewählten Ergebnisse in einen Suchanfragestring um, der den Namen des UDM-Felds oder ein Name-Wert-Paar enthält. Wenn Sie mehrere Ergebnisse anhängen, wird jedes Ergebnis mit dem Operator OR an das Ende der vorhandenen Abfrage im Feld Suchen angehängt.

   Der angehängte Abfragestring unterscheidet sich je nach Art der Übereinstimmung, die von UDM-Suche zurückgegeben wird.

   • Wenn das Ergebnis mit einem Textstring im Namen eines UDM-Felds übereinstimmt, wird der vollständige UDM-Feldname an die Abfrage angehängt. Beispiel:

     principal.artifact.network.dhcp.client_hostname

   • Wenn das Ergebnis mit einem Textstring am Anfang oder Ende eines Werts übereinstimmt, enthält das Name-Wert-Paar den Namen des UDM-Felds und den vollständigen Wert im Ergebnis. Beispiele:

     • metadata.log_type = "PCAP_DNS"

     • network.dns.answers.name = "dns-A901F3j.hat.example.com"

   • Wenn das Ergebnis den Text Mögliche Übereinstimmung mit Wert enthält, enthält das Name-Wert-Paar den Namen des UDM-Felds und einen regulären Ausdruck mit dem Suchbegriff. Beispiel:

     principal.process.file.full_path = /google/ NOCASE

6. Der von UDM-Lookup generierte Suchstring dient als Ausgangspunkt für eine Suchanfrage. Bearbeiten Sie die Suchanfrage auf der Seite Suchen entsprechend Ihrem Anwendungsfall.

Zusammenfassung des UDM-Lookup-Verhaltens

In diesem Abschnitt finden Sie weitere Informationen zu den UDM-Suchfunktionen.

• Bei der UDM-Suche werden Daten ab dem 10. August 2023 berücksichtigt. Für Daten, die vor diesem Datum aufgenommen wurden, wird nicht gesucht. Es werden Ergebnisse zurückgegeben, die in nicht angereicherten UDM-Feldern gefunden wurden. Es werden keine Übereinstimmungen für angereicherte Felder zurückgegeben. Informationen zu angereicherten und nicht angereicherten Feldern finden Sie im Hilfeartikel Ereignisse im Ereignisanzeiger ansehen.
• Bei Suchanfragen mit UDM-Lookup wird die Groß- und Kleinschreibung nicht berücksichtigt. Der Ausdruck hostname gibt dasselbe Ergebnis wie HostName zurück.
• Bindestrich (-) und Unterstrich (_) in einem Abfragetextstring werden bei der Suche nach Werten ignoriert. Sowohl der Textstring dns-l als auch dnsl geben den Wert dns-l zurück.

• Bei der Suche nach Werten gibt die UDM-Suche in den folgenden Fällen keine Übereinstimmungen zurück:

  Übereinstimmungen in den folgenden UDM-Feldern:	metadata.product_log_id network.session_id security_result.rule_id network.parent_session_id
  Übereinstimmungen in UDM-Feldern mit einem vollständigen Pfad, der auf einen der folgenden Werte endet:	.pid Beispiel: target.process.pid. .asset_id Beispiel: principal.asset_id. .product_specific_process_id Beispiel: principal.process.product_specific_process_id. .resource.id Beispiel: principal.resource.id.

  
  

• Wenn Sie unter Werte nach etwas suchen, wird in der UDM-Suche Mögliche Übereinstimmung angezeigt, wenn in den folgenden Fällen eine Übereinstimmung gefunden wird:

  Übereinstimmungen in den folgenden UDM-Feldern:	metadata.description security_result.description security_result.detection_fields.value security_result.summary network.http.user_agent
  Übereinstimmt in Feldern mit einem vollständigen Pfad, der auf einen der folgenden Werte endet:	.command_line Beispiel: principal.process.command_line. .file.full_path Beispiel: principal.process.file.full_path. .labels.value Beispiel: src.labels.value. .registry.registry_key Beispiel: principal.registry.registry_key. .url Beispiel: principal.url.
  Übereinstimmt in Feldern mit einem vollständigen Pfad, der mit den folgenden Werten beginnt:	additional.fields.value. Beispiel: additional.fields.value.null_value.

