Buscar eventos y alertas

La función de búsqueda te permite encontrar eventos y alertas del modelo de datos unificado (UDM) en tu instancia de Google Security Operations mediante la sintaxis de YARA-L 2.0. La búsqueda incluye opciones para acotar y desplazarse por los datos de UDM. Puede buscar eventos de gestión de datos de usuario concretos y grupos de eventos de gestión de datos de usuario que coincidan con la misma consulta.

En los sistemas que usan el control de acceso basado en roles de datos, solo puedes ver los datos que coincidan con tus ámbitos. Para obtener más información, consulta el artículo sobre el impacto del control de acceso basado en roles de datos en la búsqueda.

Los clientes de Google SecOps también pueden ingerir alertas desde conectores y webhooks. También puedes usar la búsqueda para encontrar estas alertas.

Para obtener más información sobre el UDM, consulta Aplicar formato a los datos de registro como UDM y la lista de campos de UDM.

Búsqueda de acceso

Puedes acceder a la búsqueda de Google SecOps de las siguientes formas:

• En la barra de navegación, haz clic en Investigación > Búsqueda.

• En el campo Buscar, introduce un campo UDM válido para cualquier campo de búsqueda de Google SecOps y, a continuación, pulsa CTRL+Intro.

  

  Imagen 1. Ejemplo de la ventana Búsqueda que se usa para consultar las tendencias de los eventos.

En las siguientes secciones se explica cómo usar las funciones de búsqueda.

Usar la función de búsqueda

• Una expresión de búsqueda consta de un campo de UDM en el que buscar, un operador y un valor de datos que buscar.

• Si la expresión de consulta es válida, la consola de Google SecOps habilita el botón Ejecutar búsqueda.

• Las consultas de UDM se basan en los campos definidos en la lista de campos del modelo de datos unificado. Puede buscar y seleccionar estos campos de UDM mediante Filtros o Búsqueda de registros sin procesar.

• Para ajustar el número de eventos devueltos, haz clic en more_vert Más y selecciona Configuración de búsqueda. Para obtener más información, consulta Configuración de búsqueda.

• Para cambiar el intervalo de datos, abra la ventana Periodo.

Para usar la función de búsqueda, sigue estos pasos:

1. Ve a la página Búsqueda.
2. En el campo Buscar, introduce una expresión de búsqueda.
3. Para buscar eventos, introduzca el nombre de un campo UDM en el campo Buscar. Mientras escribes, la función de autocompletar sugiere campos de UDM válidos en función de lo que introduzcas.

4. Una vez que hayas introducido un campo de UDM válido, selecciona un operador válido. La interfaz de usuario muestra los operadores válidos disponibles en función del campo de UDM que hayas introducido. Se admiten los siguientes operadores:

   • <, >
   • <=, >=
   • =, !=
   • nocase: se admite en cadenas

5. Después de introducir un campo y un operador de UDM válidos, añade el valor de los datos de registro que quieras buscar. Para obtener más información, consulta Formatear el valor de los datos que se van a buscar.

6. Haz clic en Ejecutar búsqueda para ejecutar la búsqueda.

   Los resultados de los eventos se muestran en la tabla Cronología de eventos de la página Búsqueda.

7. Opcional: Acota los resultados añadiendo manualmente filtros de UDM adicionales o usando la consola.

Formatear el valor de datos que se va a buscar

Formatea el valor de los datos siguiendo estas directrices:

• Tipo de datos: da formato al valor de los datos en función de su tipo:

  • Valores enumerados: use un valor enumerado válido definido para el campo de UDM seleccionado.

    Por ejemplo, un valor de texto en mayúsculas entre comillas dobles:

    metadata.event_type = "NETWORK_CONNECTION"

  • Valores adicionales: usa el formato field[key\] = value para buscar en los campos additional y labels.

    Por ejemplo:

    additional.fields["key"]="value"

  • Valores booleanos: usa true o false (no distinguen entre mayúsculas y minúsculas, no es necesario usar comillas).

    Por ejemplo:

    network.dns.response = true

  • Números enteros: usa valores numéricos sin comillas.

    Por ejemplo:

    target.port = 443

  • Valores flotantes: en los campos de UDM de tipo float, introduce un valor decimal, como 3.1, o un número entero, como 3.

    Por ejemplo:

    security_result.about.asset.vulnerabilities.cvss_base_score = 3.1

  • Expresiones regulares: encierra la expresión regular entre barras (/).

    Por ejemplo:

    • principal.ip = /10.*/

    • Busca la ejecución de psexec.exe (Ventana):

      target.process.command_line = /\bpsexec(\.exe)?\b/ nocase

    Para obtener más información sobre las expresiones regulares, consulta la página de expresiones regulares.

  • Cadenas: incluye los valores de texto entre comillas dobles.

    Por ejemplo:

    metadata.product_name = "Google Cloud VPC Flow Logs"

• Cadenas que no distinguen entre mayúsculas y minúsculas: usa el operador nocase para buscar cualquier combinación de caracteres en mayúsculas y minúsculas en una cadena.

  Por ejemplo:

  • principal.hostname != "http-server" nocase
  • principal.hostname = "JDoe" nocase
  • principal.hostname = /dns-server-[0-9]+/ nocase

• Caracteres de escape en cadenas: escapa los caracteres especiales con una barra invertida, de la siguiente manera:

  • Usa \\ para aplicar el formato de escape a una barra invertida (\).
  • Usa \" para escapar de las comillas dobles (").

