Telusuri

Fungsi penelusuran memungkinkan Anda menemukan peristiwa dan pemberitahuan Unified Data Model (UDM) dalam instance Google Security Operations menggunakan sintaksis YARA-L 2.0. Penelusuran mencakup berbagai opsi untuk membantu Anda menjelajahi data UDM. Anda dapat menelusuri setiap peristiwa UDM dan grup peristiwa UDM yang terkait dengan istilah penelusuran bersama.

Pada sistem yang menggunakan RBAC data, Anda hanya dapat melihat data yang cocok dengan cakupan Anda. Untuk mengetahui informasi selengkapnya, lihat dampak RBAC data terhadap Penelusuran.

Untuk pelanggan Google SecOps, pemberitahuan juga dapat diserap dari konektor dan webhook. Anda juga dapat menggunakan penelusuran untuk menemukan pemberitahuan ini.

Untuk informasi selengkapnya tentang UDM, lihat Memformat data log sebagai UDM dan Daftar kolom UDM.

Mendapatkan akses ke penelusuran

Anda dapat mengakses penelusuran Google SecOps menggunakan opsi berikut:

• Di menu navigasi, klik Investigasi > Telusuri.

• Di kolom Penelusuran, masukkan kolom UDM yang valid untuk kolom penelusuran apa pun di Google SecOps, lalu tekan CTRL+Enter.

  

  Gambar 1. Contoh jendela Telusuri yang digunakan untuk menjelajahi tren peristiwa.

Bagian berikut menjelaskan cara menggunakan fitur penelusuran.

Menggunakan fitur penelusuran

• Ekspresi penelusuran terdiri dari kolom UDM yang akan ditelusuri, operator, dan nilai data yang akan ditelusuri.

• Jika ekspresi kueri valid, konsol Google SecOps akan mengaktifkan tombol Jalankan penelusuran.

• Kueri UDM didasarkan pada kolom yang ditentukan dalam daftar kolom Model Data Terpadu. Anda dapat menjelajahi dan memilih kolom UDM ini menggunakan Filter atau Penelusuran Log Mentah.

• Untuk menyesuaikan jumlah peristiwa yang ditampilkan, klik more_vert Lainnya, lalu pilih Setelan Penelusuran. Untuk mengetahui detailnya, lihat Setelan penelusuran.

• Untuk mengubah rentang data, buka jendela Rentang tanggal.

Untuk menggunakan fitur penelusuran, selesaikan langkah-langkah berikut:

1. Buka halaman Penelusuran.
2. Di kolom Telusuri, masukkan ekspresi penelusuran.
3. Untuk menelusuri peristiwa, masukkan nama kolom UDM di kolom Telusuri. Saat Anda mengetik, fitur pelengkapan otomatis akan menyarankan kolom UDM yang valid berdasarkan input Anda.

4. Setelah memasukkan kolom UDM yang valid, pilih operator yang valid. Antarmuka pengguna menampilkan operator valid yang tersedia berdasarkan kolom UDM yang Anda masukkan. Operator berikut didukung:

   • <, >
   • <=, >=
   • =, !=
   • nocase -- didukung untuk string

5. Setelah Anda memasukkan kolom dan operator UDM yang valid, tambahkan nilai data log yang ingin Anda telusuri. Untuk mengetahui detailnya, lihat Memformat nilai data yang akan ditelusuri.

6. Klik Jalankan penelusuran untuk menjalankan penelusuran.

   Hasil peristiwa ditampilkan dalam tabel Linimasa peristiwa di halaman Penelusuran.

7. Opsional: Persempit hasil dengan menambahkan filter UDM tambahan secara manual atau menggunakan konsol.

Memformat nilai data yang akan ditelusuri

Format nilai data menggunakan panduan berikut:

• Jenis data: Format nilai data berdasarkan jenis datanya:

  • Nilai yang dihitung: Gunakan nilai yang dihitung yang valid dan ditentukan untuk kolom UDM yang dipilih.

    Misalnya: Nilai teks, semua huruf besar diapit tanda kutip ganda:

    metadata.event_type = "NETWORK_CONNECTION"

  • Nilai tambahan: Gunakan format field[key\] = value untuk menelusuri dalam kolom additional dan labels.

    Contoh:

    additional.fields["key"]="value"

  • Nilai boolean: Gunakan true atau false (tidak peka huruf besar/kecil, tidak perlu tanda petik).

    Contoh:

    network.dns.response = true

  • Bilangan bulat: Gunakan nilai numerik tanpa tanda kutip.

    Contoh:

    target.port = 443

  • Nilai float: Untuk kolom UDM berjenis float, masukkan nilai desimal, seperti 3.1, atau bilangan bulat, seperti 3.

    Contoh:

    security_result.about.asset.vulnerabilities.cvss_base_score = 3.1

  • Ekspresi reguler: Apit ekspresi reguler di antara garis miring depan (/).

    Contoh:

    • principal.ip = /10.*/

    • Telusuri eksekusi psexec.exe (Jendela):

      target.process.command_line = /\bpsexec(\.exe)?\b/ nocase

    Untuk mengetahui detail tentang ekspresi reguler, lihat halaman ekspresi reguler.

  • String: Sertakan nilai teks dalam tanda kutip ganda.

    Contoh:

    metadata.product_name = "Google Cloud VPC Flow Logs"

• String yang tidak peka huruf besar/kecil: Gunakan operator nocase untuk mencocokkan kombinasi karakter huruf besar dan kecil dalam string.