Benachrichtigungen in der Suche ansehen

Wenn Sie Benachrichtigungen aufrufen möchten, klicken Sie auf der Seite Suchen rechts oben neben dem Tab Ereignisse auf den Tab Benachrichtigungen.

Wie werden Benachrichtigungen angezeigt?

Google SecOps vergleicht die in der Suche zurückgegebenen Ereignisse mit Ereignissen, die für Benachrichtigungen in der Kundenumgebung vorhanden sind. Wenn ein Suchanfrageereignis mit einem Ereignis in einer Benachrichtigung übereinstimmt, wird es in der Benachrichtigungszeitachse und in der resultierenden Tabelle Benachrichtigung angezeigt.

Definition von Ereignissen und Benachrichtigungen

Ein Ereignis wird aus einer Roh-Logquelle generiert, die in Google SecOps aufgenommen und durch den Aufnahme- und Normalisierungsprozess von Google SecOps verarbeitet wird. Aus einem einzelnen Datensatz der Rohprotokollquelle können mehrere Ereignisse generiert werden. Ein Ereignis stellt eine Reihe von sicherheitsrelevanten Datenpunkten dar, die aus diesem Rohprotokoll generiert werden.

In der Suche wird eine Benachrichtigung als YARA-L-Regelerkennung mit aktivierten Benachrichtigungen definiert. Weitere Informationen finden Sie unter Regel mit Live-Daten ausführen.

Andere Datenquellen können als Benachrichtigungen in Google SecOps aufgenommen werden, z. B. Crowdstrike Falcon-Benachrichtigungen. Diese Warnungen werden nur dann in der Suche angezeigt, wenn sie von der Google SecOps Detection Engine als YARA-L-Regel verarbeitet werden.

Ereignisse, die mit einer oder mehreren Benachrichtigungen verknüpft sind, sind in der Ereigniszeitachse mit einem Benachrichtigungs-Chip gekennzeichnet. Wenn der Zeitachse mehrere Benachrichtigungen zugeordnet sind, wird auf dem Chip die Anzahl der zugehörigen Benachrichtigungen angezeigt.

Auf der Zeitachse werden die letzten 1.000 Benachrichtigungen angezeigt,die aus den Suchergebnissen abgerufen wurden. Wenn die Grenze von 1.000 erreicht ist, werden keine weiteren Benachrichtigungen abgerufen. Damit Sie alle für Ihre Suche relevanten Ergebnisse sehen, können Sie die Suche mithilfe von Filtern verfeinern.

Benachrichtigungen prüfen

Wie Sie mithilfe der Benachrichtigungsgrafik und der Benachrichtigungsdetails eine Benachrichtigung untersuchen, erfahren Sie unter Benachrichtigung untersuchen.

Referenzlisten in Suchanfragen verwenden

Das Verfahren zum Anwenden von Referenzlisten in Regeln kann auch in der Suche verwendet werden. Eine Suchanfrage kann bis zu sieben Listen enthalten. Alle Arten von Referenzlisten (String, regulärer Ausdruck, CIDR) werden unterstützt.

Sie können Listen für jede Variable erstellen, die Sie erfassen möchten.

