Ricerca UDM

Supportato in:

La funzione di ricerca UDM consente di trovare eventi e avvisi Unified Data Model (UDM) all'interno dell'istanza di Google Security Operations. La ricerca UDM include una serie di opzioni di ricerca che ti aiutano a navigare nei dati UDM. Puoi cercare singoli eventi UDM e gruppi di eventi UDM associati a termini di ricerca condivisi.

Nei sistemi che utilizzano l'accesso in base al ruolo dei dati, puoi visualizzare solo i dati corrispondenti ai tuoi scopi. Per ulteriori informazioni, consulta l'impatto del RBAC dei dati sulla Ricerca.

Per i clienti di Google Security Operations, gli avvisi possono essere importati anche da connettori e webhooks. Puoi utilizzare la ricerca UDM anche per trovare questi avvisi.

Per ulteriori informazioni sull'UDM, consulta Formattare i dati di log come UDM ed Elenco dei campi Unified Data Model.

Per accedere alla ricerca UDM di Google Security Operations, fai clic su Cerca nella barra di navigazione. Puoi anche accedere alla ricerca UDM inserendo un campo UDM valido da qualsiasi campo di ricerca in Google Security Operations e premendo CTRL+Invio.

Per un elenco di tutti i campi UDM validi, consulta l'elenco dei campi del modello di dati unificato.

Ricerca UDM

Figura 1. Ricerca UDM

Ricerca UDM vuota

Figura 2. Finestra di ricerca UDM che si apre con CTRL+Invio

Completa i seguenti passaggi per inserire una ricerca UDM nel campo Ricerca UDM. Al termine dell'inserimento di una ricerca UDM, fai clic su Esegui ricerca. L'interfaccia utente di Google Security Operations consente di inserire solo un'espressione di ricerca UDM valida. Puoi anche modificare l'intervallo di dati da cercare aprendo la finestra dell'intervallo di date.

Se la ricerca è troppo generica, Google Security Operations restituisce un messaggio di avviso che indica che non è possibile visualizzare tutti i risultati di ricerca. Riduci l'ambito della ricerca ed eseguila di nuovo. Quando una ricerca è troppo generica, Google Security Operations restituisce i risultati più recenti fino al limite di ricerca (un milione di eventi e mille avvisi). Potrebbero esserci molti più eventi e avvisi corrispondenti, ma al momento non vengono visualizzati. Tieni presente questo aspetto quando analizzi i risultati. Google consiglia di applicare filtri aggiuntivi ed eseguire la ricerca originale finché non si rimane al di sotto del limite.

La pagina dei risultati di ricerca di UDM mostra i diecimila risultati più recenti. Puoi filtrare e perfezionare i risultati di ricerca per visualizzare i risultati precedenti, in alternativa alla modifica della ricerca UDM e al suo nuovo esecuzione.

Esegui ricerca per data

Figura 3. Esegui ricerca

Le query UDM si basano sui campi UDM, che sono tutti elencati nell'elenco dei campi Unified Data Model. Puoi anche visualizzare i campi UDM nel contesto delle ricerche utilizzando i filtri o la ricerca dei log non elaborati.

  1. Per cercare eventi, inserisci un nome di campo UDM nel campo di ricerca. L'interfaccia dell'utente include il completamento automatico e mostra i campi UDM validi in base a quanto inserito.

  2. Dopo aver inserito un campo UDM valido, seleziona un operatore valido. L'interfaccia dell'utente mostra gli operatori validi disponibili in base al campo UDM inserito. Sono supportati i seguenti operatori:

    • <, >
    • <=, >=
    • =, !=
    • nocase: supportato per le stringhe

  3. Dopo aver inserito un campo e un operatore UDM validi, inserisci i dati di log corrispondenti che stai cercando. Sono supportati i seguenti tipi di dati:

    • Valori enumerati:l'interfaccia utente mostra un elenco di valori enumerati validi per un determinato campo UDM.

      Ad esempio (utilizza virgolette doppie e lettere maiuscole): metadata.event_type = "NETWORK_CONNECTION"

    • Valori aggiuntivi:puoi utilizzare "field[key] = value" per cercare eventi nei campi aggiuntivi e delle etichette.

      Ad esempio: additional.fields["key"]="value"

    • Bool: puoi utilizzare true o false (tutti i caratteri non sono sensibili alle maiuscole e la parola chiave non è racchiusa tra virgolette).

      Ad esempio: network.dns.response = true

    • Numeri interi

      Ad esempio: target.port = 443

    • Numeri in virgola mobile:per i campi UDM di tipo float, inserisci un valore a virgola mobile, ad esempio 3.1. Puoi anche inserire un numero intero, ad esempio 3, che equivale a inserire 3.0.

      Ad esempio: security_result.about.asset.vulnerabilities.cvss_base_score = 3.1 o security_result.about.asset.vulnerabilities.cvss_base_score = 3

    • Espressioni regolari: (l'espressione regolare deve essere racchiusa tra i caratteri barra (/))

      Ad esempio: principal.ip = /10.*/

      Per ulteriori informazioni sulle espressioni regolari, consulta la pagina delle espressioni regolari.