  Por ejemplo:

  • principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
  • target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""

• Expresiones booleanas: usa AND, OR y NOT para combinar condiciones y acotar los resultados.

  En los siguientes ejemplos se muestran los operadores booleanos admitidos (AND, OR y NOT):

  • A AND B
  • A OR B

  • Usa paréntesis ( ) para agrupar expresiones y controlar el orden de evaluación:

    (A OR B) AND (B OR C) AND (C OR NOT D)

  Ejemplos:

  • Busca eventos de inicio de sesión en el servidor de finanzas:

    metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"

  • Usa el operador (>) para buscar conexiones en las que se hayan enviado más de 10 MB de datos:

    metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000

  • Usa varias condiciones para buscar winword.exe lanzamientos cmd.exe o powershell.exe:

    metadata.event_type = "PROCESS_LAUNCH" and
     principal.process.file.full_path = /winword/ and
     (target.process.file.full_path = /cmd.exe/ or
      target.process.file.full_path = /powershell.exe/)

• Buscar pares clave-valor en los campos additional y labels:

  Los campos additional y labels actúan como contenedores personalizables para datos de eventos que no se asignan a campos de UDM estándar. Cada entrada almacena un único par clave-valor.

  • Los campos additional pueden contener varios pares clave-valor.
  • Los campos labels solo pueden contener un par clave-valor.

  Usa esta sintaxis para especificar los pares clave-valor que se deben buscar en los campos additional y labels:

  field[key\] = value.

  Por ejemplo:

  additional.fields["key"]="value"

  Ejemplos de búsquedas que usan pares clave-valor específicos en los campos additional y labels:

  • Buscar eventos que contengan pares clave-valor específicos:

    • additional.fields["pod_name"] = "kube-scheduler"

    • metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"

  • Usa el operador AND con búsquedas de pares clave-valor:

    additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"

  • Busca todos los eventos que contengan la clave especificada, independientemente del valor:

    additional.fields["pod_name"] != ""

  • Busca eventos que contengan una clave específica mediante una expresión regular:

    additional.fields.value.string_value = "mystring"

  • Busca eventos que usen varias claves con el mismo nombre mediante una expresión regular:

    additional.fields.key = /myKeynumber_*/

  • Usa expresiones regulares y el operador nocase:

    • additional.fields["pod_name"] = /br/

    • additional.fields["pod_name"] = bar nocase

• Usa comentarios de bloque y de una sola línea.

  • Usar un comentario de bloque:

      additional.fields["pod_name"] = "kube-scheduler"
      /*
      Block comments can span
      multiple lines.
      */
      AND additional.fields["pod_name1"] = "kube-scheduler1"

  • Utiliza un comentario de una sola línea:

    additional.fields["pod_name"] != "" // my single-line comment

Configuración de búsqueda

Puedes definir el número máximo de resultados de búsqueda en la configuración de búsqueda de UDM. Estos ajustes son específicos de cada usuario.

1. Haz clic en Configuración de búsqueda en el menú more_vertMás situado junto a Ejecutar búsqueda.

2. Selecciona Número máximo de resultados que se devolverán. Las opciones son 1K, 30K, 100K, 1M y custom, que pueden tomar valores entre 1 y 1M. El valor predeterminado es 1M. Las consultas suelen ejecutarse más rápido cuando se elige un conjunto de resultados de menor tamaño.

La búsqueda devuelve demasiados resultados

Si la búsqueda es demasiado general, Google SecOps muestra un mensaje de advertencia que indica que no se pueden mostrar todos los resultados de búsqueda.

En esos casos, el sistema solo recupera los resultados más recientes, hasta el límite de búsqueda de 1 millón de eventos y 1000 alertas. Sin embargo, puede haber muchos más eventos y alertas coincidentes que no se muestren.

Para asegurarte de que obtienes todos los resultados relevantes, puedes acotar la búsqueda aplicando filtros adicionales. Acotar el ámbito de la búsqueda ayuda a reducir el tamaño del conjunto de datos para que sea más fácil de gestionar y mejora la precisión. Te recomendamos que ajustes la búsqueda y la vuelvas a ejecutar hasta que los resultados se ajusten al límite de visualización del sistema.

En la página de resultados de búsqueda se muestran los 10.000 resultados más recientes. Puedes filtrar y acotar los resultados de búsqueda para mostrar los más antiguos, en lugar de modificar y volver a ejecutar la búsqueda.

Limitar resultados

Puedes limitar los resultados de búsqueda añadiendo la palabra clave limit junto con el número máximo de resultados de búsqueda que quieras mostrar. Esto resulta útil para generar vistas previas rápidas de los datos, optimizar el rendimiento o cuando solo necesitas un subconjunto de los resultados.

Por ejemplo, si añades lo siguiente a tu búsqueda, los resultados se limitarán a un máximo de 25:

limit: 25

Buscar campos agrupados

Los campos agrupados son alias de grupos de campos de UDM relacionados. Puedes usarlos para consultar varios campos de UDM al mismo tiempo sin tener que escribir cada campo individualmente.

En el siguiente ejemplo se muestra cómo introducir una consulta para que coincida con los campos de UDM comunes que pueden contener la dirección IP especificada:

ip = "1.2.3.4"

Puede hacer coincidir un campo agrupado mediante una expresión regular y el operador nocase. También se admiten listas de referencias. Los campos agrupados también se pueden usar en combinación con campos de UDM normales, como se muestra en el siguiente ejemplo:

ip = "5.6.7.8" AND metadata.event_type = "NETWORK_CONNECTION"

Los campos agrupados tienen una sección independiente en Agregaciones.