Sie können beispielsweise eine Liste mit verdächtigen IP-Adressen erstellen:

// Field value exists in reference list
principal.ip IN %suspicious_ips

Sie können mehrere Listen verwenden, indem Sie AND oder OR verwenden:

// multiple lists can be used with AND or OR
principal.ip IN %suspicious_ips AND
principal.hostname IN %suspicious_hostnames

Suchergebnisse eingrenzen

Sie können die Funktionen auf der Seite Suchen verwenden, um Ergebnisse zu filtern und einzugrenzen. Das ist eine Alternative dazu, die Suche zu ändern und noch einmal auszuführen. Beispiel:

• Zeitachsendagramm
• Aggregationsfenster

Zeitachsendiagramm

Das Zeitachsendiagramm bietet eine grafische Darstellung der Anzahl der Ereignisse und Benachrichtigungen, die jeden Tag auftreten und in der aktuellen Suche angezeigt werden. Ereignisse und Benachrichtigungen werden im selben Zeitachsendiagramm angezeigt, das sowohl auf dem Tab Ereignisse als auch auf dem Tab Benachrichtigungen verfügbar ist.

Die Breite der einzelnen Balken hängt vom gesuchten Zeitraum ab. Wenn die Suche beispielsweise 24 Stunden an Daten umfasst, entspricht jede Balkenbreite 10 Minuten. Dieses Diagramm wird dynamisch aktualisiert, während Sie die vorhandene Suche ändern.

Zeitraum anpassen

Sie können den Zeitraum für das Diagramm anpassen, indem Sie die weißen Schieberegler nach links und rechts bewegen. Wenn Sie den Zeitraum anpassen, werden die Tabellen UDM-Felder und ‑Werte und Ereignisse entsprechend der aktuellen Auswahl aktualisiert. Sie können auch auf einen einzelnen Balken im Diagramm klicken, um nur die Ereignisse in diesem Zeitraum aufzulisten.

Nachdem Sie den Zeitraum angepasst haben, werden die Kästchen Gefilterte Ereignisse und Abgefragte Ereignisse angezeigt. So können Sie die angezeigten Ereignistypen weiter einschränken.

Abbildung 4. Ereigniszeitachsendiagramm mit Steuerelementen für den Zeitraum

Fenster „Aggregationen“

Im Fenster Aggregationen werden gruppierte Felder und UDM-Felder angezeigt, die durch Ihre UDM-Suche generiert wurden. Mit gruppierten Feldern können Sie in mehreren UDM-Feldern eines ähnlichen Typs suchen.

Ein gruppiertes Feld, z. B. ip, namespace oder user, ist eine Platzhaltervariable, mit der die Werte ähnlicher UDM-Felder gruppiert werden. Im gruppierten Feld namespace werden beispielsweise alle Werte aus den folgenden UDM-Feldern gruppiert: principal.namespace, src.namespace und target.namespace.

Für jedes gruppierte Feld und jedes UDM-Feld wird die Ereignisanzahl angezeigt. Die Ereignisanzahl ist die Anzahl der Ereigniseinträge mit demselben Wert für dieses Feld.

Gruppierte Felder und UDM-Felder werden nach der höchsten bis zur niedrigsten Ereignisanzahl und innerhalb derselben Ereignisanzahl in alphabetischer Reihenfolge sortiert.

Wenn Sie ein Feld oben in der Liste Aggregationen anpinnen möchten, klicken Sie auf das Symbol Beibehalten Beibehalten des Felds.

Abbildung 5. Aggregationen helfen dabei, Werte mit hoher Häufigkeit zu ermitteln.

Mithilfe von Aggregationen können Sie Ihre UDM-Suche weiter eingrenzen. Sie können entweder durch die Liste der UDM-Felder scrollen oder über das Feld Suchen nach bestimmten UDM-Feldern oder ‑Werten suchen.

Felder für die Aggregation filtern

Mit den Filteroptionen können Sie die Liste der UDM-Felder eingrenzen, die in der Liste Aggregationen angezeigt werden. Gehen Sie dazu so vor:

Abbildung 6. Beispiel für Ereignisse, die den ausgewählten Wert des UDM-Felds enthalten

1. Wählen Sie in der Liste Aggregationen ein UDM-Feld aus, um eine Liste der Werte für dieses Feld aufzurufen.

2. Wählen Sie einen Wert aus dieser Liste aus und klicken Sie auf das Dreipunkt-Menü  more_vert Mehr.

3. Wählen Sie eine der Filteroptionen aus:

   • Nur anzeigen: Es werden nur Ereignisse angezeigt, die den ausgewählten Wert des UDM-Felds enthalten.
   • Ausfiltern: Hiermit werden Ereignisse herausgefiltert, die den ausgewählten Wert des UDM-Felds enthalten.
   • Kopieren: Kopieren Sie den Wert des UDM-Felds in die Zwischenablage.