    • Strings

      Ad esempio (devi utilizzare virgolette doppie): metadata.product_name = "Google Cloud VPC Flow Logs"

  4. Puoi utilizzare l'operatore nocase per cercare qualsiasi combinazione di versioni maiuscole e minuscole di una determinata stringa:

    • principal.hostname != "http-server" nocase
    • principal.hostname = "JDoe" nocase
    • principal.hostname = /dns-server-[0-9]+/ nocase

  5. Le barre rovesciate e le virgolette doppie nelle stringhe devono essere interpretate letteralmente inserendo una barra rovesciata. Ad esempio:

    • principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
    • target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""

  6. Puoi utilizzare espressioni booleane per restringere ulteriormente l'intervallo possibile dei dati visualizzati. Gli esempi riportati di seguito illustrano alcuni tipi di espressioni booleane supportate (è possibile utilizzare gli operatori booleani AND, OR e NOT):

    • A AND B
    • A OR B
    • (A OR B) AND (B OR C) AND (C OR NOT D)

    I seguenti esempi illustrano come potrebbe essere la sintassi effettiva:

    Eventi di accesso al server finanziario: 

    metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"

    Esempio di utilizzo di un'espressione regolare per cercare l'esecuzione dello strumento psexec.exe su Windows. 

    target.process.command_line = /\bpsexec(.exe)?\b/ nocase

    Esempio di utilizzo dell'operatore maggiore (>) per cercare connessioni in cui sono stati inviati più di 10 MB di dati. 

    metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000

    Esempio di utilizzo di più condizioni per cercare l'avvio di cmd.exe o powershell.exe da parte di Winword. 

        metadata.event_type = "PROCESS_LAUNCH" and
    principal.process.file.full_path = /winword/ and
    (target.process.file.full_path = /cmd.exe/ or
    target.process.file.full_path = /powershell.exe/)

  7. Puoi anche utilizzare la ricerca UDM per cercare coppie chiave-valore specifiche nei campi aggiuntivo ed etichetta.

    I campi Additional e Label vengono utilizzati come "catch all" personalizzabili per i dati sugli eventi che non rientrano in un campo UDM standard. I campi aggiuntivi possono contenere più coppie chiave-valore. I campi delle etichette possono contenere una sola coppia chiave-valore. Tuttavia, ogni istanza del campo contiene una sola chiave e un solo valore. La chiave deve essere inserita tra parentesi e il valore deve trovarsi sul lato destro.

    Gli esempi riportati di seguito mostrano come cercare eventi contenenti coppie chiave-valore specificate: 

        additional.fields["pod_name"] = "kube-scheduler"
    metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"
     L'esempio seguente mostra come utilizzare l'operatore AND con le ricerche delle coppie chiave-valore: 
        additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"

    Puoi utilizzare la seguente sintassi per cercare tutti gli eventi che contengono la chiave specificata (indipendentemente dal valore). 

        additional.fields["pod_name"] != ""
     Puoi anche utilizzare le espressioni regolari e l'operatore nocase: 
        additional.fields["pod_name"] = /br/
    additional.fields["pod_name"] = bar nocase

  8. Puoi anche utilizzare commenti blocchi e a riga singola.

    L'esempio seguente mostra come utilizzare un commento blocco: 

        additional.fields["pod_name"] = "kube-scheduler"
    /*
    Block comments can span
    multiple lines.
    */
    AND additional.fields["pod_name1"] = "kube-scheduler1"

    L'esempio seguente mostra come utilizzare un commento di una riga: 

        additional.fields["pod_name"] != "" // my single-line comment

  9. Fai clic su Esegui ricerca per eseguire la ricerca UDM e visualizzare i risultati.

  10. Gli eventi vengono visualizzati nella pagina Ricerca UDM nella tabella della sequenza temporale degli eventi. Puoi restringere ulteriormente i risultati aggiungendo altri campi UDM manualmente o utilizzando l'interfaccia.

Cercare nei campi raggruppati

I campi raggruppati sono alias per gruppi di campi UDM correlati. Puoi utilizzarli per eseguire query su più campi UDM contemporaneamente senza digitare ogni campo singolarmente.

L'esempio seguente mostra come inserire una query per trovare i campi UDM comuni che potrebbero contenere l'indirizzo IP specificato: 

    ip = "1.2.3.4"

Puoi trovare una corrispondenza con un campo raggruppato utilizzando un'espressione regolare e l'operatore nocase. Sono supportati anche gli elenchi di riferimento. I campi raggruppati possono essere utilizzati anche in combinazione con i campi UDM regolari, come mostrato nell'esempio seguente: 

    ip = "5.6.7.8" AND metadata.event_type = "NETWORK_CONNECTION"

I campi raggruppati hanno una sezione separata in Aggregazioni.