Tipos de campos de UDM agrupados

Puedes buscar en todos los campos de UDM agrupados siguientes:

Buscar un campo de UDM para una consulta de búsqueda

Al escribir una consulta de búsqueda, es posible que no sepas qué campo de UDM incluir. La función Búsqueda de UDM te permite encontrar rápidamente el nombre de un campo de UDM que contenga una cadena de texto en el nombre o que almacene un valor de cadena específico. La función Búsqueda de UDM no se ha diseñado para buscar otros tipos de datos, como bytes, booleanos o numéricos. Selecciona uno o varios resultados devueltos por Buscar UDM y úsalos como punto de partida para una consulta de búsqueda.

Para usar Búsqueda de UDM, sigue estos pasos:

1. En la página Buscar, haz clic en Búsqueda de UDM.

2. En el cuadro de diálogo Búsqueda de UDM, seleccione una o varias de las siguientes opciones de coincidencia para especificar el ámbito de los datos que se van a buscar:

   • Campos de UDM: busca texto en los nombres de los campos de UDM.

     Por ejemplo, network.dns.questions.name o principal.ip.

   • Valores: busca texto en los valores asignados a los campos de UDM.

     Por ejemplo, dns o google.com.

3. Introduce o modifica la cadena en el campo Búsqueda de campos o valores de UDM. A medida que escribas, los resultados de búsqueda aparecerán en el cuadro de diálogo.

   Los resultados son ligeramente diferentes cuando se busca en Campos de UDM que en Valores:

   • Si buscas una cadena de texto en los nombres de los campos UDM, se devolverá una coincidencia exacta en cualquier parte del nombre.

     

     Imagen 2. Buscar nombres de campos de UDM en la búsqueda de UDM.

   • Si buscas texto en Valores, los resultados serán los siguientes:

     • Si la cadena se encuentra al principio o al final del valor, se resaltará en el resultado junto con el nombre del campo UDM y la hora de ingestión del registro.
     • Si la cadena de texto se encuentra en otra parte del valor, el resultado muestra el nombre del campo de UDM y el texto Posible coincidencia de valor.

     

     Imagen 3. Busca en Valores de Búsqueda de UDM.

4. En la lista de resultados, puede hacer lo siguiente:

   • Haga clic en el nombre de un campo de datos de marketing unificado para ver su descripción.

   • Seleccione uno o varios resultados haciendo clic en la casilla situada a la izquierda del nombre de cada campo de UDM.

   • Haga clic en el botón Restablecer para desmarcar todos los campos seleccionados de la lista de resultados.

5. Para añadir los resultados seleccionados al campo Búsqueda de la página Búsqueda, haz una de las siguientes acciones:

   • Haz clic en Añadir a la búsqueda.

   • Haz clic en Copiar UDM para copiar los resultados seleccionados en el portapapeles. A continuación, cierre el cuadro de diálogo Búsqueda de UDM y pegue la cadena de consulta de búsqueda en el campo Buscar de la página Buscar.

   Google SecOps convierte los resultados seleccionados en una cadena de consulta de búsqueda como nombre de campo de UDM o como par nombre-valor. Si añades varios resultados, cada uno de ellos se agregará al final de la consulta en el campo Búsqueda mediante el operador OR.

   La cadena de consulta añadida es diferente en función del tipo de coincidencia devuelto por UDM Lookup.

   • Si el resultado coincide con una cadena de texto en el nombre de un campo de UDM, el nombre completo del campo de UDM se añade a la consulta. Por ejemplo:

     principal.artifact.network.dhcp.client_hostname

   • Si el resultado coincide con una cadena de texto al principio o al final de un valor, el par nombre-valor contiene el nombre del campo de UDM y el valor completo del resultado. Estos son algunos ejemplos:

     • metadata.log_type = "PCAP_DNS"

     • network.dns.answers.name = "dns-A901F3j.hat.example.com"

   • Si el resultado incluye el texto Posible coincidencia de valor, el par nombre-valor contiene el nombre del campo UDM y una expresión regular que incluye el término de búsqueda. Por ejemplo:

     principal.process.file.full_path = /google/ NOCASE

6. La cadena de consulta generada por Buscar UDM sirve como punto de partida para una consulta de búsqueda. Edita la consulta de búsqueda en la página Búsqueda para adaptarla a tu caso práctico.

Resumen del comportamiento de la búsqueda de UDM

En esta sección se ofrece más información sobre las funciones de búsqueda de UDM.

• La búsqueda de UDM busca datos insertados después del 10 de agosto del 2023. Los datos insertados antes de esta fecha no se buscarán. Devuelve los resultados encontrados en campos de UDM sin enriquecer. No devuelve coincidencias de campos enriquecidos. Para obtener información sobre los campos enriquecidos y no enriquecidos, consulta Ver eventos en el visor de eventos.
• En las búsquedas que usan Buscar UDM no se distingue entre mayúsculas y minúsculas. El término hostname devuelve el mismo resultado que HostName.
• Los guiones (-) y los guiones bajos (_) de una cadena de texto de una consulta se ignoran al buscar Valores. Las cadenas de texto dns-l y dnsl devuelven el valor dns-l.