Sie können diese zusätzlichen UDM-Filter dem Feld Ereignisse filtern hinzufügen.

Feld „Ereignisse filtern“

Im Feld Ereignisse filtern werden die von Ihnen erstellten Filter angezeigt. Sie können sie auf das Feld Suchen anwenden oder bei Bedarf entfernen.

Wenn Sie auf Auf Suche anwenden und ausführen klicken, werden die angezeigten Ereignisse anhand der angezeigten zusätzlichen Filter gefiltert und das Feld Suchen wird aktualisiert. Die Suche wird automatisch noch einmal mit denselben Datums- und Uhrzeitparametern ausgeführt.

Abbildung 7. Feld Ereignisse filtern

Wenn Sie auf Filter hinzufügen klicken, wird ein Fenster geöffnet, in dem Sie weitere UDM-Felder auswählen können.

Abbildung 8. Fenster Ereignisse filtern

Ereignisse in der Tabelle „Ereignisse“ ansehen

Alle Filter und Steuerelemente wirken sich auf die Liste der Ereignisse in der Tabelle Ereignisse aus. Klicken Sie auf ein beliebiges Ereignis, um die Loganzeige zu öffnen. Dort können Sie sowohl das Rohprotokoll als auch den entsprechenden UDM-Eintrag aufrufen. Wenn Sie auf den timestamp des Ereignisses klicken, können Sie das zugehörige Asset, die IP-Adresse, die Domain, den Hash oder die Nutzeransicht aufrufen. Sie können auch über das Feld Suchen nach einem bestimmten Ereignis suchen.

Benachrichtigungen in der Tabelle „Benachrichtigungen“ ansehen

Klicken Sie auf den Tab Benachrichtigungen, um sich Benachrichtigungen anzusehen. Mit Aggregationen können Sie Benachrichtigungen nach folgenden Kriterien sortieren:

• Fall
• Name
• Priorität
• Schweregrad
• Status
• Urteil

So können Sie sich auf die Benachrichtigungen konzentrieren, die für Sie am wichtigsten sind.

Benachrichtigungen werden im selben Zeitraum wie die Ereignisse auf dem Tab Ereignisse angezeigt. So können Sie die Verbindung zwischen Ereignissen und Benachrichtigungen besser nachvollziehen.

Wenn Sie mehr über eine bestimmte Benachrichtigung erfahren möchten, klicken Sie darauf. Die Seite Benachrichtigungsdetails wird geöffnet. Dort finden Sie ausführliche Informationen zu dieser Benachrichtigung.

Ereignisse in der Ereignisanzeige ansehen

Wenn Sie die Ereignisanzeige öffnen möchten, bewegen Sie den Mauszeiger auf ein Ereignis in der Tabelle Ereignisse und klicken Sie auf switch_access_2 Ereignisanzeige öffnen.

Die Ereignisanzeige enthält die folgenden Tabs: UDM-Felder, Raw-Log, Benachrichtigungen und Entitäten:

• Tab UDM-Felder:

  Auf dem Tab UDM-Felder sehen Sie eine strukturierte Liste der UDM-Felder im UDM-Eintrag.

  • Bewegen Sie den Mauszeiger auf ein beliebiges UDM-Feld, um die Definition aufzurufen.
  • Klicken Sie das Kästchen eines Felds an, um Aktionen auf mehrere Felder anzuwenden.