  Contoh:

  • principal.hostname != "http-server" nocase
  • principal.hostname = "JDoe" nocase
  • principal.hostname = /dns-server-[0-9]+/ nocase

• Meng-escape karakter dalam string: Meng-escape karakter khusus dengan garis miring terbalik, sebagai berikut:

  • Gunakan \\ untuk meng-escape garis miring terbalik (\).
  • Gunakan \" untuk meng-escape tanda kutip ganda (").

  Contoh:

  • principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
  • target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""

• Ekspresi Boolean: Gunakan AND, OR, dan NOT untuk menggabungkan kondisi dan mempersempit hasil.

  Contoh berikut menunjukkan operator boolean yang didukung (AND, OR, dan NOT):

  • A AND B
  • A OR B

  • Gunakan tanda kurung ( ) untuk mengelompokkan ekspresi dan mengontrol urutan evaluasi:

    (A OR B) AND (B OR C) AND (C OR NOT D)

  Contoh:

  • Telusuri peristiwa login di server keuangan:

    metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"

  • Gunakan operator (>) untuk menelusuri koneksi yang mengirim lebih dari 10 MB data:

    metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000

  • Gunakan beberapa kondisi untuk menelusuri winword.exe yang meluncurkan cmd.exe atau powershell.exe:

    metadata.event_type = "PROCESS_LAUNCH" and
     principal.process.file.full_path = /winword/ and
     (target.process.file.full_path = /cmd.exe/ or
      target.process.file.full_path = /powershell.exe/)

• Telusuri pasangan nilai kunci di kolom additional dan labels:

  Kolom additional dan labels berfungsi sebagai penampung yang dapat disesuaikan untuk data peristiwa yang tidak dipetakan ke kolom UDM standar. Setiap entri menyimpan satu key-value pair.

  • Kolom additional dapat berisi beberapa pasangan nilai kunci.
  • Kolom labels hanya dapat berisi satu pasangan nilai kunci.

  Gunakan sintaksis ini untuk menentukan key-value pair yang akan ditelusuri di kolom additional dan labels:

  field[key\] = value.

  Contoh:

  additional.fields["key"]="value"

  Contoh penelusuran menggunakan pasangan nilai kunci tertentu di kolom additional dan labels:

  • Telusuri peristiwa yang berisi pasangan nilai kunci yang ditentukan:

    • additional.fields["pod_name"] = "kube-scheduler"

    • metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"

  • Gunakan operator AND dengan penelusuran pasangan nilai kunci:

    additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"

  • Telusuri semua peristiwa yang berisi kunci yang ditentukan, terlepas dari nilainya:

    additional.fields["pod_name"] != ""

  • Telusuri peristiwa yang berisi kunci tertentu, menggunakan ekspresi reguler:

    additional.fields.value.string_value = "mystring"

  • Telusuri peristiwa yang menggunakan beberapa kunci dengan nama yang sama, menggunakan ekspresi reguler:

    additional.fields.key = /myKeynumber_*/

  • Gunakan ekspresi reguler dan operator nocase:

    • additional.fields["pod_name"] = /br/

    • additional.fields["pod_name"] = bar nocase

• Gunakan komentar blok dan satu baris.

  • Gunakan komentar blok:

      additional.fields["pod_name"] = "kube-scheduler"
      /*
      Block comments can span
      multiple lines.
      */
      AND additional.fields["pod_name1"] = "kube-scheduler1"

  • Gunakan komentar satu baris:

    additional.fields["pod_name"] != "" // my single-line comment

Setelan penelusuran

Anda dapat menetapkan jumlah maksimum hasil penelusuran di Setelan Penelusuran UDM. Setelan ini bersifat spesifik per pengguna.

1. Klik Setelan penelusuran dari more_vertLainnya di samping Jalankan penelusuran.

2. Pilih Jumlah Hasil Maksimum yang Akan Ditampilkan. Opsinya adalah 1K, 10K, 100K, 1M, dan custom, yang dapat memiliki nilai antara 1 dan 1M. Nilai defaultnya adalah 1M. Kueri biasanya berjalan lebih cepat jika Anda memilih ukuran set hasil yang lebih kecil.

Penelusuran menampilkan terlalu banyak hasil

Jika penelusuran Anda terlalu luas, Google SecOps akan menampilkan pesan peringatan yang menunjukkan bahwa tidak semua hasil penelusuran dapat ditampilkan.

Dalam kasus tersebut, sistem hanya mengambil hasil terbaru, hingga batas penelusuran sebesar 1 juta peristiwa dan 1.000 pemberitahuan. Namun, mungkin ada lebih banyak peristiwa dan pemberitahuan yang cocok yang tidak ditampilkan.

Untuk memastikan Anda mendapatkan semua hasil yang relevan, pertimbangkan untuk mempersempit penelusuran dengan menerapkan filter tambahan. Mempersempit cakupan penelusuran membantu mengurangi set data menjadi ukuran yang dapat dikelola dan meningkatkan akurasi. Sebaiknya sesuaikan dan jalankan ulang penelusuran hingga hasilnya berada dalam batas tampilan sistem.

Halaman hasil penelusuran menampilkan 10.000 hasil terbaru. Anda dapat memfilter dan menyaring hasil penelusuran untuk menampilkan hasil yang lebih lama, sebagai alternatif untuk mengubah dan menjalankan ulang penelusuran.