• Al buscar Valores, la consulta de UDM no devuelve coincidencias en los siguientes casos:

  Coincidencias en los siguientes campos de UDM:	metadata.product_log_id network.session_id security_result.rule_id network.parent_session_id
  Coincidencias en campos de UDM con una ruta completa que termina en uno de los siguientes valores:	.pid Por ejemplo, target.process.pid. .asset_id Por ejemplo, principal.asset_id. .product_specific_process_id Por ejemplo, principal.process.product_specific_process_id. .resource.id Por ejemplo, principal.resource.id.

  
  

• Al buscar Valores, la consulta de UDM muestra Posible coincidencia de valor cuando se encuentra una coincidencia en los siguientes casos:

  Coincidencias en los siguientes campos de UDM:	metadata.description security_result.description security_result.detection_fields.value security_result.summary network.http.user_agent
  Coincidencias en campos con una ruta completa que termina en uno de los siguientes valores:	.command_line Por ejemplo, principal.process.command_line. .file.full_path Por ejemplo, principal.process.file.full_path. .labels.value Por ejemplo, src.labels.value. .registry.registry_key Por ejemplo, principal.registry.registry_key. .url Por ejemplo, principal.url.
  Coincidencias en campos con una ruta completa que empieza por los siguientes valores:	additional.fields.value. Por ejemplo, additional.fields.value.null_value.

Ver alertas en la búsqueda

Para ver las alertas, haga clic en la pestaña Alertas, situada junto a la pestaña Eventos, en la parte superior derecha de la página Búsqueda.

Cómo se muestran las alertas

Google SecOps evalúa los eventos devueltos en la búsqueda en comparación con los eventos que existen para las alertas en el entorno del cliente. Cuando una consulta de búsqueda de eventos coincide con un evento presente en una alerta, se muestra en la cronología de alertas y en la tabla Alertas resultante.

Definición de eventos y alertas

Un evento se genera a partir de una fuente de registro sin procesar que se ingiere en Google SecOps y se procesa mediante el proceso de ingestión y normalización de Google SecOps. Se pueden generar varios eventos a partir de un único registro de fuente de registro sin procesar. Un evento representa un conjunto de puntos de datos relevantes para la seguridad que se generan a partir de ese registro sin procesar.

En la búsqueda, una alerta se define como una detección de reglas de YARA-L con las alertas habilitadas. Consulta más información sobre cómo ejecutar una regla según los datos activos.

Otras fuentes de datos se pueden ingerir en Google SecOps como alertas, como las alertas de Crowdstrike Falcon. Estas alertas no aparecen en la búsqueda a menos que el motor de detección de SecOps de Google las procese como una regla YARA-L.

Los eventos asociados a una o varias alertas se marcan con una etiqueta de alerta en la cronología de eventos. Si hay varias alertas asociadas a la cronología, el chip muestra el número de alertas asociadas.

La cronología muestra las 1000 alertas más recientes obtenidas de los resultados de búsqueda. Cuando se alcanza el límite de 1000, no se recuperan más alertas. Para asegurarte de que ves todos los resultados relevantes para tu búsqueda, acótala con filtros.

Cómo investigar una alerta

Para saber cómo usar Gráfico de alertas y Detalles de la alerta para investigar una alerta, sigue los pasos que se indican en Investigar una alerta.

Ver filas de tablas de datos en la Búsqueda

Puedes ver las filas de las tablas de datos directamente en la Búsqueda. Cuando usas una tabla de datos en tu búsqueda con YARA-L, los resultados pueden hacer referencia a las filas de la tabla de datos vinculadas a los eventos coincidentes. Estos resultados se muestran en la pestaña Eventos.

Usa el Gestor de columnas de la búsqueda para elegir qué tabla de datos y columnas quieres que se muestren en los resultados.

La búsqueda muestra el estado actual de la tabla de datos y sus filas cuando ves los resultados.

Para obtener más información, consulta el artículo Usar tablas de datos.

Usar listas de referencia en las búsquedas

El proceso para aplicar listas de referencia en Reglas también se puede usar en la búsqueda. Se pueden incluir hasta siete listas en una sola consulta de búsqueda. Se admiten todos los tipos de listas de referencia (cadena, expresión regular y CIDR).

Puede crear listas de cualquier variable de la que quiera hacer un seguimiento.

Por ejemplo, puedes crear una lista de direcciones IP sospechosas:

// Field value exists in reference list
principal.ip IN %suspicious_ips

Puedes usar varias listas con AND o OR:

// multiple lists can be used with AND or OR
principal.ip IN %suspicious_ips AND
principal.hostname IN %suspicious_hostnames

Acotar los resultados de búsqueda

Usa las funciones de la página Búsqueda para filtrar y acotar los resultados, en lugar de modificar y volver a ejecutar la búsqueda. Por ejemplo:

• Gráfico cronológico
• Ventana de agregaciones

Gráfico cronológico

El gráfico Cronologías ofrece una representación gráfica del número de eventos y alertas que se producen cada día y que se muestran en la búsqueda actual. Los eventos y las alertas se muestran en el mismo gráfico cronológico, que está disponible en las pestañas Eventos y Alertas.

El ancho de cada barra depende del intervalo de tiempo buscado. Por ejemplo, cada barra representa 10 minutos cuando la búsqueda abarca 24 horas de datos. Este gráfico se actualiza dinámicamente a medida que modificas la búsqueda.