  • Führen Sie dazu eine der folgenden Aktionen aus:

    • Filter: Wenden Sie die folgenden Filter auf die Liste der UDM-Felder an:

      • Nicht angereicherte Felder anzeigen
      • Angereicherte Felder anzeigen
      • Zusätzliche Felder anzeigen
      • Extrahierte Felder anzeigen

    • Zu Spalten hinzufügen: Fügen Sie das UDM-Feld als Spalte hinzu.

    • Kopieren: Kopiert die ausgewählten UDM-Felder und UDM-Werte in die Systemzwischenablage.

  Jedes UDM-Feld ist mit einem Symbol gekennzeichnet, das angibt, ob das Feld angereicherte oder nicht angereicherte Daten enthält. Die Symbole haben folgende Bedeutung:

  • U: Nicht angereicherte Felder enthalten Werte, die während des Normalisierungsprozesses mit Daten aus dem ursprünglichen Rohprotokoll ausgefüllt wurden.

  • E: Angereicherte Felder enthalten Werte, die von Google SecOps ausgefüllt werden, um zusätzlichen Kontext zu Artefakten in einer Kundenumgebung bereitzustellen. Weitere Informationen finden Sie unter So reichert Google SecOps Ereignis- und Entitätsdaten an.

    

    Abbildung 9. UDM-Felder in der Ereignisanzeige

• Tab Rohlog

  Auf dem Tab Raw Log (Rohprotokoll) wird das ursprüngliche Rohprotokoll in einem der folgenden Formate angezeigt:

  • Rohdaten
  • JSON
  • XML
  • CSV
  • Hex/ASCII

Spaltenoption für die Suche verwenden

Mit der Option Spalten können Sie die Spalten anpassen, die in der Tabelle Ereignisse angezeigt werden. Das Menü Spalten wird angezeigt. Je nach Art der Ereignisse, die von der Suche zurückgegeben wurden, stehen verschiedene Optionen zur Verfügung.

Spaltengruppe speichern

Sie können die ausgewählten Spalten optional speichern, indem Sie auf Speichern klicken. Geben Sie den ausgewählten Spalten einen Namen und klicken Sie noch einmal auf Speichern. Sie können mehrere gespeicherte Spalten laden, indem Sie auf Laden klicken und die gewünschten Spalten aus der Liste auswählen.

Wenn Sie die angezeigten Ereignisse herunterladen möchten, klicken Sie auf das Dreipunkt-Menü more_vertMehr und wählen Sie Als CSV-Datei herunterladen aus. Dadurch werden alle Suchergebnisse heruntergeladen (bis zu 1 Million Ereignisse). In der Konsole wird angezeigt, wie viele Ereignisse heruntergeladen werden.

Abbildung 10. In Spalten suchen

Ereignisse mithilfe der Pivot-Tabelle analysieren

In der Pivot-Tabelle können Sie Ereignisse mithilfe von Ausdrücken und Funktionen anhand der Suchergebnisse analysieren.

Führen Sie die folgenden Schritte aus, um die Pivot-Tabelle zu öffnen und zu konfigurieren:

1. Führen Sie eine Suche durch.

2. Klicken Sie auf den Tab Pivot, um die Pivot-Tabelle zu öffnen.

3. Geben Sie einen Wert für Nach an, um die Ereignisse nach einem bestimmten UDM-Feld zu gruppieren. Sie können die Ergebnisse mit der Standard- oder nur mit Kleinschreibung anzeigen lassen. Wählen Sie dazu im Menü Kleinschreibung aus. Diese Option ist nur für Stringfelder verfügbar. Sie können bis zu fünf Nach-Werte angeben. Klicken Sie dazu auf Feld hinzufügen.

   Wenn der Wert für Nach eines der Hostnamenfelder ist, stehen Ihnen zusätzliche Transformationsoptionen zur Verfügung:

   • Top-N-Level-Domain: Wählen Sie aus, welche Ebene der Domain angezeigt werden soll. Wenn Sie beispielsweise den Wert „1“ verwenden, wird nur die Top-Level-Domain angezeigt (z. B. com, gov oder edu). Bei einem Wert von „3“ werden die nächsten beiden Ebenen der Domainnamen angezeigt (z. B. google.co.uk).
   • Registrierte Domain abrufen: Hier wird nur der registrierte Domainname angezeigt, z. B. google.com, nytimes.com und youtube.com.