Menelusuri kolom yang dikelompokkan

Kolom yang dikelompokkan adalah alias untuk grup kolom UDM terkait. Anda dapat menggunakannya untuk mengkueri beberapa kolom UDM secara bersamaan tanpa mengetik setiap kolom satu per satu.

Contoh berikut menunjukkan cara memasukkan kueri untuk mencocokkan kolom UDM umum yang mungkin berisi alamat IP yang ditentukan:

ip = "1.2.3.4"

Anda dapat mencocokkan kolom yang dikelompokkan menggunakan ekspresi reguler dan menggunakan operator nocase. Daftar referensi juga didukung. Kolom yang dikelompokkan juga dapat digunakan bersama dengan kolom UDM reguler seperti yang ditunjukkan pada contoh berikut:

ip = "5.6.7.8" AND metadata.event_type = "NETWORK_CONNECTION"

Kolom yang dikelompokkan memiliki bagian terpisah di Agregasi.

Jenis kolom UDM yang dikelompokkan

Anda dapat menelusuri semua kolom UDM yang dikelompokkan berikut:

Menemukan kolom UDM untuk kueri penelusuran

Saat menulis kueri penelusuran, Anda mungkin tidak tahu kolom UDM yang akan disertakan. UDM Lookup memungkinkan Anda menemukan nama kolom UDM dengan cepat yang berisi string teks dalam namanya atau yang menyimpan nilai string tertentu. Fungsi UDM Lookup tidak dimaksudkan untuk digunakan menelusuri jenis data lain, seperti byte, boolean, atau numerik. Anda memilih satu atau beberapa hasil yang ditampilkan oleh Pencarian UDM, dan menggunakannya sebagai titik awal untuk Kueri penelusuran.

Untuk menggunakan UDM Lookup, lakukan hal berikut:

1. Di halaman Penelusuran, klik UDM Lookup.

2. Pada dialog UDM Lookup, pilih satu atau beberapa opsi pencocokan berikut, untuk menentukan cakupan data yang akan ditelusuri:

   • Kolom UDM: Telusuri teks dalam nama kolom UDM.

     Misalnya: network.dns.questions.name atau principal.ip

   • Nilai: Telusuri teks dalam nilai yang ditetapkan ke Kolom UDM.

     Misalnya: dns atau google.com.

3. Masukkan atau ubah string di kolom Pencarian kolom/nilai UDM. Saat Anda mengetik, hasil penelusuran akan muncul di dialog.

   Hasilnya sedikit berbeda saat menelusuri di Kolom UDM dibandingkan dengan Nilai:

   • Menelusuri string teks dalam nama kolom UDM akan menampilkan pencocokan persis yang ditemukan di lokasi mana pun dalam nama.

     

     Gambar 3. Telusuri dalam nama kolom UDM di UDM Lookup.

   • Menelusuri teks di Nilai akan menampilkan hasil sebagai berikut:

     • Jika ditemukan di awal atau akhir nilai, string akan ditandai dalam hasil, bersama dengan nama kolom UDM dan waktu penyerapan log.
     • Jika string teks ditemukan di tempat lain dalam nilai, hasilnya akan menampilkan nama kolom UDM dan teks Kemungkinan kecocokan nilai.

     

     Gambar 2. Telusuri dalam Nilai di Pencarian UDM.

4. Dalam daftar hasil, Anda dapat melakukan hal berikut:

   • Klik nama kolom UDM untuk melihat deskripsi kolom tersebut.

   • Pilih satu atau beberapa hasil dengan mengklik kotak centang di sebelah kiri setiap nama kolom UDM.

   • Klik tombol Reset untuk membatalkan pilihan semua kolom yang dipilih dalam daftar hasil.

5. Untuk menambahkan hasil yang dipilih ke kolom Telusuri di halaman Telusuri, lakukan salah satu tindakan berikut:

   • Klik Tambahkan ke penelusuran.

   • Klik Salin UDM untuk menyalin hasil yang dipilih ke papan klip. Kemudian, tutup dialog UDM Lookup, dan tempelkan string kueri penelusuran ke kolom Search di halaman Search.

   Google SecOps mengonversi hasil yang dipilih menjadi string kueri penelusuran sebagai nama kolom UDM atau pasangan nama-nilai. Jika Anda menambahkan beberapa hasil, setiap hasil akan ditambahkan ke akhir kueri yang ada di kolom Penelusuran menggunakan operator OR.

   String kueri yang ditambahkan berbeda-beda bergantung pada jenis kecocokan yang ditampilkan oleh UDM Lookup.

   • Jika hasilnya cocok dengan string teks dalam nama kolom UDM, nama kolom UDM lengkap akan ditambahkan ke kueri. Contoh:

     principal.artifact.network.dhcp.client_hostname

   • Jika hasilnya cocok dengan string teks di awal atau akhir nilai, pasangan nama-nilai akan berisi nama kolom UDM dan nilai lengkap dalam hasil. Berikut adalah contohnya:

     • metadata.log_type = "PCAP_DNS"

     • network.dns.answers.name = "dns-A901F3j.hat.example.com"

   • Jika hasilnya menyertakan teks Kemungkinan kecocokan nilai, pasangan nama-nilai akan berisi nama kolom UDM dan ekspresi reguler yang berisi istilah penelusuran. Contoh:

     principal.process.file.full_path = /google/ NOCASE

6. String kueri yang dihasilkan oleh UDM Lookup berfungsi sebagai titik awal untuk kueri penelusuran. Edit Kueri penelusuran di halaman Penelusuran agar sesuai dengan kasus penggunaan Anda.