Ajuste del intervalo de tiempo

Para ajustar el intervalo de tiempo del gráfico, mueve los controles deslizantes blancos hacia la izquierda y hacia la derecha para centrarte en el periodo que te interese. A medida que ajustas el periodo, las tablas Campos y valores de UDM y Eventos se actualizan para reflejar la selección actual. También puedes hacer clic en una sola barra del gráfico para ver solo los eventos de ese periodo.

Una vez que haya ajustado el periodo, aparecerán las casillas Eventos filtrados y Consultar eventos, que le permitirán limitar aún más los tipos de eventos que se muestran.

Imagen 4. Gráfico de cronología de eventos con controles de intervalo de tiempo.

Ventana de agregaciones

En la ventana Agregaciones se muestran los campos agrupados y los campos de UDM generados por tu búsqueda de UDM. Los campos agrupados se usan para buscar en varios campos de UDM de un tipo similar.

Un campo agrupado, como ip, namespace o user, es una variable de marcador de posición que agrupa los valores de campos de UDM similares. Por ejemplo, el campo agrupado namespace agrupa todos los valores de los siguientes campos de UDM: principal.namespace, src.namespace y target.namespace.

Se muestra un Número de eventos de cada Campo agrupado y Campo de UDM. El Número de eventos es el número de registros de eventos que tienen el mismo valor en ese campo.

Los campos Campos agrupados y Campos UDM se ordenan de mayor a menor Número de eventos y, dentro del mismo Número de eventos, por orden alfabético.

Para fijar un campo en la parte superior de la lista Agregaciones, haga clic en el icono Mantener Mantener del campo.

Imagen 5. Las agregaciones ayudan a identificar los valores de alta frecuencia.

Con las agregaciones, puede acotar aún más su búsqueda de UDM. Puede desplazarse por la lista de campos de UDM o buscar campos o valores de UDM específicos con el campo Buscar.

Filtrar campos de agregación

Usa las opciones de filtro para acotar la lista de campos de UDM que se muestran en la lista Agregaciones de la siguiente manera:

Imagen 6. Ejemplo de eventos que incluyen el valor del campo de UDM seleccionado.

1. Seleccione un campo de UDM en la lista Agregaciones para ver una lista de Valores de ese campo.

2. Selecciona un Valor de esa lista y haz clic en el icono de menú more_vert Más.

3. Selecciona una de las opciones de filtro:

   • Mostrar solo: solo se muestran los eventos que incluyen el valor del campo de UDM seleccionado.
   • Excluir: excluye los eventos que incluyen el valor del campo de UDM seleccionado.
   • Copiar: copia el valor del campo UDM en el portapapeles.

Puede añadir estos filtros de UDM adicionales al campo Filtrar eventos.

Campo de filtro de eventos

El campo Filtrar eventos muestra los filtros que has creado y te permite aplicarlos al campo Búsqueda o quitarlos según sea necesario.

Cuando haces clic en Aplicar a la búsqueda y ejecutar, los eventos que se muestran se filtran en función de los filtros adicionales que se muestran y el campo Buscar se actualiza. La búsqueda se vuelve a ejecutar automáticamente con los mismos parámetros de fecha y hora.

Imagen 7. Campo Filtrar eventos.

Si haces clic en Añadir filtro, se abrirá una ventana en la que podrás seleccionar campos de UDM adicionales.

Imagen 8. Ventana Filtrar eventos.

Ver alertas en la tabla Alertas

Para ver las alertas, haz clic en la pestaña Alertas.

Usa Agregaciones para ordenar las alertas por lo siguiente:

• Caso
• Nombre
• Prioridad
• Gravedad
• Estado
• Veredicto

De esta forma, puede centrarse en las alertas que más le interesan.

Las alertas se muestran en el mismo periodo que los eventos de la pestaña Eventos. De esta forma, podrás ver la conexión entre los eventos y las alertas.

Si quieres obtener más información sobre una alerta concreta, haz clic en ella. Se abrirá una página de Detalles de la alerta con información detallada sobre esa alerta.

Ver eventos en la tabla Eventos

Todos los filtros y controles afectan a la lista de eventos que se muestra en la tabla Eventos. Haga clic en cualquier evento para abrir el Visor de eventos, donde puede ver el registro sin procesar y el registro de UDM correspondiente. Cuando haga clic en el icono timestamp del evento, podrá ir a la vista Recurso, Dirección IP, Dominio, Hash o Usuario asociada. También puedes usar el campo Buscar para encontrar un evento específico.

Gestionar el conjunto de columnas de la tabla Eventos

En esta sección se describe cómo gestionar el conjunto de columnas de la tabla Eventos.

Para configurar las columnas que se muestran en la tabla Eventos, siga estos pasos:

1. En la parte superior de la tabla Eventos, haga clic en Columnas para abrir el Gestor de columnas.

2. Configure lo siguiente:

   • Haga clic en el filtro para especificar si quiere mostrar las columnas no aplicables.
   • Haga clic en el interruptor Mostrar seleccionados para que solo se muestren las columnas seleccionadas en la pestaña Columnas de eventos.
   • En la pestaña Columnas de eventos, seleccione los campos de las siguientes secciones contraíbles:
     • Campos rápidos: usa campos rápidos para añadir rápidamente el campo de UDM más relevante de ese tipo de datos. Selecciona un tipo de datos (por ejemplo, Nombre de host) y el campo UDM más frecuente de ese tipo de datos se añadirá como columna (por ejemplo, udm.principal.hostname).
     • Campos agrupados: consulta los campos de UDM relacionados. Usa campos agrupados para encontrar campos agrupados por categoría.
     • Todos los campos de evento: consulta y selecciona los campos de evento de la lista completa.
     • Todos los campos de entidad: consulta y selecciona campos de la lista completa de campos de entidad.