Tipi di campi UDM raggruppati

Puoi eseguire ricerche in tutti i seguenti campi UDM raggruppati:

Nome del campo raggruppato Campi UDM associati
dominio about.administrative_domain
about.asset.network_domain
network.dns.questions.name
network.dns_domain
principal.administrative_domain
principal.asset.network_domain
target.administrative_domain
target.asset.hostname
target.asset.network_domain
target.hostname
email intermediary.user.email_addresses
network.email.from
network.email.to
principal.user.email_addresses
security_result.about.user.email_addresses
target.user.email_addresses
file_path principal.file.full_path
principal.process.file.full_path
principal.process.parent_process.file.full_path
target.file.full_path
target.process.file.full_path
target.process.parent_process.file.full_path
hash about.file.md5
about.file.sha1
about.file.sha256
principal.process.file.md5
principal.process.file.sha1
principal.process.file.sha256
security_result.about.file.sha256
target.file.md5
target.file.sha1
target.file.sha256
target.process.file.md5
target.process.file.sha1
target.process.file.sha256
nome host intermediary.hostname
observer.hostname
principal.asset.hostname
principal.hostname
src.asset.hostname
src.hostname
target.asset.hostname
target.hostname
ip intermediary.ip
observer.ip
principal.artifact.ip
principal.asset.ip
principal.ip
src.artifact.ip
src.asset.ip
src.ip
target.artifact.ip
target.asset.ip
target.ip
spazio dei nomi principal.namespace
src.namespace
target.namespace
process_id principal.process.parent_process.pid
principal.process.parent_process.product_specific_process_id
principal.process.pid
principal.process.product_specific_process_id
target.process.parent_process.pid
target.process.parent_process.product_specific_process_id
target.process.pid
target.process.product_specific_process_id
utente about.user.userid
observer.user.userid
principal.user.user_display_name
principal.user.userid
principal.user.windows_sid
src.user.userid
target.user.user_display_name
target.user.userid
target.user.windows_sid

Trovare un campo UDM per la query di ricerca

Quando scrivi una query di ricerca UDM, potresti non sapere quale campo UDM includere. La ricerca UDM consente di trovare rapidamente un nome di campo UDM che contiene una stringa di testo nel nome o che memorizza un valore di stringa specifico. Non è destinato a essere utilizzato per cercare altri tipi di dati, ad esempio byte, booleani o numerici. Seleziona uno o più risultati restituiti dalla ricerca UDM come punto di partenza per una query di ricerca UDM.

Per utilizzare la ricerca UDM:

  1. Nella pagina Ricerca UDM, inserisci una stringa di testo nel campo Cerca campi UDM per valore, poi fai clic su Ricerca UDM.

  2. Nella finestra di dialogo Ricerca UDM, seleziona una o più delle seguenti opzioni per specificare l'ambito dei dati da cercare:

    • Campi UDM: cerca il testo nei nomi dei campi UDM, ad esempionetwork.dns.questions.name o principal.ip.
    • Valori: cerca il testo nei valori assegnati ai campi UDM, ad esempio dns o google.com.

  3. Inserisci o modifica la stringa nel campo di ricerca. Mentre digiti, i risultati di ricerca vengono visualizzati nella finestra di dialogo.

    I risultati sono leggermente diversi quando si esegue una ricerca in Campi UDM rispetto a Valori. Quando cerchi del testo in Valori, i risultati vengono visualizzati come segue:

    • Se la stringa viene trovata all'inizio o alla fine del valore, viene evidenziata nel risultato, insieme al nome del campo UDM e all'ora di importazione del log.
    • Se la stringa di testo viene trovata altrove nel valore, il risultato mostra il nome del campo UDM e il testo Possibile corrispondenza del valore.

    Cerca all&#39;interno dei valori

    Cercare all'interno dei valori in Ricerca UDM

    • Quando cerchi una stringa di testo nei nomi dei campi UDM, la ricerca UDM restituisce una corrispondenza esatta trovata in qualsiasi posizione del nome.

    Cercare all&#39;interno dei campi UDM

    Eseguire ricerche all'interno dei campi UDM in Ricerca UDM

  4. Nell'elenco dei risultati, puoi eseguire le seguenti operazioni:

    • Fai clic sul nome di un campo UDM per visualizzarne una descrizione.

    • Seleziona uno o più risultati facendo clic sulla casella di controllo a sinistra di ciascun nome di campo UDM.

    • Fai clic sul pulsante Reimposta per deselezionare tutti i campi selezionati nell'elenco dei risultati.

  5. Per accodare i risultati selezionati al campo Ricerca UDM, fai clic sul pulsante Aggiungi alla ricerca.

    Puoi anche copiare il risultato selezionato utilizzando il pulsante Copia UDM, chiudere la finestra di dialogo Ricerca UDM e incollare la stringa di query di ricerca nel campo Ricerca UDM.

    Google Security Operations converte il risultato selezionato in una stringa di query di ricerca UDM come nome del campo UDM o coppia nome-valore. Se aggiungi più risultati, ogni risultato viene aggiunto alla fine di una query esistente nel campo di ricerca UDM utilizzando l'operatore OR.

    La stringa di query aggiunta è diversa a seconda del tipo di corrispondenza restituita dalla ricerca UDM.

    • Se il risultato corrisponde a una stringa di testo nel nome di un campo UDM, il nome completo del campo UDM viene aggiunto alla query. Di seguito è riportato un esempio:

      principal.artifact.network.dhcp.client_hostname

    • Se il risultato corrisponde a una stringa di testo all'inizio o alla fine di un valore, la coppia nome-valore contiene il nome del campo UDM e il valore completo nel risultato. Ecco alcuni esempi:

      metadata.log_type = "PCAP_DNS"

      network.dns.answers.name = "dns-A901F3j.hat.example.com"

    • Se il risultato include il testo Possibile corrispondenza del valore, la coppia nome-valore contiene il nome del campo UDM e un'espressione regolare contenente il termine di ricerca. Di seguito è riportato un esempio:

      principal.process.file.full_path = /google/ NOCASE

  6. Modifica la query di ricerca UDM in base al tuo caso d'uso. La stringa di query generata da UDM Lookup è un punto di partenza per scrivere una query di ricerca UDM completa.

Riepilogo del comportamento della ricerca UDM

Questa sezione fornisce ulteriori dettagli sulle funzionalità di ricerca UDM.

  • Ricerca UDM cerca i dati importati dopo il 10 agosto 2023. I dati importati prima di questa data non vengono sottoposti a ricerca. Restituisce i risultati trovati nei campi UDM non arricchiti. Non restituisce corrispondenze ai campi arricchiti. Per informazioni sui campi arricchiti rispetto a quelli non arricchiti, vedi Visualizzare gli eventi in Visualizzatore eventi.
  • Le ricerche che utilizzano la ricerca UDM non distinguono tra maiuscole e minuscole. Il termine hostname restituisce lo stesso risultato di HostName.
  • I trattini (-) e gli underscore (_) in una stringa di testo della query vengono ignorati durante la ricerca in Valori. Le stringhe di testo dns-l e dnsl restituiscono entrambe il valore dns-l.

  • Quando esegui una ricerca in Valori, la ricerca UDM non restituisce corrispondenze nei seguenti casi:

    Corrispondenze nei seguenti campi UDM:
    • metadata.product_log_id
    • network.session_id
    • security_result.rule_id
    • network.parent_session_id
    Corrispondenze nei campi UDM con un percorso completo che termina con uno dei seguenti valori:
    • .pid
      Ad esempio target.process.pid.
    • .asset_id
      Ad esempio principal.asset_id.
    • .product_specific_process_id
      Ad esempio principal.process.product_specific_process_id.
    • .resource.id
      Ad esempio principal.resource.id.

  • Quando cerchi Valori, la ricerca UDM mostra il messaggio Possibile corrispondenza del valore nel risultato quando viene trovata una corrispondenza nei seguenti casi:

    Corrispondenze nei seguenti campi UDM:
    • metadata.description
    • security_result.description
    • security_result.detection_fields.value
    • security_result.summary
    • network.http.user_agent
    Corrispondenze nei campi con un percorso completo che termina con uno dei seguenti valori:
    • .command_line
      Ad esempio principal.process.command_line.
    • .file.full_path
      Ad esempio principal.process.file.full_path.
    • .labels.value
      Ad esempio src.labels.value.
    • .registry.registry_key
      Ad esempio principal.registry.registry_key.
    • .url
      Ad esempio principal.url.
    Corrispondenze nei campi con un percorso completo che inizia con i seguenti valori: additional.fields.value.
    Ad esempio additional.fields.value.null_value.

Per visualizzare gli avvisi, fai clic sulla scheda Avvisi a destra della scheda Eventi nell'angolo in alto a destra della pagina Ricerca UDM.

Come vengono visualizzati gli avvisi

Google Security Operations valuta gli eventi restituiti nella ricerca UDM rispetto a quelli esistenti per gli avvisi nell'ambiente del cliente. Quando un evento di query di ricerca corrisponde a un evento presente in un avviso, viene visualizzato nella sequenza temporale dell'avviso e nella tabella degli avvisi risultante.

Definizione di eventi e avvisi

Un evento viene generato da un'origine log non elaborata importata in Google Security Operations ed elaborata dalla procedura di importazione e normalizzazione di Google Security Operations. È possibile generare più eventi da un singolo record di origine log non elaborato. Un evento rappresenta un insieme di punti dati pertinenti per la sicurezza generati dal log non elaborato.

In una ricerca UDM, un avviso è definito come un rilevamento di una regola YARA-L con gli avvisi abilitati. Per saperne di più, consulta la sezione Eseguire una regola sui dati in tempo reale.

Altre origini di dati possono essere importate in Google Security Operations come avvisi, ad esempio gli avvisi di Crowdstrike Falcon. Questi avvisi non vengono visualizzati nella ricerca UDM, a meno che non vengano elaborati dal motore di rilevamento delle operazioni di sicurezza di Google come regola YARA-L.

Gli eventi associati a uno o più avvisi sono contrassegnati da un chip di avviso nella sequenza temporale degli eventi. Se sono associati più avvisi alla sequenza temporale, il chip mostra il numero di avvisi associati.

La cronologia mostra i 1000 avvisi più recenti recuperati dai risultati di ricerca. Quando viene raggiunto il limite di 1000, non vengono recuperati altri avvisi. Per assicurarti di visualizzare tutti i risultati pertinenti alla tua ricerca, perfezionala con i filtri.

Come indagare su un avviso

Per scoprire come utilizzare il Grafico degli avvisi e i Dettagli dell'avviso per esaminare un avviso, segui i passaggi descritti in Esaminare un avviso.

Utilizzare gli elenchi di riferimento nelle ricerche UDM

La procedura per applicare gli elenchi di riferimento nelle Regole può essere utilizzata anche nella ricerca. In una singola query di ricerca è possibile includere fino a sette elenchi. Sono supportati tutti i tipi di elenchi di riferimento (stringa, espressione regolare, CIDR).

Puoi creare elenchi di qualsiasi variabile da monitorare. Ad esempio, potresti creare un elenco di indirizzi IP sospetti: 

// Field value exists in reference list
principal.ip IN %suspicious_ips

Puoi utilizzare più elenchi utilizzando AND o OR:

// multiple lists can be used with AND or OR
principal.ip IN %suspicious_ips AND
principal.hostname IN %suspicious_hostnames

Perfezionare i risultati di ricerca

Puoi utilizzare l'interfaccia utente di ricerca di UDM per filtrare e perfezionare i risultati come alternativa alla modifica della ricerca di UDM e al suo nuovo esecuzione.

Grafico delle sequenze temporali

Il grafico delle sequenze temporali fornisce una rappresentazione grafica del numero di eventi e avvisi che si verificano ogni giorno e che vengono visualizzati dalla ricerca UDM corrente. Gli eventi e gli avvisi vengono visualizzati nello stesso grafico della cronologia, disponibile sia nella scheda Eventi sia nella scheda Avvisi.

La larghezza di ogni barra dipende dall'intervallo di tempo cercato. Ad esempio, ogni barra rappresenta 10 minuti quando la ricerca copre 24 ore di dati. Questo grafico viene aggiornato dinamicamente man mano che modifichi la ricerca UDM esistente.

Modifica dell'intervallo di tempo

Puoi modificare l'intervallo di tempo del grafico spostando i controlli del cursore bianco verso sinistra e verso destra per regolare l'intervallo di tempo e concentrarti sul periodo di interesse. Quando modifichi l'intervallo di tempo, le tabelle Eventi, Valori e Campi UDM vengono aggiornate in base alla selezione corrente. Puoi anche fare clic su una singola barra del grafico per elencare solo gli eventi relativi a quel periodo di tempo.

Dopo aver modificato l'intervallo di tempo, vengono visualizzate le caselle di controllo Eventi filtrati e Eventi di query, che ti consentono di limitare ulteriormente i tipi di eventi visualizzati.

Grafico delle linee temporali degli eventi con controlli dell&#39;intervallo di tempo

Figura 4. Grafico delle cronologie degli eventi con controlli dell'intervallo di tempo

Modificare la ricerca UDM con le aggregazioni

Utilizzando le aggregazioni, puoi restringere ulteriormente la ricerca UDM. Puoi scorrere l'elenco dei campi UDM o cercare campi o valori UDM specifici utilizzando il campo di ricerca. I campi UDM elencati qui sono associati agli elenchi esistenti di eventi generati dalla ricerca UDM. Ogni campo UDM include il numero di eventi nella ricerca UDM corrente che includono anche questo dato. L'elenco dei campi UDM mostra il numero totale di valori univoci all'interno di un campo. Questa funzionalità ti consente di cercare tipi specifici di dati dei log che potrebbero essere di ulteriore interesse.

I campi UDM sono elencati nel seguente ordine:

  1. I campi con il numero più alto di eventi a quello più basso.
  2. I campi con un solo valore sono sempre gli ultimi.
  3. I campi con lo stesso totale esatto del conteggio degli eventi sono ordinati in ordine alfabetico dalla A alla Z.

Aggregazioni

Figura 5. Aggregazioni

Modificare le aggregazioni

Se selezioni un valore di campo UDM nell'elenco Aggregazioni e fai clic sull'icona del menu, hai la possibilità di mostrare solo gli eventi che includono anche il valore del campo UDM o di filtrare il valore del campo UDM. Se il campo UDM memorizza valori interi (ad es. target.port), vengono visualizzate anche le opzioni per filtrare in base a target.port.<,>,<=,>= Le opzioni di filtro riducono l'elenco degli eventi visualizzati.

Puoi anche bloccare i campi (utilizzando l'icona a forma di puntina) in Aggregazioni per salvarli come preferiti. Vengono visualizzati nella parte superiore dell'elenco Aggregazioni.

Mostra solo

Figura 6. Esempio: seleziona Mostra solo

Questi filtri UDM aggiuntivi vengono aggiunti anche al campo Eventi filtro. Il campo Eventi filtro ti consente di tenere traccia dei campi UDM aggiuntivi che hai aggiunto alla ricerca UDM. Puoi anche rimuovere rapidamente questi campi UDM aggiuntivi, se necessario.

Filtra eventi

Figura 7. Filtrare gli eventi

Se fai clic sull'icona del menu Filtra eventi o su Aggiungi filtro a sinistra, si apre una finestra che ti consente di selezionare altri campi UDM.