Ringkasan perilaku UDM Lookup

Bagian ini memberikan detail selengkapnya tentang kemampuan UDM Lookup.

• UDM Lookup menelusuri data yang diserap setelah 10 Agustus 2023. Data yang ditransfer sebelumnya tidak akan ditelusuri. Fungsi ini menampilkan hasil yang ditemukan di kolom UDM yang tidak diperkaya. Fitur ini tidak menampilkan kecocokan ke kolom yang diperkaya. Untuk informasi tentang kolom yang diperkaya dan tidak diperkaya, lihat Melihat peristiwa di Penampil Peristiwa.
• Penelusuran menggunakan UDM Lookup tidak peka huruf besar/kecil. Istilah hostname menampilkan hasil yang sama dengan HostName.
• Tanda hubung (-) dan garis bawah (_) dalam string teks kueri akan diabaikan saat menelusuri Nilai. String teks dns-l dan dnsl menampilkan nilai dns-l.

• Saat menelusuri Nilai, Penelusuran UDM tidak menampilkan kecocokan dalam kasus berikut:

  Cocok di kolom UDM berikut:	metadata.product_log_id network.session_id security_result.rule_id network.parent_session_id
  Cocok di kolom UDM dengan jalur lengkap yang diakhiri dengan salah satu nilai berikut:	.pid Misalnya target.process.pid. .asset_id Misalnya principal.asset_id. .product_specific_process_id Misalnya principal.process.product_specific_process_id. .resource.id Misalnya principal.resource.id.

  
  

• Saat menelusuri Nilai, Penelusuran UDM akan menampilkan Kemungkinan kecocokan nilai jika kecocokan ditemukan dalam kasus berikut:

  Cocok di kolom UDM berikut:	metadata.description security_result.description security_result.detection_fields.value security_result.summary network.http.user_agent
  Mencocokkan kolom dengan jalur lengkap yang diakhiri dengan salah satu nilai berikut:	.command_line Misalnya principal.process.command_line. .file.full_path Misalnya principal.process.file.full_path. .labels.value Misalnya src.labels.value. .registry.registry_key Misalnya principal.registry.registry_key. .url Misalnya principal.url.
  Mencocokkan kolom dengan jalur lengkap yang diawali dengan nilai berikut:	additional.fields.value. Misalnya additional.fields.value.null_value.

Melihat pemberitahuan di penelusuran

Untuk melihat pemberitahuan, klik tab Pemberitahuan, yang terletak di samping tab Peristiwa, di kanan atas halaman Penelusuran.

Cara notifikasi ditampilkan

Google SecOps mengevaluasi peristiwa yang ditampilkan dalam penelusuran terhadap peristiwa yang ada untuk pemberitahuan di lingkungan pelanggan. Jika peristiwa kueri penelusuran cocok dengan peristiwa yang ada dalam pemberitahuan, peristiwa tersebut akan ditampilkan di Linimasa pemberitahuan dan tabel Pemberitahuan yang dihasilkan.

Definisi peristiwa dan pemberitahuan

Peristiwa dihasilkan dari sumber log mentah yang diserap ke dalam Google SecOps dan diproses oleh proses penyerapan dan normalisasi Google SecOps. Beberapa peristiwa dapat dihasilkan dari satu data sumber log mentah. Peristiwa mewakili kumpulan titik data yang relevan dengan keamanan yang dihasilkan dari log mentah tersebut.

Dalam penelusuran, notifikasi ditentukan sebagai deteksi aturan YARA-L dengan notifikasi yang diaktifkan. Lihat menjalankan aturan terhadap data langsung untuk mempelajari lebih lanjut.

Sumber data lainnya dapat diserap ke dalam Google SecOps sebagai pemberitahuan, seperti Pemberitahuan Crowdstrike Falcon. Notifikasi ini tidak muncul dalam penelusuran kecuali jika diproses oleh Mesin Deteksi Google SecOps sebagai aturan YARA-L.

Peristiwa yang terkait dengan satu atau beberapa pemberitahuan ditandai dengan chip Pemberitahuan di Linimasa Peristiwa. Jika ada beberapa pemberitahuan yang terkait dengan linimasa, chip akan menampilkan jumlah pemberitahuan terkait.

Linimasa menampilkan 1.000 notifikasi terbaru yang diambil dari hasil penelusuran. Jika batas 1.000 tercapai, tidak ada lagi pemberitahuan yang diambil. Untuk memastikan Anda melihat semua hasil yang relevan dengan penelusuran, pertajam penelusuran dengan filter.

Cara menyelidiki pemberitahuan

Untuk mempelajari cara menggunakan Grafik pemberitahuan dan Detail pemberitahuan guna menyelidiki pemberitahuan, ikuti langkah-langkah yang diuraikan dalam Menyelidiki pemberitahuan.

Menggunakan daftar referensi dalam penelusuran

Proses untuk menerapkan daftar referensi dalam Aturan juga dapat digunakan dalam penelusuran. Hingga tujuh daftar dapat disertakan dalam satu kueri penelusuran. Semua jenis daftar referensi (string, ekspresi reguler, CIDR) didukung.

Anda dapat membuat daftar variabel yang ingin dilacak.