3. Opcional: Haz clic en Guardar para guardar el conjunto de columnas. Especifica un nombre para el conjunto. Escriba un nombre para el conjunto de columnas y, a continuación, haga clic en Guardar de nuevo.

Cargar un conjunto de columnas guardado

Para cargar un conjunto de columnas guardado, siga estos pasos:

1. En la parte superior de la tabla Eventos, haga clic en Columnas para abrir el Gestor de columnas.
2. Seleccione la pestaña Conjuntos de columnas.
3. Selecciona el conjunto de columnas que quieras cargar y haz clic en Aplicar.

Eliminar un conjunto de columnas guardado

Para eliminar un conjunto de columnas guardado, sigue estos pasos:

1. En la parte superior de la tabla Eventos, haga clic en Columnas para abrir el Gestor de columnas.
2. Seleccione la pestaña Conjuntos de columnas.
3. Selecciona el conjunto de columnas y haz clic en more_vertMás > Eliminar.

Descargar los eventos mostrados y los registros sin procesar

Puedes descargar los eventos mostrados (incluidos los registros sin procesar) en un archivo CSV para correlacionar los eventos UDM normalizados con sus registros de origen.

• Para descargar todos los resultados de búsqueda (hasta 1 millón de eventos), haga clic en more_vertMás y seleccione Descargar como CSV.

En la consola se muestra el número exacto de eventos incluidos.

Ver eventos en el Visor de eventos

Para abrir el Visor de eventos, mantén el puntero sobre un evento de la tabla Eventos y haz clic en el icono switch_access_2 .

El Visor de eventos incluye estas pestañas:

• Campos de evento
• Registro sin procesar
• Alertas
• Entidades

Pestaña Campos de evento

De forma predeterminada, la pestaña Campos de evento muestra los campos de evento de UDM en una estructura de árbol jerárquica, que se denomina Seleccionado.

Use la pestaña Campos de evento para hacer lo siguiente:

• Ver la definición de un campo. Mantén el puntero sobre el nombre del campo para ver su definición.
• Fija un campo para acceder a él rápidamente. En la lista Seleccionado, selecciona un campo y haz clic en Mantener fijar. . El campo se mostrará en la lista Fijados. Los campos permanecen en la lista Seleccionados y su jerarquía en la Lista fijada se muestra en notación delimitada por puntos con el prefijo udm (por ejemplo, udm.metadata.event_type).
• Añadir a columnas o copiar varios campos. Selecciona la casilla situada junto a un nodo o un campo y, a continuación, elige Añadir a columnas o Copiar.

• Realiza las siguientes acciones:

  • Filtros: aplica los siguientes filtros a la lista Seleccionado:

  • Mostrar campos no enriquecidos

  • Mostrar campos enriquecidos

  • Mostrar campos adicionales

  • Mostrar campos extraídos

  • Añadir a columnas: añade el campo de UDM como columna.

  • Copiar: copia los campos y valores de UDM seleccionados en el portapapeles del sistema.

Cada campo de UDM está etiquetado con un icono que indica si contiene datos enriquecidos o no. Las etiquetas de los iconos son las siguientes:

• U: los campos sin enriquecer contienen valores rellenados durante el proceso de normalización con datos del registro sin procesar original.

• E: Los campos enriquecidos contienen valores que Google SecOps rellena para proporcionar contexto adicional sobre los artefactos en un entorno de cliente. Para obtener más información, consulta el artículo Enriquecer datos de eventos y entidades con Google SecOps.

  En la pantalla de cada campo enriquecido se pueden mostrar todas las fuentes asociadas. Esta información es útil para la validación y la solución de problemas, y puede ser necesaria para realizar auditorías y cumplir los requisitos. También puedes filtrar los campos según su fuente de enriquecimiento.

Imagen 9. Campos de UDM enriquecidos y no enriquecidos en la pestaña Campos de evento del Visor de eventos, que muestra las fuentes de los campos enriquecidos.

Imagen 10. Use el filtro de la pestaña Campos de evento para mostrar u ocultar campos según varios atributos.

Pestaña Registro sin procesar

En la pestaña Registro sin procesar se muestra el registro sin procesar original en cualquiera de los siguientes formatos:

• Sin procesar
• JSON
• XML
• CSV
• Hexadecimal/ASCII

Ficha de alertas

En la pestaña Alertas se muestran las alertas asociadas al evento.

Pestaña Entidades

En la pestaña Entidades se muestran las entidades asociadas al evento.

Haga clic en una entidad para mostrar el cuadro de diálogo Contexto de la entidad, que puede incluir los siguientes elementos:

• Nombre del recurso
• Visto por primera vez
• Visto por última vez
• Direcciones IP
• Direcciones MAC
• Número de alertas
• Número más alto de alertas por regla
• Gráfico de barras de alertas a lo largo del tiempo
• Enlace Abrir alertas e IOCs
• Enlace Ver en pestaña Alertas

Usar la tabla dinámica para analizar eventos

La tabla dinámica te permite analizar eventos usando expresiones y funciones en los resultados de la búsqueda.

Sigue estos pasos para abrir y configurar la tabla dinámica:

1. Haz una búsqueda.

2. Haz clic en la pestaña Tabla dinámica para abrir la tabla dinámica.

3. Especifique un valor en Agrupar por para agrupar los eventos por un campo de MDUs específico. Puedes mostrar los resultados con las mayúsculas y minúsculas predeterminadas o solo con minúsculas seleccionando Minúsculas en el menú. Esta opción solo está disponible para los campos de cadena. Puede especificar hasta cinco valores de Agrupar por haciendo clic en Añadir campo.

   Si el valor de Agrupar por es uno de los campos de nombre de host, tiene las siguientes opciones de transformación adicionales:

   • Dominio de nivel N superior: elige el nivel del dominio que quieras mostrar. Por ejemplo, si usas el valor 1, solo se mostrará el dominio de nivel superior (como com, gov o edu). Si usas el valor 3, se mostrarán los dos niveles siguientes de los nombres de dominio (como google.co.uk).
   • Obtener dominio registrado: muestra solo el nombre de dominio registrado (por ejemplo, google.com, nytimes.com o youtube.com).

   Si el valor de Agrupar por es uno de los campos de IP, tiene las siguientes opciones de transformación adicionales:

   • Longitud del prefijo CIDR(IP) en bits: puedes especificar un valor entre 1 y 32 para las direcciones IPv4. En el caso de las direcciones IPv6, puedes especificar valores de hasta 128.

   Si el valor de Agrupar por incluye una marca de tiempo, tendrá las siguientes opciones de transformación adicionales:

   • Resolución(tiempo) en milisegundos
   • Tiempo de resolución(en segundos)
   • Resolución(tiempo) en minutos
   • Resolución(tiempo) en horas
   • Resolución(tiempo) en días

4. Especifica un valor para la tabla dinámica en la lista de campos de los resultados. Puedes especificar hasta cinco valores. Después de especificar un campo, debes seleccionar una opción de Resumir. Puedes hacer un resumen con las siguientes opciones:

   • suma
   • count
   • Recuento diferenciado
   • media
   • stddev
   • min
   • max

5. Especifique el valor Recuento de eventos para devolver el número de eventos identificados en esta búsqueda y tabla dinámica concretas.

   Las opciones de Resumir no son compatibles con todos los campos de Agrupar por. Por ejemplo, las opciones suma, media, desviación estándar, mínimo y máximo solo se pueden aplicar a campos numéricos. Si intentas asociar una opción Resumir incompatible con un campo Agrupar por, recibirás un mensaje de error.

6. Especifique uno o varios campos de UDM y seleccione uno o varios criterios de ordenación mediante la opción Ordenar por.

7. Cuando lo tengas todo listo, haz clic en Aplicar. Los resultados se muestran en la tabla dinámica.

8. Opcional: Para descargar la tabla dinámica, haz clic en more_vert Más y selecciona Descargar como CSV. Si no has seleccionado ningún campo de este tipo, esta opción estará inhabilitada.

Resumen de las búsquedas guardadas y del historial de búsqueda

Si haces clic en Gestor de búsquedas, podrás recuperar las búsquedas guardadas y ver tu historial de búsquedas. Selecciona una búsqueda guardada para ver información adicional, como el título y la descripción.

Las búsquedas guardadas y el historial de búsqueda son:

• Se almacenan en tu cuenta de Google SecOps.

• Solo el usuario puede verla y acceder a ella, a menos que uses la función Compartir una búsqueda para compartirla con tu organización.

Guardar una búsqueda

Para guardar una búsqueda, sigue estos pasos:

1. En la página Buscar, haz clic en more_horizMás junto a Ejecutar búsqueda y, a continuación, en Guardar búsqueda para usarla más adelante. Se abrirá el cuadro de diálogo Gestor de búsquedas. Te recomendamos que le pongas un nombre significativo a la búsqueda guardada y que añadas una descripción en texto sin formato de lo que estás buscando. También puedes crear una búsqueda desde el cuadro de diálogo Gestor de búsquedas haciendo clic en add Añadir. Aquí también están disponibles las herramientas de edición y de autocompletado de UDM estándar.

2. Opcional: Especifica variables de marcador de posición con el formato ${<variable name>} con el mismo formato que se usa para las variables en YARA-L. Si añades una variable a una búsqueda, también debes incluir una petición para ayudar al usuario a entender la información que debe introducir antes de realizar la búsqueda. Todas las variables deben rellenarse con valores antes de realizar una búsqueda.

   Por ejemplo, puedes añadir metadata.vendor_name = ${vendor_name} a tu búsqueda. En el caso de ${vendor_name}, debes añadir una petición para los futuros usuarios, como Enter the name of the vendor for your search. Cada vez que un usuario cargue esta búsqueda en el futuro, se le pedirá que introduzca el nombre del proveedor antes de ejecutar la búsqueda.

3. Cuando haya terminado, haga clic en Guardar cambios.

4. Para ver las búsquedas guardadas, haz clic en Gestor de búsquedas y, a continuación, en la pestaña Guardadas.

Recuperar una búsqueda guardada

Para recuperar y ejecutar una búsqueda guardada, sigue estos pasos:

1. En el cuadro de diálogo Gestor de búsquedas, selecciona una búsqueda guardada de la lista de la izquierda. Estas búsquedas guardadas se almacenan en tu cuenta de Google SecOps.