Finestra Filtra eventi

Figura 8. Finestra Filtra eventi

Quando fai clic su APPLICA a Ricerca ed esecuzione, i campi UDM vengono aggiunti al campo Filtra eventi e gli eventi visualizzati vengono filtrati in base a questi filtri aggiuntivi. Puoi anche fare clic su Applica a Ricerca ed esecuzione per aggiungerli al campo di ricerca UDM principale nella parte superiore della pagina. La ricerca viene eseguita di nuovo automaticamente utilizzando gli stessi parametri di data e ora. Google consiglia di restringere la ricerca il più possibile prima di fare clic su APPLICA alla Ricerca e all'esecuzione. In questo modo puoi migliorare l'accuratezza e ridurre i tempi di ricerca.

Visualizzare gli eventi nella tabella Eventi

Tutti questi filtri e controlli aggiorneranno l'elenco di eventi visualizzato nella tabella Eventi. Fai clic su uno degli eventi elencati per aprire il visualizzatore dei log, dove puoi esaminare il log non elaborato e il record UDM per l'evento in questione. Se fai clic sul timestamp di un evento, puoi anche passare alla visualizzazione associata di risorsa, indirizzo IP, dominio, hash o utente. Puoi anche utilizzare il campo di ricerca nella parte superiore della tabella per trovare un evento specifico.

Visualizzare gli avvisi nella tabella Avvisi

Per visualizzare gli avvisi, fai clic sulla scheda Avvisi sul lato destro della scheda Eventi. Puoi utilizzare le aggregazioni per ordinare gli avvisi in base a:

  • Richiesta
  • Nome
  • Priorità
  • Gravità
  • Stato
  • Verdetto

In questo modo puoi concentrarti sugli avvisi più importanti per te.

Gli avvisi vengono visualizzati nello stesso periodo di tempo degli eventi nella scheda Eventi. In questo modo puoi vedere la connessione tra eventi e avvisi.

Se vuoi saperne di più su un avviso specifico, fai clic sull'avviso per aprire la relativa pagina dei dettagli, che contiene informazioni più approfondite sull'avviso.

Visualizzare gli eventi nel Visualizzatore eventi

Se passi il cursore del mouse sopra un evento nella tabella Eventi, l'icona del visualizzatore eventi aperto viene visualizzata sul lato destro dell'evento evidenziato. Fai clic per aprire il Visualizzatore eventi.

La finestra Log non elaborato mostra il segnale non elaborato originale in uno dei seguenti formati:

  • Dati
  • JSON
  • XML
  • CSV
  • Esadecimale/ASCII

La finestra UDM mostra il record UDM strutturato. Puoi tenere premuto il cursore del mouse sopra uno qualsiasi dei campi UDM per visualizzarne la definizione. Se selezioni la casella di controllo per i campi UDM, vengono visualizzate altre opzioni:

  • Puoi copiare il record UDM. Seleziona uno o più campi UDM e poi seleziona l'opzione Copia UDM dal menu a discesa Azioni vista. I campi e i valori UDM vengono copiati negli appunti di sistema.

  • Puoi aggiungere i campi UDM come colonne nella tabella Eventi selezionando l'opzione Aggiungi colonne dal menu a discesa Azioni visualizzazione.

Ogni campo UDM è etichettato con un'icona che indica se il campo contiene dati arricchiti o non arricchiti. Le etichette delle icone sono le seguenti:

  • U: i campi non arricchiti contengono valori inseriti durante il processo di normalizzazione utilizzando i dati del log non elaborato originale.

  • E: i campi arricchiti contengono valori che Google Security Operations compila per fornire un contesto aggiuntivo sugli elementi in un ambiente del cliente. Per ulteriori informazioni, consulta In che modo Google Security Operations arricchisce i dati su eventi ed entità.

    Campi UDM con informazioni aggiuntive e senza informazioni aggiuntive

Figura 9. Campi UDM nel Visualizzatore eventi

Utilizza l'opzione Colonne per modificare le colonne di informazioni visualizzate nella tabella Eventi. Viene visualizzato il menu Colonne. Le opzioni disponibili variano in base ai tipi di eventi restituiti dalla ricerca UDM.

Se vuoi, puoi salvare il set di colonne selezionato qui facendo clic su Salva. Assegna un nome al gruppo di colonne selezionate e fai di nuovo clic su Salva. Per caricare un insieme di colonne salvate, fai clic su Carica e seleziona l'insieme di colonne salvate dall'elenco.

Puoi anche scaricare gli eventi visualizzati facendo clic sul menu con tre puntini e selezionando Scarica in formato CSV. Verranno scaricati tutti i risultati di ricerca fino a un milione di eventi. L'interfaccia utente indicherà il numero di eventi che verranno scaricati.

Colonne di ricerca UDM

Figura 10. Colonne di ricerca UDM

Utilizzare la tabella pivot per analizzare gli eventi

La tabella pivot ti consente di analizzare gli eventi utilizzando espressioni e funzioni in base ai risultati della ricerca UDM.

Per aprire e configurare la tabella pivot:

  1. Esegui una ricerca UDM.

  2. Fai clic sulla scheda Pivot per aprire la tabella pivot.

  3. Specifica un valore Raggruppa per per raggruppare gli eventi in base a un campo UDM specifico. Puoi visualizzare i risultati utilizzando le lettere maiuscole predefinite o solo minuscole selezionando minuscole dal menu. Questa opzione è disponibile solo per i campi di stringa. Puoi specificare fino a cinque valori Raggruppa per facendo clic su Aggiungi campo.

    Se il valore Raggruppa per è uno dei campi del nome host, sono disponibili ulteriori opzioni di trasformazione:

    • Dominio di livello N principale: scegli il livello del dominio da visualizzare. Ad esempio, se utilizzi un valore pari a 1, viene visualizzato solo il dominio di primo livello (ad esempio com, gov o edu). Se utilizzi un valore pari a 3, vengono visualizzati i due livelli successivi dei nomi di dominio (ad esempio google.co.uk).
    • Ottieni dominio registrato: viene visualizzato solo il nome del dominio registrato (ad esempio google.com, nytimes.com e youtube.com).

    Se il valore Raggruppa per è uno dei campi IP, sono disponibili ulteriori opzioni di trasformazione:

    • (IP) Lunghezza del prefisso CIDR in bit: puoi specificare un valore compreso tra 1 e 32 per gli indirizzi IPv4. Per gli indirizzi IPv6, puoi specificare valori fino a 128.

    Se il valore Raggruppa per include un timestamp, sono disponibili ulteriori opzioni di trasformazione:

    • (Tempo) Risoluzione in millisecondi
    • (Tempo) Risoluzione in secondi
    • (Tempo) Risoluzione in minuti
    • (Tempo) Risoluzione in ore
    • (Tempo) Risoluzione in giorni

  4. Specifica un valore per il pivot dall'elenco dei campi nei risultati. Puoi specificare fino a 5 valori. Dopo aver specificato un campo, devi selezionare un'opzione Riassumi. Puoi riepilogare i dati in base alle seguenti opzioni:

    • sum
    • count
    • count distinct
    • media
    • dev.st
    • min
    • max

    Specifica un valore Conteggio eventi per restituire il numero di eventi identificati per questa ricerca e tabella pivot UDM specifica.

    Le opzioni Riassumi non sono universalmente compatibili con i campi Raggruppa per. Ad esempio, le opzioni sum, average, stddev, min e max possono essere applicate solo ai campi numerici. Se provi ad associare un'opzione Riassumi incompatibile a un campo Raggruppa per, riceverai un messaggio di errore.

  5. Specifica uno o più campi UDM e seleziona una o più ordinamenti utilizzando l'opzione Ordina per.

  6. Al termine, fai clic su Applica. I risultati vengono visualizzati nella tabella pivot.

  7. (Facoltativo) Per scaricare la tabella pivot, fai clic su e seleziona Scarica in formato CSV. Se non hai selezionato un pivot, questa opzione è disattivata.

Eseguire una ricerca nelle ricerche rapide

  1. Fai clic su Ricerche rapide per aprire la finestra Ricerche rapide. Questa finestra mostra le ricerche salvate e la cronologia delle ricerche.

  2. Fai clic su una delle ricerche elencate per caricarla nel campo di ricerca di UDM.

  3. Fai clic su Esegui ricerca quando è tutto pronto.

Le ricerche elencate vengono salvate nel tuo account Google Security Operations. Se devi modificare una delle ricerche salvate (ad esempio rinominare una ricerca esistente), eliminare le ricerche salvate o eliminare le ricerche dalla cronologia delle ricerche, apri Gestione ricerca facendo clic su Visualizza tutte le ricerche.

Panoramica delle ricerche salvate e della cronologia delle ricerche

Utilizza Gestione ricerca per recuperare le ricerche salvate e visualizzare la cronologia delle ricerche facendo clic su Gestione ricerca. Le ricerche salvate e la cronologia delle ricerche vengono entrambe archiviate nel tuo account Google Security Operations. Le ricerche salvate e la cronologia delle ricerche sono visibili e accessibili solo al singolo utente, a meno che non utilizzi la funzionalità Condividi una ricerca per condividere la ricerca con la tua organizzazione. Seleziona una ricerca salvata per visualizzare ulteriori informazioni, tra cui il titolo e la descrizione.

Per salvare una ricerca:

  1. Nella pagina Ricerca UDM, fai clic su Salva per salvare la ricerca UDM per utilizzarla in un secondo momento. Si apre Gestione ricerca. Google consiglia di assegnare alla ricerca salvata un nome significativo e una descrizione in testo normale di ciò che stai cercando. Puoi anche creare una nuova ricerca UDM da Gestione ricerca facendo clic su . Qui sono disponibili anche gli strumenti standard di modifica e completamento dei moduli UDM.

  2. (Facoltativo) Specifica le variabili segnaposto nel formato ${<variable name>} utilizzando lo stesso formato utilizzato per le variabili in YARA-L. Se aggiungi una variabile a una ricerca UDM, devi includere anche un prompt per aiutare l'utente a capire quali informazioni deve inserire prima di eseguire la ricerca. Tutte le variabili devono essere compilate con i valori prima di eseguire una ricerca.

    Ad esempio, puoi aggiungere metadata.vendor_name = ${vendor_name} alla ricerca UDM. Per ${vendor_name}, devi aggiungere un prompt per gli utenti futuri, ad esempio "Inserisci il nome del fornitore per la tua ricerca". Ogni volta che un utente caricherà questa ricerca in futuro, gli verrà chiesto di inserire il nome del fornitore prima di poter eseguire la ricerca.

  3. Al termine, fai clic su Salva modifiche.

  4. Per visualizzare le ricerche salvate, fai clic su Gestore ricerche e poi sulla scheda Salvate.

Per recuperare ed eseguire una ricerca salvata:

  1. In Gestione ricerca, fai clic sulla scheda Salvati.

  2. Seleziona una ricerca salvata dall'elenco. Queste ricerche salvate vengono salvate nel tuo account Google Security Operations. Per eliminare una ricerca, fai clic su e seleziona Elimina ricerca.

  3. Puoi modificare il nome della ricerca e la descrizione. Al termine, fai clic su Salva modifiche.

  4. Fai clic su Carica ricerca. La ricerca viene caricata nel campo di ricerca principale di UDM.

  5. Fai clic su Esegui ricerca per visualizzare gli eventi associati a questa ricerca.

Recuperare una ricerca dalla cronologia delle ricerche

Per recuperare ed eseguire una ricerca dalla cronologia delle ricerche:

  1. In Search Manager, fai clic su Cronologia.

  2. Seleziona una ricerca dalla cronologia delle ricerche. La cronologia delle ricerche viene salvata nel tuo account Google Security Operations. Puoi eliminare una ricerca facendo clic su

  3. Fai clic su Carica ricerca. La ricerca viene caricata nel campo di ricerca principale di UDM.

  4. Fai clic su Esegui ricerca per visualizzare gli eventi associati a questa ricerca.

Cancellare, disattivare o attivare la cronologia delle ricerche

Per cancellare, disattivare o attivare la cronologia delle ricerche:

  1. In Gestore ricerche, fai clic sulla scheda Cronologia.

  2. Fai clic su .

  3. Seleziona Cancella cronologia per cancellare la cronologia delle ricerche.

  4. Fai clic su Disattiva cronologia per disattivare la cronologia delle ricerche. Puoi scegliere di:

    • Solo disattivazione: disattiva la cronologia delle ricerche.

    • Disattiva e cancella: disattiva la cronologia delle ricerche ed elimina quella salvata.

  5. Se in precedenza hai disattivato la cronologia delle ricerche, puoi riattivarla facendo clic su Attiva cronologia delle ricerche.

  6. Fai clic su Chiudi per uscire da Search Manager.

Condividere una ricerca

Le ricerche condivise ti consentono di condividere le ricerche con il resto del team. Nella scheda Salvate, puoi condividere o eliminare le ricerche. Puoi anche filtrare le ricerche facendo clic sull'icona del filtro accanto alla barra di ricerca e ordinarle in base a Mostra tutto, Definito da Google SecOps, Autore: io o Condivisi.

Non puoi modificare una ricerca condivisa che non è tua.

  1. Fai clic su Salvati.
  2. Fai clic sulla ricerca che vuoi condividere.
  3. Fai clic su sul lato destro della ricerca. Viene visualizzata una finestra di dialogo con l'opzione per condividere la ricerca.
  4. Fai clic su Condividi con la tua organizzazione.
  5. Viene visualizzata una finestra di dialogo che indica che la condivisione della ricerca sarà visibile agli utenti della tua organizzazione. Vuoi condividere? Fai clic su Condividi.

Se vuoi che la ricerca sia visibile solo a te, fai clic su e poi su Interrompi condivisione. Se interrompi la condivisione, solo tu potrai utilizzare questa ricerca.

Campi UDM che possono o non possono essere scaricati in formato CSV dalla piattaforma

I campi UDM supportati e non supportati per il download sono riportati nelle seguenti sezioni.

Campi supportati

Dalla piattaforma puoi scaricare i seguenti campi in un file CSV:

  • utente

  • nome host

  • nome del processo

  • tipo di evento

  • timestamp

  • log non elaborato (valido solo se i log non elaborati sono abilitati per il cliente)

  • Tutti i campi che iniziano con "udm.additional"

Tipi di campi validi

Puoi scaricare i seguenti tipi di campi in un file CSV:

  • double

  • float

  • int32

  • uint32

  • int64

  • uint64

  • bool

  • string

  • enum

  • byte

  • google.protobuf.Timestamp

  • google.protobuf.Duration

Campi non supportati

I campi che iniziano con "udm" (non udm.additional) e soddisfano una delle seguenti condizioni non possono essere scaricati in formato CSV:

  • Il nidificazione del campo è più profonda di 10 in udm proto.

  • Il tipo di dati è Messaggio o Gruppo.

Passaggi successivi

Per informazioni su come utilizzare i dati arricchiti dal contesto nella ricerca UDM, consulta Utilizzare i dati arricchiti dal contesto nella ricerca UDM.