   Wenn der Wert für Nach eines der IP-Felder ist, stehen Ihnen zusätzliche Transformationsoptionen zur Verfügung:

   • (IP) CIDR-Präfixlänge in Bits: Sie können für IPv4-Adressen 1 bis 32 angeben. Für IPv6-Adressen können Sie Werte bis zu 128 angeben.

   Wenn der Wert für Nach einen Zeitstempel enthält, stehen Ihnen zusätzliche Transformationsoptionen zur Verfügung:

   • (Zeit) Auflösung in Millisekunden
   • (Zeit) Auflösung in Sekunden
   • (Zeit) Auflösung in Minuten
   • (Zeit) Auflösung in Stunden
   • (Zeit) Lösung in Tagen

4. Wählen Sie in den Ergebnissen in der Liste der Felder einen Wert für die Pivot-Tabelle aus. Sie können bis zu fünf Werte angeben. Nachdem Sie ein Feld angegeben haben, müssen Sie eine Option für Zusammenfassen auswählen. Sie haben folgende Möglichkeiten:

   • Summe
   • count
   • count distinct
   • Durchschnitt
   • stddev
   • Min.
   • Max

5. Geben Sie den Wert Ereignisanzahl an, um die Anzahl der Ereignisse zurückzugeben, die für diese bestimmte Suche und Pivot-Tabelle ermittelt wurden.

   Die Optionen Zusammenfassen sind nicht universell mit den Feldern Nach kompatibel. Die Optionen sum, average, stddev, min und max können beispielsweise nur auf numerische Felder angewendet werden. Wenn Sie versuchen, eine inkompatible Option Zusammenfassen mit einem Feld Nach zu verknüpfen, erhalten Sie eine Fehlermeldung.

6. Geben Sie ein oder mehrere UDM-Felder an und wählen Sie eine oder mehrere Sortierungen mit der Option Sortieren nach aus.

7. Klicken Sie auf Übernehmen, wenn Sie fertig sind. Die Ergebnisse werden in der Pivot-Tabelle angezeigt.

8. Optional: Wenn Sie die Pivot-Tabelle herunterladen möchten, klicken Sie auf more_vertDreipunkt-Menü und wählen Sie Als CSV-Datei herunterladen aus. Wenn Sie keinen Pivot-Tab ausgewählt haben, ist diese Option deaktiviert.

Gespeicherte Suchanfragen und Suchverlauf

Wenn Sie auf Suchmanager klicken, können Sie gespeicherte Suchanfragen abrufen und Ihren Suchverlauf aufrufen. Wählen Sie eine gespeicherte Suche aus, um weitere Informationen wie Titel und Beschreibung aufzurufen.

Gespeicherte Suchanfragen und der Suchverlauf:

• Sie werden in Ihrem Google SecOps-Konto gespeichert.

• Sie sind nur für den einzelnen Nutzer sichtbar und zugänglich, es sei denn, Sie verwenden die Funktion Suche teilen, um Ihre Suche für Ihre Organisation freizugeben.

Suchanfrage speichern

So speichern Sie eine Suche:

1. Klicken Sie auf der Seite Suchen neben Suche ausführen auf das Dreipunkt-Menü more_horizMehr und dann auf Suche speichern, um diese Suche später zu verwenden. Daraufhin wird das Dialogfeld Suchmanager geöffnet. Wir empfehlen, Ihrer gespeicherten Suche einen aussagekräftigen Namen und eine Beschreibung in einfachen Textzeilen zu geben. Sie können auch im Dialogfeld Suchmanager eine neue Suche erstellen. Klicken Sie dazu auf add Hinzufügen. Hier finden Sie auch die Standardtools zum Bearbeiten und Ergänzen von UDMs.