Misalnya, Anda dapat membuat daftar alamat IP yang mencurigakan:

// Field value exists in reference list
principal.ip IN %suspicious_ips

Anda dapat menggunakan beberapa daftar menggunakan AND atau OR:

// multiple lists can be used with AND or OR
principal.ip IN %suspicious_ips AND
principal.hostname IN %suspicious_hostnames

Mempersempit hasil penelusuran

Gunakan fitur halaman Penelusuran untuk memfilter dan menyaring hasil, sebagai alternatif untuk mengubah dan menjalankan ulang penelusuran. Contoh:

• Diagram linimasa
• Jendela agregasi

Diagram linimasa

Diagram Linimasa memberikan representasi grafis jumlah peristiwa dan pemberitahuan yang terjadi setiap hari yang ditampilkan oleh penelusuran saat ini. Peristiwa dan pemberitahuan ditampilkan pada diagram linimasa yang sama, yang tersedia di tab Peristiwa dan Pemberitahuan.

Lebar setiap batang bergantung pada interval waktu yang ditelusuri. Misalnya, setiap batang mewakili 10 menit jika penelusuran mencakup data selama 24 jam. Diagram ini diperbarui secara dinamis saat Anda mengubah penelusuran yang ada.

Penyesuaian rentang waktu

Anda dapat menyesuaikan rentang waktu untuk diagram dengan memindahkan kontrol penggeser putih ke kiri dan kanan untuk menyesuaikan rentang waktu dan berfokus pada periode yang diinginkan. Saat Anda menyesuaikan rentang waktu, tabel UDM Fields and Values, dan Events akan diperbarui untuk mencerminkan pilihan saat ini. Anda juga dapat mengklik satu batang pada grafik untuk mencantumkan peristiwa tersebut saja dalam jangka waktu tersebut.

Setelah Anda menyesuaikan rentang waktu, kotak centang Peristiwa yang Difilter dan Peristiwa Kueri akan muncul, sehingga Anda dapat lebih membatasi jenis peristiwa yang ditampilkan.

Gambar 4. Diagram linimasa peristiwa dengan kontrol rentang waktu.

Jendela agregasi

Jendela Aggregations menampilkan Grouped Fields dan UDM Fields yang dihasilkan oleh penelusuran UDM Anda. Kolom yang Dikelompokkan digunakan untuk menelusuri beberapa Kolom UDM dari jenis yang serupa.

Kolom yang Dikelompokkan, misalnya, ip, namespace, atau user, adalah variabel placeholder yang mengelompokkan nilai kolom UDM yang serupa. Misalnya, kolom yang dikelompokkan namespace mengelompokkan semua nilai dari Kolom UDM berikut: principal.namespace, src.namespace, dan target.namespace.

Jumlah peristiwa ditampilkan untuk setiap Kolom yang Dikelompokkan dan Kolom UDM. Jumlah peristiwa adalah jumlah data peristiwa yang memiliki nilai yang sama untuk kolom tersebut.

Bidang yang Dikelompokkan dan Bidang UDM diurutkan dari Jumlah peristiwa tertinggi ke terendah, dan dalam urutan abjad dalam Jumlah peristiwa yang sama.

Untuk menyematkan kolom ke bagian atas daftar Agregasi, klik ikon Simpan Simpan kolom.

Gambar 5. Penggabungan membantu mengidentifikasi nilai frekuensi tinggi.

Dengan menggunakan Agregasi, Anda dapat mempersempit penelusuran UDM lebih lanjut. Anda dapat men-scroll daftar kolom UDM atau menelusuri kolom atau nilai UDM tertentu menggunakan kolom Telusuri.

Memfilter kolom agregasi

Gunakan opsi filter untuk mempersempit daftar kolom UDM yang ditampilkan dalam daftar Agregasi, sebagai berikut:

Gambar 6. Contoh peristiwa yang menyertakan nilai kolom UDM yang dipilih.

1. Pilih UDM field dalam daftar Aggregations, untuk menampilkan daftar Values untuk kolom tersebut.

2. Pilih Nilai dari daftar tersebut, lalu klik ikon menu more_vert Lainnya.

3. Pilih salah satu opsi filter:

   • Hanya tampilkan: Hanya tampilkan peristiwa yang menyertakan nilai kolom UDM yang dipilih.
   • Filter: Memfilter peristiwa yang menyertakan nilai kolom UDM yang dipilih.
   • Salin: Salin nilai kolom UDM ke papan klip Anda.

Anda dapat menambahkan filter UDM tambahan ini ke kolom Filter peristiwa.

Memfilter kolom peristiwa

Kolom Filter peristiwa menampilkan filter yang telah Anda buat, dan memungkinkan Anda menerapkannya ke kolom Telusuri, atau menghapusnya sesuai kebutuhan.

Saat Anda mengklik Terapkan untuk menelusuri dan menjalankan, peristiwa yang ditampilkan akan difilter berdasarkan filter tambahan yang ditampilkan, dan kolom Telusuri akan diperbarui. Penelusuran otomatis dijalankan lagi menggunakan parameter tanggal dan waktu yang sama.

Gambar 7. Kolom Filter peristiwa.

Jika Anda mengklik Tambahkan filter, jendela akan terbuka yang memungkinkan Anda memilih kolom UDM tambahan.

Gambar 8. Jendela Filter peristiwa.

Melihat peristiwa di tabel Peristiwa

Semua filter dan kontrol memengaruhi daftar peristiwa yang ditampilkan di tabel Events. Klik peristiwa apa pun untuk membuka Logs Viewer, tempat Anda dapat melihat log mentah dan data UDM yang sesuai. Saat mengklik timestamp acara, Anda dapat membuka Aset, Alamat IP, Domain, Hash, atau Tampilan pengguna terkait. Anda juga dapat menggunakan kolom Penelusuran untuk menemukan peristiwa tertentu.

Melihat pemberitahuan di tabel Pemberitahuan

Anda dapat melihat pemberitahuan dengan mengklik tab Pemberitahuan. Gunakan Agregasi untuk mengurutkan pemberitahuan berdasarkan:

• Kasus
• Nama
• Prioritas
• Keparahan
• Status
• Putusan

Hal ini membantu Anda berfokus pada pemberitahuan yang paling penting bagi Anda.

Pemberitahuan ditampilkan pada jangka waktu yang sama dengan peristiwa di tab Peristiwa. Hal ini membantu Anda melihat hubungan antara peristiwa dan pemberitahuan.

Jika Anda ingin mempelajari notifikasi tertentu lebih lanjut, klik notifikasi tersebut. Halaman Detail notifikasi individual akan terbuka yang berisi informasi mendalam tentang notifikasi tersebut.

Melihat peristiwa di Event Viewer

Untuk membuka Event Viewer, arahkan kursor ke peristiwa dalam tabel Events, lalu klik switch_access_2 Open event viewer.

Event Viewer memiliki tab berikut: UDM Fields, Raw Log, Alerts, dan Entities:

• Tab UDM Fields:

  Tab UDM Fields menampilkan daftar terstruktur UDM Fields dalam data UDM.

  • Tahan kursor ke kolom UDM untuk melihat definisinya.
  • Centang kotak kolom untuk melakukan tindakan pada beberapa kolom.

  • Gunakan tindakan berikut:

    • Filter: Terapkan filter berikut ke daftar Kolom UDM:

      • Menampilkan kolom yang tidak diperkaya
      • Menampilkan kolom yang diperkaya
      • Tampilkan kolom tambahan
      • Menampilkan kolom yang diekstrak

    • Tambahkan ke Kolom: Menambahkan kolom UDM.

    • Salin: Untuk menyalin kolom UDM dan nilai UDM yang dipilih ke papan klip sistem.

  Setiap kolom UDM diberi label dengan ikon yang menunjukkan apakah kolom tersebut berisi data yang diperkaya atau tidak diperkaya. Label ikonnya adalah sebagai berikut:

  • U: Kolom yang tidak diperkaya berisi nilai yang diisi selama proses normalisasi menggunakan data dari log mentah asli.

  • E: Kolom yang diperkaya berisi nilai yang diisi Google SecOps untuk memberikan konteks tambahan tentang artefak di lingkungan pelanggan. Untuk informasi selengkapnya, lihat Cara Google SecOps memperkaya data peristiwa dan entitas.

    

    Gambar 9. Kolom UDM di Pembuat Laporan Peristiwa.

• Tab Log Mentah

  Tab Raw Log menampilkan log mentah asli dalam salah satu format berikut:

  • Mentah
  • JSON
  • XML
  • CSV
  • Hex/ASCII

Menggunakan opsi Kolom untuk penelusuran

Gunakan opsi Columns untuk menyesuaikan kolom yang ditampilkan di tabel Events. Menu Columns akan ditampilkan, yang menawarkan berbagai opsi berdasarkan jenis peristiwa yang ditampilkan oleh penelusuran.

Menyimpan kumpulan kolom

Anda dapat menyimpan kumpulan kolom yang telah dipilih di sini secara opsional dengan mengklik Simpan. Beri nama kumpulan kolom yang dipilih, lalu klik Simpan lagi. Anda dapat memuat kumpulan kolom tersimpan dengan mengklik Muat dan memilih kumpulan kolom tersimpan dari daftar.

Untuk mendownload peristiwa yang ditampilkan, klik more_vertLainnya, lalu pilih Download sebagai CSV. Tindakan ini akan mendownload semua hasil penelusuran, hingga 1 juta peristiwa. Konsol menunjukkan jumlah peristiwa yang akan didownload.

Gambar 10. Menelusuri kolom.

Menggunakan Tabel Pivot untuk menganalisis peristiwa

Tabel Pivot memungkinkan Anda menganalisis peristiwa menggunakan ekspresi dan fungsi terhadap hasil dari penelusuran.

Selesaikan langkah-langkah berikut untuk membuka dan mengonfigurasi Tabel Pivot:

1. Jalankan penelusuran.

2. Klik tab Pivot untuk membuka Tabel Pivot.

3. Tentukan nilai Kelompokkan menurut untuk mengelompokkan peristiwa menurut kolom UDM tertentu. Anda dapat menampilkan hasil menggunakan kapitalisasi default atau menggunakan huruf kecil saja dengan memilih huruf kecil dari menu. Opsi ini hanya tersedia untuk kolom string. Anda dapat menentukan hingga 5 nilai Kelompokkan menurut dengan mengklik Tambahkan Kolom.

   Jika nilai Kelompokkan menurut adalah salah satu kolom nama host, Anda akan memiliki opsi Transformasi tambahan:

   • Domain Tingkat N Teratas: Pilih tingkat domain yang akan ditampilkan. Misalnya, menggunakan nilai 1 hanya akan menampilkan domain level teratas (seperti com, gov, atau edu). Menggunakan nilai 3 akan menampilkan dua level nama domain berikutnya (seperti google.co.uk).
   • Get Registered Domain: Hanya menampilkan nama domain terdaftar (seperti google.com, nytimes.com, dan youtube.com).

   Jika nilai Kelompokkan menurut adalah salah satu kolom IP, Anda memiliki opsi Transformasi tambahan:

   • (IP) Panjang awalan CIDR dalam bit: Anda dapat menentukan 1 hingga 32 untuk alamat IPv4. Untuk alamat IPv6, Anda dapat menentukan nilai hingga 128.

   Jika nilai Kelompokkan menurut menyertakan stempel waktu, Anda akan memiliki opsi Transformasi tambahan:

   • (Waktu) Resolusi dalam milidetik
   • (Waktu) Resolusi dalam detik
   • (Waktu) Penyelesaian dalam menit
   • (Waktu) Penyelesaian dalam jam
   • (Waktu) Penyelesaian dalam hari

4. Tentukan Nilai untuk Pivot dari daftar Kolom dalam hasil Anda. Anda dapat menentukan hingga 5 nilai. Setelah menentukan Kolom, Anda harus memilih opsi Ringkas. Anda dapat membuat ringkasan berdasarkan opsi berikut:

   • sum
   • count
   • count distinct
   • rata-rata
   • stddev
   • mnt
   • max

5. Tentukan nilai Jumlah peristiwa untuk menampilkan jumlah peristiwa yang diidentifikasi untuk penelusuran dan Tabel Pivot tertentu ini.

   Opsi Ringkas tidak kompatibel secara universal dengan kolom Kelompokkan menurut. Misalnya, opsi sum, average, stddev, min, dan max hanya dapat diterapkan ke kolom numerik. Jika Anda mencoba mengaitkan opsi Ringkas yang tidak kompatibel dengan kolom Kelompokkan menurut, Anda akan menerima pesan error.

6. Tentukan satu atau beberapa kolom UDM dan pilih satu atau beberapa pengurutan menggunakan opsi Urutkan menurut.

7. Klik Terapkan jika Anda sudah siap. Hasilnya ditampilkan di Tabel Pivot.

8. Opsional: Untuk mendownload Tabel Pivot, klik more_vertLainnya, lalu pilih Download sebagai CSV. Jika Anda tidak memilih pivot, opsi ini akan dinonaktifkan.

Ringkasan penelusuran tersimpan dan histori penelusuran

Dengan mengklik Pengelola penelusuran, Anda dapat mengambil penelusuran tersimpan dan melihat histori penelusuran. Pilih penelusuran tersimpan untuk melihat informasi tambahan, termasuk judul dan deskripsi.

Penelusuran tersimpan dan histori penelusuran:

• Disimpan dengan akun Google SecOps Anda.

• Hanya dapat dilihat dan diakses oleh pengguna individual, kecuali jika Anda menggunakan fitur Bagikan penelusuran untuk membagikan penelusuran dengan organisasi Anda.

Menyimpan penelusuran

Untuk menyimpan penelusuran, lakukan hal berikut:

1. Dari halaman Telusuri, klik more_horizLainnya di samping Jalankan penelusuran, lalu klik Simpan penelusuran untuk menggunakan penelusuran ini nanti. Tindakan ini akan membuka dialog Pengelola penelusuran. Sebaiknya beri penelusuran tersimpan Anda nama yang bermakna dan deskripsi teks biasa tentang apa yang Anda telusuri. Anda juga dapat membuat penelusuran baru dari dalam dialog Pengelola penelusuran dengan mengklik add Tambahkan. Alat pengeditan dan penyelesaian UDM standar juga tersedia di sini.

2. Opsional: Tentukan variabel placeholder dalam format ${<variable name>} menggunakan format yang sama seperti yang digunakan untuk variabel di YARA-L. Jika menambahkan variabel ke penelusuran, Anda juga harus menyertakan perintah untuk membantu pengguna memahami informasi yang diperlukan untuk dimasukkan sebelum mereka menjalankan penelusuran. Semua variabel harus diisi dengan nilai sebelum penelusuran dijalankan.

   Misalnya, Anda dapat menambahkan metadata.vendor_name = ${vendor_name} ke penelusuran. Untuk ${vendor_name}, Anda perlu menambahkan perintah untuk pengguna mendatang, seperti Enter the name of the vendor for your search. Setiap kali pengguna memuat penelusuran ini pada masa mendatang, mereka akan diminta untuk memasukkan nama vendor sebelum menjalankan penelusuran.

3. Klik Simpan Hasil Edit setelah selesai.

4. Untuk melihat penelusuran tersimpan, klik Pengelola Penelusuran, lalu klik tab Tersimpan.

Mengambil penelusuran tersimpan

Untuk mengambil dan menjalankan penelusuran tersimpan, lakukan hal berikut:

1. Dalam dialog Pengelola penelusuran, pilih penelusuran tersimpan dari daftar di sebelah kiri. Penelusuran tersimpan ini disimpan ke akun Google SecOps Anda.

2. Opsional: Hapus penelusuran dengan mengklik more_horizLainnya dan memilih Hapus penelusuran. Anda hanya dapat menghapus penelusuran yang Anda buat.

3. Anda dapat mengubah nama penelusuran dan deskripsinya. Klik Simpan pengeditan setelah selesai.

4. Klik Muat penelusuran. Penelusuran dimuat ke kolom penelusuran utama.

5. Klik Jalankan Penelusuran untuk melihat peristiwa yang terkait dengan penelusuran ini.

Mengambil penelusuran dari histori penelusuran Anda

Untuk mengambil dan menjalankan penelusuran dari histori penelusuran Anda, lakukan hal berikut:

1. Di Pengelola Penelusuran, klik Histori.

2. Pilih penelusuran dari histori penelusuran Anda. Histori penelusuran Anda disimpan ke akun Google SecOps Anda. Anda dapat menghapus penelusuran dengan mengklik deleteHapus.

3. Klik Muat penelusuran. Penelusuran dimuat ke kolom penelusuran utama.

4. Klik Jalankan penelusuran untuk melihat peristiwa yang terkait dengan penelusuran ini.

Menghapus, menonaktifkan, atau mengaktifkan histori penelusuran

Untuk menghapus, menonaktifkan, atau mengaktifkan histori penelusuran, lakukan hal berikut:

1. Di Pengelola Penelusuran, klik tab Histori.

2. Klik more_vertLainnya.

3. Pilih Hapus Histori untuk menghapus histori penelusuran.

4. Klik Nonaktifkan Histori untuk menonaktifkan histori penelusuran. Anda memiliki opsi untuk:

   • Hanya Menonaktifkan: Nonaktifkan histori penelusuran.

   • Nonaktifkan dan Hapus: Menonaktifkan histori penelusuran dan menghapus histori penelusuran yang disimpan.

5. Jika sebelumnya Anda menonaktifkan histori penelusuran, Anda dapat mengaktifkannya lagi dengan mengklik Aktifkan Histori Penelusuran.

6. Klik Tutup untuk keluar dari Pengelola Penelusuran.

Membagikan penelusuran

Dengan penelusuran bersama, Anda dapat membagikan penelusuran kepada tim. Di tab Tersimpan, Anda dapat membagikan atau menghapus penelusuran. Anda juga dapat memfilter penelusuran dengan mengklik filter_altFilter di samping kotak penelusuran dan mengurutkan penelusuran menurut Tampilkan semua, Ditetapkan oleh Google SecOps, Ditulis oleh Saya, atau Dibagikan.

Anda tidak dapat mengedit penelusuran bersama yang bukan milik Anda.

1. Klik Tersimpan.
2. Klik penelusuran yang ingin dibagikan.
3. Klik more_horizLainnya di sebelah kanan penelusuran. Dialog dengan opsi untuk membagikan penelusuran Anda akan muncul.
4. Klik Bagikan dengan Organisasi Anda.
5. Dialog akan muncul yang menyatakan bahwa Berbagi penelusuran Anda akan terlihat oleh orang di organisasi Anda. Yakin ingin berbagi? Klik Bagikan.

Jika Anda ingin penelusuran hanya terlihat oleh Anda, klik more_horizLainnya, lalu klik Berhenti Berbagi. Jika berbagi dihentikan, hanya Anda yang dapat menggunakan penelusuran ini.

Kolom UDM yang dapat atau tidak dapat didownload ke CSV dari platform

Kolom UDM yang didukung dan tidak didukung untuk didownload ditampilkan di subbagian berikut.

Kolom yang didukung

Anda dapat mendownload kolom berikut ke file CSV dari platform:

• pengguna

• hostname

• nama proses

• jenis peristiwa

• timestamp

• log mentah (hanya valid jika log mentah diaktifkan untuk pelanggan)

• Semua kolom yang diawali dengan "udm.additional"

Jenis kolom yang valid

Anda dapat mendownload jenis kolom berikut ke file CSV:

• double

• float

• int32

• uint32

• int64

• uint64

• bool

• string

• enum

• byte

• google.protobuf.Timestamp

• google.protobuf.Duration

Kolom yang tidak didukung

Kolom yang diawali dengan "udm" (bukan udm.additional) dan memenuhi salah satu kondisi berikut tidak dapat didownload ke CSV:

• Tingkat bertingkat kolom lebih dari 10 di proto udm.

• Jenis datanya adalah Message atau Group.

Faktor yang membatasi hasil penelusuran

Saat melakukan penelusuran UDM, faktor berikut dapat membatasi jumlah hasil yang ditampilkan:

• Total hasil melebihi 1 juta: Penelusuran membatasi hasil hingga 1 juta peristiwa. Jika hasil melebihi 1 juta, hanya 1 juta hasil yang ditampilkan.

• Membatasi hasil menjadi <1 juta di platform melalui setelan penelusuran: Anda dapat mengonfigurasi kumpulan hasil penelusuran default untuk menampilkan hasil kurang dari 1 juta, sehingga meningkatkan kecepatan kueri. Jika disetel ke <1 juta, Anda akan melihat lebih sedikit hasil. Secara default, penelusuran SecOps membatasi jumlah hasil hingga 30 ribu, tetapi Anda dapat mengubahnya hingga 1 juta menggunakan setelan penelusuran di halaman Hasil.

• Hasil penelusuran dibatasi hingga 10 ribu: Meskipun penelusuran Anda menampilkan lebih dari 10.000 hasil, konsol hanya akan menampilkan 10.000 hasil pertama. Batasan konsol ini tidak mencerminkan jumlah total kemungkinan hasil.

Langkah berikutnya

Untuk informasi tentang cara menggunakan data yang diperkaya konteks dalam penelusuran, lihat Menggunakan data yang diperkaya konteks dalam penelusuran.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.