2. Opcional: Para eliminar una búsqueda, haz clic en more_horizMás y selecciona Eliminar búsqueda. Solo puedes eliminar las búsquedas que hayas creado.

3. Puedes cambiar el nombre de la búsqueda y la descripción. Cuando hayas terminado, haz clic en Guardar cambios.

4. Haz clic en Cargar búsqueda. La búsqueda se carga en el campo de búsqueda principal.

5. Haga clic en Ejecutar búsqueda para ver los eventos asociados a esta búsqueda.

Recuperar una búsqueda de tu historial de búsqueda

Para recuperar y ejecutar una búsqueda de tu historial de búsqueda, sigue estos pasos:

1. En el Gestor de búsquedas, haz clic en Historial.

2. Selecciona una búsqueda de tu historial de búsqueda. Tu historial de búsqueda se guarda en tu cuenta de Google SecOps. Para eliminar una búsqueda, haz clic en deleteEliminar.

3. Haz clic en Cargar búsqueda. La búsqueda se carga en el campo de búsqueda principal.

4. Haz clic en Ejecutar búsqueda para ver los eventos asociados a esta búsqueda.

Borrar, inhabilitar o habilitar el historial de búsqueda

Para borrar, inhabilitar o habilitar el historial de búsqueda, sigue estos pasos:

1. En Gestor de búsquedas, haga clic en la pestaña Historial.

2. Haz clic en more_vertMás.

3. Selecciona Borrar historial para borrar el historial de búsqueda.

4. Haz clic en Inhabilitar historial para inhabilitar el historial de búsqueda. Puedes elegir entre las siguientes opciones:

   • Solo inhabilitar: inhabilita el historial de búsqueda.

   • Inhabilitar y borrar: inhabilita el historial de búsqueda y elimina el historial de búsqueda guardado.

5. Si has inhabilitado el historial de búsqueda, puedes volver a habilitarlo haciendo clic en Habilitar historial de búsqueda.

6. Haz clic en Cerrar para salir de Gestor de búsquedas.

Compartir una búsqueda

Las búsquedas compartidas te permiten compartir búsquedas con tu equipo. En la pestaña Guardadas, puedes compartir o eliminar búsquedas. También puedes filtrar tus búsquedas haciendo clic en filter_altFiltrar junto a la barra de búsqueda y ordenar las búsquedas por Mostrar todo, Definido por Google SecOps, Creado por mí o Compartido.

No puedes editar una búsqueda compartida que no sea tuya.

1. Haz clic en Guardado.
2. Haz clic en la búsqueda que quieras compartir.
3. Haz clic en more_horizMás a la derecha de la búsqueda. Aparecerá un cuadro de diálogo con la opción de compartir tu búsqueda.
4. Haz clic en Compartir con tu organización.
5. Aparecerá un cuadro de diálogo que indica que las búsquedas que compartas serán visibles para los usuarios de tu organización. ¿Seguro que quieres compartirlo? Haz clic en Compartir.

Si quieres que la búsqueda solo sea visible para ti, haz clic en more_horizMás y, a continuación, en Dejar de compartir. Si dejas de compartirla, solo tú podrás usar esta búsqueda.

Campos de UDM que se pueden o no descargar en formato CSV desde la plataforma

En las siguientes subsecciones se muestran los campos de UDM compatibles y no compatibles para la descarga.

Campos admitidos

Puedes descargar los siguientes campos en un archivo CSV desde la plataforma:

• usuario

• nombre de host

• Nombre de proceso

• Tipo de evento

• timestamp

• Registro sin procesar (válido solo cuando los registros sin procesar están habilitados para el cliente)

• Todos los campos que empiezan por udm.additional

Tipos de campos válidos

Puede descargar los siguientes tipos de campos en un archivo CSV:

• doble

• flotante

• int32

• uint32

• int64

• uint64

• bool

• cadena

• enum

• bytes

• google.protobuf.Timestamp

• google.protobuf.Duration

Campos no admitidos

Los campos que empiezan por "udm" (no udm.additional) y cumplen alguna de las siguientes condiciones no se pueden descargar en formato CSV:

• La anidación del campo es superior a 10 en el prototipo de udm.

• El tipo de datos es Message o Group.

Factores que limitan los resultados de búsqueda

Al hacer búsquedas de UDM, los siguientes factores pueden limitar el número de resultados devueltos:

• El total de resultados ha superado el millón: la búsqueda limita los resultados a un millón de eventos. Cuando los resultados superan el millón, solo se muestran un millón.

• Limitar los resultados a menos de 1 millón en la plataforma mediante los ajustes de búsqueda: puedes configurar el conjunto de resultados de búsqueda predeterminado para que devuelva menos de 1 millón de resultados, lo que mejora la velocidad de las consultas. Si se define en <1M, verás menos resultados. De forma predeterminada, la búsqueda de SecOps limita el número de resultados a 30.000, pero puedes cambiarlo a un máximo de 1 millón en la configuración de búsqueda de la página Resultados.

• Los resultados de búsqueda están limitados a 10.000: aunque tu búsqueda devuelva más de 10.000 resultados, la consola solo mostrará los primeros 10.000. Esta limitación de la consola no refleja el número total de resultados posibles.

Siguientes pasos

Para obtener información sobre cómo usar los datos enriquecidos con contexto en la búsqueda, consulta Usar datos enriquecidos con contexto en la búsqueda.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.