2. Optional: Geben Sie Platzhaltervariablen im Format ${<variable name>} an. Verwenden Sie dabei dasselbe Format wie für Variablen in YARA-L. Wenn Sie einer Suche eine Variable hinzufügen, müssen Sie auch einen Prompt hinzufügen, damit der Nutzer weiß, welche Informationen er eingeben muss, bevor er die Suche ausführt. Alle Variablen müssen mit Werten ausgefüllt sein, bevor eine Suche ausgeführt wird.

   Sie können beispielsweise metadata.vendor_name = ${vendor_name} in Ihre Suche einfügen. Für ${vendor_name} müssen Sie einen Prompt für zukünftige Nutzer hinzufügen, z. B. Enter the name of the vendor for your search. Jedes Mal, wenn ein Nutzer diese Suche in Zukunft lädt, wird er aufgefordert, vor dem Ausführen der Suche den Namen des Anbieters einzugeben.

3. Klicken Sie auf Änderungen speichern, wenn Sie fertig sind.

4. Klicken Sie auf Suchmanager und dann auf den Tab Gespeichert, um gespeicherte Suchanfragen aufzurufen.

Gespeicherte Suchanfrage abrufen

So rufen Sie eine gespeicherte Suche ab und führen sie aus:

1. Wählen Sie im Dialogfeld Suchmanager eine gespeicherte Suche aus der Liste auf der linken Seite aus. Diese gespeicherten Suchanfragen werden in Ihrem Google SecOps-Konto gespeichert.

2. Optional: Sie können eine Suche löschen, indem Sie auf more_horizMehr und dann auf Suche löschen klicken. Sie können nur Suchanfragen löschen, die Sie selbst erstellt haben.

3. Sie können den Namen der Suche und die Beschreibung ändern. Klicken Sie abschließend auf Änderungen speichern.

4. Klicken Sie auf Suche laden. Die Suche wird in das Hauptsuchfeld geladen.

5. Klicken Sie auf Suche ausführen, um die mit dieser Suche verknüpften Ereignisse aufzurufen.

Suchanfrage aus dem Suchverlauf abrufen

So rufen Sie eine Suche aus Ihrem Suchverlauf ab und führen sie aus:

1. Klicken Sie im Suchmanager auf Verlauf.

2. Wählen Sie eine Suche aus Ihrem Suchverlauf aus. Ihr Suchverlauf wird in Ihrem Google SecOps-Konto gespeichert. Sie können eine Suche löschen, indem Sie auf deleteLöschen klicken.

3. Klicken Sie auf Suche laden. Die Suche wird in das Hauptsuchfeld geladen.

4. Klicken Sie auf Suche ausführen, um die mit dieser Suche verknüpften Ereignisse aufzurufen.

Suchverlauf löschen, deaktivieren oder aktivieren

So löschen, deaktivieren oder aktivieren Sie den Suchverlauf:

1. Klicken Sie im Search Manager auf den Tab Verlauf.

2. Klicke auf das more_vertDreipunkt-Menü.

3. Wähle Verlauf löschen aus, um den Suchverlauf zu löschen.

4. Klicken Sie auf Verlauf deaktivieren, um den Suchverlauf zu deaktivieren. Sie haben folgende Möglichkeiten:

   • Nur deaktivieren: Der Suchverlauf wird deaktiviert.

   • Deaktivieren und löschen: Deaktivieren Sie den Suchverlauf und löschen Sie den gespeicherten Suchverlauf.

5. Wenn Sie den Suchverlauf zuvor deaktiviert haben, können Sie ihn wieder aktivieren, indem Sie auf Suchverlauf aktivieren klicken.

6. Klicken Sie auf Schließen, um den Suchmanager zu schließen.

Suche teilen

Mit geteilten Suchanfragen können Sie Suchanfragen mit Ihrem Team teilen. Auf dem Tab Gespeichert können Sie Suchanfragen teilen oder löschen. Sie können Ihre Suchanfragen auch filtern, indem Sie neben der Suchleiste auf filter_altFilter klicken und die Suchanfragen nach Alle anzeigen, Von Google SecOps definiert, Von mir verfasst oder Geteilt sortieren.

Sie können keine fremden geteilten Suchanfragen bearbeiten.

1. Klicken Sie auf Gespeichert.
2. Klicken Sie auf die Suchanfrage, die Sie teilen möchten.
3. Klicken Sie rechts neben der Suche auf das more_horizDreipunkt-Menü. Ein Dialogfeld mit der Option zum Teilen Ihrer Suche wird angezeigt.
4. Klicken Sie auf Mit Ihrer Organisation teilen.
5. In einem Dialogfeld wird angezeigt, dass Ihre Suchanfrage für Personen in Ihrer Organisation sichtbar ist. Sind Sie sicher, dass Sie die Informationen teilen möchten? Klicken Sie auf Freigeben.

Wenn die Suche nur für Sie sichtbar sein soll, klicken Sie auf more_horizMehr und dann auf Freigabe beenden. Wenn Sie die Freigabe beenden, können nur Sie diese Suche nutzen.

UDM-Felder, die von der Plattform im CSV-Format heruntergeladen werden können oder nicht

In den folgenden Unterabschnitten finden Sie eine Liste der unterstützten und nicht unterstützten UDM-Felder, die heruntergeladen werden können.

Unterstützte Felder

Sie können die folgenden Felder von der Plattform in eine CSV-Datei herunterladen:

• Nutzer

• Hostname

• Prozessname

• Ereignistyp

• timestamp

• Rohdatenprotokoll (nur gültig, wenn Rohdatenprotokolle für den Kunden aktiviert sind)

• Alle Felder, die mit „udm.additional“ beginnen

Gültige Feldtypen

Sie können die folgenden Feldtypen in eine CSV-Datei herunterladen:

• double

• float

• int32

• uint32

• int64

• uint64

• bool

• String

• enum

• Byte

• google.protobuf.Timestamp

• google.protobuf.Duration

Nicht unterstützte Felder

Felder, die mit „udm“ beginnen (nicht „udm.additional“) und eine der folgenden Bedingungen erfüllen, können nicht im CSV-Format heruntergeladen werden:

• Das Feld ist in udm proto mehr als zehnmal verschachtelt.

• Der Datentyp ist „Nachricht“ oder „Gruppe“.

Faktoren, die die Suchergebnisse einschränken

Bei UDM-Suchen kann die Anzahl der zurückgegebenen Ergebnisse durch die folgenden Faktoren begrenzt werden:

• Die Gesamtzahl der Ergebnisse hat 1 Million überschritten: Die Suche ist auf 1 Million Ereignisse beschränkt. Wenn die Ergebnisse mehr als 1 Million betragen, werden nur 1 Million angezeigt.

• Ergebnisse über die Sucheinstellungen auf weniger als 1 Million auf der Plattform begrenzen: Sie können das Standardsuchergebnis so konfigurieren, dass weniger als 1 Million Ergebnisse zurückgegeben werden. Dadurch wird die Abfragegeschwindigkeit verbessert. Wenn Sie „< 1 Mio.“ festlegen, werden weniger Ergebnisse angezeigt. Standardmäßig ist die Anzahl der Ergebnisse bei der SecOps-Suche auf 30.000 begrenzt. Sie können diese Einstellung jedoch in den Sucheinstellungen auf der Seite Ergebnisse auf bis zu 1 Million ändern.

• Suchergebnisse sind auf 10.000 eingeschränkt: Auch wenn Ihre Suche mehr als 10.000 Ergebnisse zurückgibt, werden in der Console nur die ersten 10.000 angezeigt. Diese Einschränkung der Konsole spiegelt nicht die Gesamtzahl der möglichen Ergebnisse wider.

Nächste Schritte

Informationen zur Verwendung von kontextbezogenen Daten in der Suche finden Sie unter Kontextbezogene Daten in der Suche verwenden.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten