UDM 검색

다음에서 지원:

UDM 검색 함수를 사용하면 Google Security Operations 인스턴스 내에서 통합 데이터 모델(UDM) 이벤트 및 알림을 찾을 수 있습니다. UDM 검색에는 UDM 데이터를 탐색하는 데 도움이 되는 다양한 검색 옵션이 포함되어 있습니다. 공유 검색어에 연결된 개별 UDM 이벤트 및 UDM 이벤트 그룹을 검색할 수 있습니다.

데이터 RBAC를 사용하는 시스템에서는 범위와 일치하는 데이터만 볼 수 있습니다. 자세한 내용은 데이터 RBAC가 검색에 미치는 영향을 참고하세요.

Google Security Operations 고객의 경우 커넥터웹훅에서도 알림을 수집할 수 있습니다. UDM 검색을 사용하여 이러한 알림을 찾을 수도 있습니다.

UDM에 대한 자세한 내용은 로그 데이터를 UDM 형식으로 지정통합 데이터 모델 필드 목록을 참조하세요.

Google Security Operations UDM 검색에 액세스하려면 탐색 메뉴에서 검색을 클릭합니다. Google Security Operations의 검색창에서 유효한 UDM 입력란을 입력하고 Ctrl+Enter를 눌러 UDM 검색에 액세스할 수도 있습니다.

모든 유효한 UDM 필드 목록은 통합 데이터 모델 필드 목록을 참조하세요.

UDM 검색

그림 1. UDM 검색

빈 UDM 검색

그림 2. CTRL+Enter로 열리는 UDM 검색 창

UDM 검색창에 UDM 검색을 입력하려면 다음 단계를 완료하세요. UDM 검색 입력을 완료하면 검색 실행을 클릭합니다. Google Security Operations 사용자 인터페이스에서는 유효한 UDM 검색 표현식만 입력할 수 있습니다. 기간 창을 열어 검색할 데이터 범위를 조정할 수도 있습니다.

검색이 너무 광범위하면 Google Security Operations에서 일부 검색결과를 표시할 수 없다는 경고 메시지를 반환합니다. 검색 범위를 줄여 다시 실행하세요. 검색이 너무 광범위하면 Google Security Operations에서 검색 한도(이벤트 100만 개와 알림 1,000개)까지 최신 결과를 반환합니다. 일치하는 이벤트와 알림이 훨씬 더 많지만 현재 표시되지 않고 있을 수 있습니다. 결과를 분석할 때 이 점을 염두에 두세요. 한도 미만이 될 때까지 추가 필터를 적용하고 원래 검색을 실행하는 것이 좋습니다.

UDM 검색 결과 페이지에는 가장 최근 10,000개의 결과가 표시됩니다. UDM 검색을 수정하고 검색을 다시 실행하는 대신 이전 결과를 표시하도록 필터링하고 검색 결과를 미세 조정할 수 있습니다.

날짜 및 검색 실행

그림 3. 검색 실행

UDM 쿼리는 통합 데이터 모델 필드 목록에 모두 나열된 UDM 필드를 기반으로 합니다. 또한 필터 또는 원시 로그 검색을 사용하여 검색 컨텍스트 내에서 UDM 필드를 볼 수 있습니다.

  1. 이벤트를 검색하려면 검색창에 UDM 필드 이름을 입력합니다. 사용자 인터페이스에는 자동 완성이 포함되어 있으며 입력한 내용을 기반으로 유효한 UDM 필드가 표시됩니다.

  2. 유효한 UDM 필드를 입력한 후 유효한 연산자를 선택합니다. 사용자 인터페이스에는 입력한 UDM 필드를 기반으로 사용 가능한 유효한 연산자가 표시됩니다. 지원되는 연산자는 다음과 같습니다.

    • <, >
    • <=, >=
    • =, !=
    • nocase - 문자열에 지원됨
  3. 유효한 UDM 필드와 연산자를 입력한 후 검색하려는 해당 로그 데이터를 입력합니다. 지원되는 데이터 유형은 다음과 같습니다.

    • 열거된 값: 지정된 UDM 필드에 유효한 열거 값 목록이 사용자 인터페이스에 표시됩니다.

      예(큰따옴표 사용 및 전부 대문자로 표시): metadata.event_type = "NETWORK_CONNECTION"

    • 추가 값: 'field[key] = value'를 사용하여 이벤트의 추가 필드와 라벨 필드를 검색할 수 있습니다.

      예: additional.fields["key"]="value"

    • Bools: true 또는 false를 사용할 수 있습니다 (모든 문자는 대소문자를 구분하지 않으며 키워드를 따옴표로 묶지 않습니다).

      예: network.dns.response = true

    • 정수

      예: target.port = 443

    • 부동 소수점 수: float 유형의 UDM 필드에 3.1과 같은 부동 소수점 값을 입력합니다. 또한 3과 같은 정수를 입력할 수도 있는데 이는 3.0을 입력하는 것과 동일합니다.

      예를 들면 security_result.about.asset.vulnerabilities.cvss_base_score = 3.1 또는 security_result.about.asset.vulnerabilities.cvss_base_score = 3입니다.

    • 정규 표현식: (정규 표현식은 슬래시(/) 문자 내에 있어야 함)

      예: principal.ip = /10.*/

      정규 표현식에 대한 자세한 내용은 정규 표현식 페이지를 참조하세요.

    • 문자열

      예(큰따옴표를 사용해야 함): metadata.product_name = "Google Cloud VPC Flow Logs"

  4. nocase 연산자를 사용하여 지정된 문자열의 대문자 및 소문자 버전의 조합을 검색할 수 있습니다.

    • principal.hostname != "http-server" nocase
    • principal.hostname = "JDoe" nocase
    • principal.hostname = /dns-server-[0-9]+/ nocase
  5. 백슬래시 문자를 사용하여 문자열의 백슬래시와 큰따옴표를 이스케이프 처리해야 합니다. 예를 들면 다음과 같습니다.

    • principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
    • target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""
  6. 불리언 표현식을 사용하여 표시되는 데이터의 범위를 더 좁힐 수 있습니다. 다음 예시는 지원되는 불리언 표현식의 몇 가지 유형을 보여줍니다(AND, OR, NOT 불리언 연산자 사용 가능).

    • A AND B
    • A OR B
    • (A OR B) AND (B OR C) AND (C OR NOT D)

    다음 예시에서는 실제 구문이 표시되는 방법을 보여줍니다.

    금융 서버에 대한 로그인 이벤트:

    metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"

    Windows에서 정규 표현식을 사용하여 psexec.exe 도구 실행을 검색하는 예시입니다.

    target.process.command_line = /\bpsexec(.exe)?\b/ nocase

    초과 연산자(>)를 사용하여 10MB가 넘는 데이터가 전송된 연결을 검색하는 예시입니다.

    metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000

    여러 조건을 사용하여 cmd.exe 또는 powershell.exe를 실행하는 Winword를 검색하는 예시입니다.

        metadata.event_type = "PROCESS_LAUNCH" and
        principal.process.file.full_path = /winword/ and
        (target.process.file.full_path = /cmd.exe/ or
        target.process.file.full_path = /powershell.exe/)

  7. UDM 검색을 사용하여 추가 및 라벨 필드에서 특정 키-값 쌍을 검색할 수도 있습니다.

    추가 및 라벨 필드는 표준 UDM 필드에 적합하지 않는 이벤트 데이터에서 맞춤설정 가능한 '포괄'로 사용됩니다. 추가 필드에는 키-값 쌍이 여러 개 포함될 수 있습니다. 라벨 필드에는 단일 키-값 쌍만 포함될 수 있습니다. 그러나 필드의 각 인스턴스에는 단일 키와 단일 값만 포함됩니다. 키는 대괄호 안에 있어야 하며 값은 오른쪽에 있어야 합니다.

    다음 예시에서는 지정된 키-값 쌍이 포함된 이벤트를 검색하는 방법을 보여줍니다.

        additional.fields["pod_name"] = "kube-scheduler"
        metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"
    다음 예에서는 키-값 쌍 검색과 AND 연산자를 함께 사용하는 방법을 보여줍니다.
        additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"

    다음 문법을 사용하여 (값에 관계없이) 지정된 키가 포함된 모든 이벤트를 검색할 수 있습니다.

        additional.fields["pod_name"] != ""
    정규 표현식과 nocase 연산자를 사용할 수도 있습니다.
        additional.fields["pod_name"] = /br/
        additional.fields["pod_name"] = bar nocase

  8. 블록 및 단일 행 주석을 사용할 수도 있습니다.

    다음 예시에서는 블록 주석을 사용하는 방법을 보여줍니다.

        additional.fields["pod_name"] = "kube-scheduler"
        /*
        Block comments can span
        multiple lines.
        */
        AND additional.fields["pod_name1"] = "kube-scheduler1"

    다음 예는 한 줄 주석을 사용하는 방법을 보여줍니다.

        additional.fields["pod_name"] != "" // my single-line comment

  9. UDM 검색을 실행하고 결과를 표시하려면 검색 실행을 클릭합니다.

  10. 이벤트는 UDM 검색 페이지의 이벤트 타임라인 표에 표시됩니다. 수동으로 추가 UDM 필드를 추가하거나 인터페이스를 사용하여 결과를 더 좁힐 수 있습니다.

그룹화된 필드 검색

그룹화된 필드는 관련 UDM 필드 그룹의 별칭입니다. 각 필드를 개별적으로 입력하지 않고 여러 UDM 필드를 동시에 쿼리할 수 있습니다.

다음 예는 지정된 IP 주소를 포함할 수 있는 일반적인 UDM 필드와 일치하는 쿼리를 입력하는 방법을 보여줍니다.

    ip = "1.2.3.4"

정규 표현식과 nocase 연산자를 사용하여 그룹화된 필드를 일치시킬 수 있습니다. 참조 목록도 지원됩니다. 그룹화된 필드는 다음 예시에 표시된 것처럼 일반 UDM 필드와 함께 사용할 수도 있습니다.

    ip = "5.6.7.8" AND metadata.event_type = "NETWORK_CONNECTION"

그룹화된 필드에는 집계에 별도의 섹션이 있습니다.

그룹화된 UDM 필드의 유형

다음과 같이 그룹화된 모든 UDM 필드를 검색할 수 있습니다.

그룹화된 필드 이름 연결된 UDM 필드
도메인 about.administrative_domain
about.asset.network_domain
network.dns.questions.name
network.dns_domain
principal.administrative_domain
principal.asset.network_domain
target.administrative_domain
target.asset.hostname
target.asset.network_domain
target.hostname
이메일 intermediary.user.email_addresses
network.email.from
network.email.to
principal.user.email_addresses
security_result.about.user.email_addresses
target.user.email_addresses
file_path principal.file.full_path
principal.process.file.full_path
principal.process.parent_process.file.full_path
target.file.full_path
target.process.file.full_path
target.process.parent_process.file.full_path
해시 about.file.md5
about.file.sha1
about.file.sha256
principal.process.file.md5
principal.process.file.sha1
principal.process.file.sha256
security_result.about.file.sha256
target.file.md5
target.file.sha1
target.file.sha256
target.process.file.md5
target.process.file.sha1
target.process.file.sha256
hostname intermediary.hostname
observer.hostname
principal.asset.hostname
principal.hostname
src.asset.hostname
src.hostname
target.asset.hostname
target.hostname
ip intermediary.ip
observer.ip
principal.artifact.ip
principal.asset.ip
principal.ip
src.artifact.ip
src.asset.ip
src.ip
target.artifact.ip
target.asset.ip
target.ip
네임스페이스 principal.namespace
src.namespace
target.namespace
process_id principal.process.parent_process.pid
principal.process.parent_process.product_specific_process_id
principal.process.pid
principal.process.product_specific_process_id
target.process.parent_process.pid
target.process.parent_process.product_specific_process_id
target.process.pid
target.process.product_specific_process_id
사용자 about.user.userid
observer.user.userid
principal.user.user_display_name
principal.user.userid
principal.user.windows_sid
src.user.userid
target.user.user_display_name
target.user.userid
target.user.windows_sid

검색어의 UDM 필드 찾기

UDM 검색어를 작성하는 동안 어떤 UDM 필드를 포함할지 알지 못할 수 있습니다. UDM 조회를 사용하면 이름에 텍스트 문자열이 포함되거나 특정 문자열 값을 저장하는 UDM 필드 이름을 빠르게 찾을 수 있습니다. 바이트, 불리언 또는 숫자와 같은 다른 데이터 유형은 검색하는 데에는 사용할 수 없습니다. UDM 조회에서 반환한 결과 하나 이상을 UDM 검색어의 시작점으로 선택합니다.

UDM 조회를 사용하려면 다음을 수행합니다.

  1. UDM 검색 페이지에서 UDM 필드를 값으로 조회 필드에 텍스트 문자열을 입력한 후 UDM 조회를 클릭합니다.

  2. UDM 조회 대화상자에서 다음 옵션 중 하나 이상을 선택하여 검색할 데이터 범위를 지정합니다.

    • UDM 필드: UDM 필드 이름에서 텍스트를 검색합니다(예: network.dns.questions.name 또는 principal.ip).
    • : UDM 필드에 할당된 값에서 텍스트를 검색합니다(예: dns 또는 google.com).
  3. 검색창에 문자열을 입력하거나 수정합니다. 입력하면 검색 결과가 대화상자에 표시됩니다.

    UDM 필드에서 검색할 때는 결과가 약간 다릅니다. 에서 텍스트를 검색하면 다음과 같은 결과가 표시됩니다.

    • 문자열이 값의 시작 또는 끝에서 발견되면 UDM 필드 이름 및 로그가 수집된 시간과 함께 결과에 강조 표시됩니다.
    • 값의 다른 곳에서 텍스트 문자열이 발견되면 결과에 UDM 필드 이름과 가능한 값 일치 텍스트가 표시됩니다.

    값 내에서 검색

    UDM 조회의 값에서 내 검색

    • UDM 필드 이름에서 텍스트 문자열을 검색하면 UDM 조회는 이름의 모든 위치에서 발견된 일치검색을 반환합니다.

    UDM 필드 내에서 검색

    UDM 조회의 UDM 필드 내에서 검색

  4. 결과 목록에서 다음을 수행할 수 있습니다.

    • UDM 필드 이름을 클릭하여 해당 필드 설명을 확인합니다.

    • 각 UDM 필드 이름 왼쪽에 있는 체크박스를 클릭하여 결과를 하나 이상 선택합니다.

    • 재설정 버튼을 클릭하여 결과 목록에서 선택한 모든 필드를 선택 해제합니다.

  5. 선택한 결과를 UDM 검색 필드에 추가하려면 검색에 추가 버튼을 클릭합니다.

    UDM 복사 버튼을 사용하여 선택한 결과를 복사한 후 UDM 조회 대화상자를 닫고 검색어 문자열을 UDM 검색 필드에 붙여넣을 수도 있습니다.

    Google Security Operations는 선택된 결과를 UDM 필드 이름이나 이름-값 쌍처럼 UDM 검색어 문자열로 변환합니다. 여러 결과를 추가하면 각 결과는 OR 연산자를 통해 UDM 검색 필드의 기존 쿼리 끝에 추가됩니다.

    추가된 쿼리 문자열은 UDM 조회에서 반환하는 일치 유형에 따라 다릅니다.

    • 결과가 UDM 필드 이름의 텍스트 문자열과 일치하면 전체 UDM 필드 이름이 쿼리에 추가됩니다. 다음은 그 예시입니다.

      principal.artifact.network.dhcp.client_hostname

    • 결과가 값의 시작 또는 끝 부분에 있는 텍스트 문자열과 일치하면 이름-값 쌍에 UDM 필드 이름과 결과의 전체 값이 포함됩니다. 예시는 다음과 같습니다.

      metadata.log_type = "PCAP_DNS"

      network.dns.answers.name = "dns-A901F3j.hat.example.com"

    • 결과에 가능한 값 일치 텍스트가 포함된 경우 이름-값 쌍에 UDM 필드 이름 및 검색어가 포함된 정규 표현식이 포함됩니다. 다음은 그 예시입니다.

      principal.process.file.full_path = /google/ NOCASE

  6. 사용 사례에 맞게 UDM 검색어를 수정합니다. UDM 조회에서 생성한 쿼리 문자열은 전체 UDM 검색어를 작성하기 위한 시작점입니다.

UDM 조회 동작 요약

이 섹션에서는 UDM 조회 기능을 자세히 설명합니다.

  • UDM 조회는 2023년 8월 10일 이후에 수집된 데이터를 검색합니다. 이 이전에 수집된 데이터는 검색되지 않습니다. 보강되지 않은 UDM 필드에서 발견된 결과를 반환합니다. 보강 필드와 일치하는 항목을 반환하지 않습니다. 보강 필드와 보강되지 않은 필드에 대한 자세한 내용은 이벤트 뷰어에서 이벤트 보기를 참조하세요.
  • UDM 조회를 사용하는 검색은 대소문자를 구분하지 않습니다. hostname라는 용어는 HostName와 동일한 결과를 반환합니다.
  • 을 검색할 때 쿼리 텍스트 문자열의 하이픈(-)과 밑줄(_)은 무시됩니다. 텍스트 문자열 dns-ldnsl 모두 dns-l 값을 반환합니다.
  • 을 검색할 때 UDM 조회는 다음과 같은 경우에 일치 항목을 반환하지 않습니다.

    다음 UDM 필드와 일치합니다.
    • metadata.product_log_id
    • network.session_id
    • security_result.rule_id
    • network.parent_session_id
    다음 값 중 하나로 끝나는 전체 경로가 있는 UDM 필드의 일치 항목은 다음과 같습니다.
    • .pid
      예: target.process.pid
    • .asset_id
      예: principal.asset_id
    • .product_specific_process_id
      예: principal.process.product_specific_process_id
    • .resource.id
      예: principal.resource.id

  • 을 검색할 때 다음과 같은 경우에 일치 항목이 발견되면 UDM 조회의 결과에 가능한 값 일치 메시지가 표시됩니다.

    다음 UDM 필드와 일치합니다.
    • metadata.description
    • security_result.description
    • security_result.detection_fields.value
    • security_result.summary
    • network.http.user_agent
    다음 값 중 하나로 끝나는 전체 경로가 있는 필드의 일치 항목은 다음과 같습니다.
    • .command_line
      예: principal.process.command_line
    • .file.full_path
      예: principal.process.file.full_path
    • .labels.value
      예: src.labels.value
    • .registry.registry_key
      예: principal.registry.registry_key
    • .url
      예: principal.url
    다음 값으로 시작하는 전체 경로가 있는 필드의 일치 항목은 다음과 같습니다. additional.fields.value.
    예: additional.fields.value.null_value

알림을 보려면 UDM 검색 페이지의 오른쪽 상단에 있는 이벤트 탭 오른쪽에 있는 알림 탭을 클릭합니다.

알림 표시 방식

Google Security Operations는 고객 환경에서 알림이 존재하는 이벤트에 대해 UDM 검색에서 반환되는 이벤트를 평가합니다. 검색어 이벤트가 알림에 있는 이벤트와 일치하면 알림 타임라인과 결과 알림 테이블에 표시됩니다.

이벤트 및 알림 정의

이벤트는 원시 로그 소스에서 생성되고, Google Security Operations에서 수집되고 Google Security Operations의 수집 및 정규화 프로세스를 통해 처리됩니다. 하나의 원시 로그 소스 레코드에서 여러 이벤트가 생성될 수 있습니다. 이벤트는 원시 로그에서 생성된 보안 관련 데이터 포인트 집합을 나타냅니다.

UDM 검색에서 알림은 알림이 사용 설정된 YARA-L 규칙 감지로 정의됩니다. 자세한 내용은 실시간 데이터에 대한 규칙 실행을 참조하세요.

다른 데이터 소스는 Crowdstrike Falcon 알림과 같이 Google Security Operations에 알림으로 수집될 수 있습니다. 이러한 알림은 Google Security Operations Detection Engine에서 YARA-L 규칙으로 처리되지 않는 한 UDM 검색 내에 표시되지 않습니다.

알림 하나 이상과 연결된 이벤트는 이벤트 타임라인에 알림 칩으로 표시됩니다. 타임라인과 연결된 알림이 여러 개 있으면 칩에 연결된 알림 수가 표시됩니다.

타임라인에는 검색결과에서 검색된 최신 알림 1,000개가 표시됩니다. 한도(1,000개)에 도달하면 더 이상 알림이 검색되지 않습니다. 검색과 관련된 모든 검색결과를 확인하려면 필터를 사용하여 검색을 세분화해야 합니다.

알림 조사 방법

알림 그래프알림 세부정보를 사용하여 알림을 조사하는 방법을 알아보려면 알림 조사에 설명된 단계를 따르세요.

UDM 검색에서 참조 목록 사용

검색에 규칙에서 참조 목록을 적용하는 프로세스도 사용할 수 있습니다. 단일 검색어에 목록이 최대 7개까지 포함될 수 있습니다. 모든 유형의 참조 목록(문자열, 정규 표현식, CIDR)이 지원됩니다.

추적하려는 변수의 목록을 만들 수 있습니다. 예를 들어 다음과 같이 의심스러운 IP 주소 목록을 만들 수 있습니다.

// Field value exists in reference list
principal.ip IN %suspicious_ips

AND 또는 OR를 사용하여 목록을 여러 개 사용할 수 있습니다.

// multiple lists can be used with AND or OR
principal.ip IN %suspicious_ips AND
principal.hostname IN %suspicious_hostnames

검색 결과 미세 조정

UDM 검색을 수정하고 검색을 다시 실행하는 대신 UDM 검색 사용자 인터페이스를 사용하여 결과를 필터링하고 미세 조정할 수 있습니다.

타임라인 차트

타임라인 차트는 현재 UDM 검색으로 표시되는 매일의 발생 이벤트 및 알림 수를 그래픽으로 제공합니다. 이벤트와 알림은 이벤트알림 탭 모두에서 사용할 수 있는 같은 타임라인 차트에 표시됩니다.

각 막대의 너비는 검색된 시간 간격에 따라 다릅니다. 예를 들어, 검색 범위가 24시간 분량의 데이터일 경우 각 막대는 10분을 나타냅니다. 기존 UDM 검색을 수정하면 동적으로 이 차트가 업데이트됩니다.

기간 범위 조정

흰색 슬라이더 컨트롤을 좌우로 이동하여 차트의 기간 범위를 조정하고 원하는 기간에 집중할 수 있습니다. 기간 범위를 조정하면 현재 선택이 반영되도록 UDM 필드 및 값과 이벤트 테이블이 업데이트됩니다. 그래프에서 단일 막대를 클릭하여 해당 기간 내 이벤트만 나열할 수도 있습니다.

기간 범위를 조정하면 필터링된 이벤트쿼리 이벤트 체크박스가 표시되고 표시된 이벤트 유형을 추가로 제한할 수 있습니다.

시간 범위 컨트롤이 있는 이벤트 타임라인 차트

그림 4. 시간 범위 컨트롤이 있는 이벤트 타임라인 차트

집계로 UDM 검색 수정

집계를 사용하면 UDM 검색 범위를 더 좁힐 수 있습니다. UDM 필드 목록을 스크롤하거나 검색창을 사용하여 특정 UDM 필드나 값을 검색할 수 있습니다. 여기에 나열된 UDM 필드는 UDM 검색에서 생성된 기존 이벤트 목록과 연결됩니다. 각 UDM 필드에는 이 데이터도 포함된 현재 UDM 검색 내 이벤트 수가 포함됩니다. UDM 필드 목록에는 필드 내 값의 고유한 총 수가 표시됩니다. 이 기능을 사용하면 추가로 원하는 특정 유형의 로그 데이터를 찾을 수 있습니다.

UDM 필드는 다음 순서로 나열됩니다.

  1. 이벤트 수가 가장 많은 필드에서 가장 적은 이벤트 수의 순서로 나열됩니다.
  2. 값이 1개만 있는 필드는 항상 마지막에 표시됩니다.
  3. 총 이벤트 수가 정확히 동일한 필드는 알파벳순(A~Z)으로 나열됩니다.

집계

그림 5. 집계

집계 수정

집계 목록에서 UDM 필드 값을 선택하고 메뉴 아이콘을 클릭하면 다음 항목만 표시(해당 UDM 필드 값을 포함한 이벤트만) 또는 필터링(해당 필드 값으로) 옵션 중에서 선택할 수 있습니다. UDM 필드가 정수 값(예: target.port)을 저장하는 경우 <,>,<=,>=로 필터링하는 옵션도 표시됩니다. 필터 옵션을 사용하면 표시되는 이벤트 목록이 줄어듭니다.

집계에서 필드를 고정 (내보내기 고정 아이콘 사용)하여 즐겨찾기로 저장할 수도 있습니다. 집계 목록 상단에 표시됩니다.

다음 항목만 표시

그림 6. 예: 다음 항목만 표시 선택

이러한 추가 UDM 필터도 필터 이벤트 필드에 추가됩니다. 필터 이벤트 필드는 UDM 검색에 추가한 UDM 필드를 추적하는 데 도움이 됩니다. 필요에 따라 이러한 추가 UDM 필드를 빠르게 삭제할 수도 있습니다.

이벤트 필터링

그림 7. 이벤트 필터링

왼쪽의 필터 이벤트 메뉴 아이콘이나 필터 추가를 클릭하면 추가 UDM 필드를 선택할 수 있는 창이 열립니다.

이벤트 필터링 창

그림 8. 이벤트 필터링 창

검색 및 실행에 적용을 클릭하면 UDM 필드가 이벤트 필터링 필드에 추가되고 표시된 이벤트는 추가 필터를 기준으로 필터링됩니다. 또한 검색 및 실행에 적용을 클릭하여 UDM 필드를 페이지 상단의 기본 UDM 검색창에 추가할 수 있습니다. 같은 날짜 및 시간 매개변수를 통해 검색이 자동으로 다시 실행됩니다. 검색 및 실행에 적용을 클릭하기 전에 검색 범위를 최대한 좁히는 것이 좋습니다. 이렇게 하면 정확도를 높이고 검색 시간을 줄일 수 있습니다.

이벤트 테이블에서 이벤트 보기

이러한 모든 필터와 컨트롤은 이벤트 테이블에 표시되는 이벤트 목록을 업데이트합니다. 나열된 이벤트 중 하나를 클릭하여 해당 이벤트의 원시 로그와 UDM 레코드를 검사할 수 있는 로그 뷰어를 엽니다. 이벤트의 타임스탬프를 클릭하면 관련 애셋, IP 주소, 도메인, 해시 또는 사용자 뷰로 이동할 수도 있습니다. 또한 표 상단의 검색창을 사용하여 특정 이벤트를 찾을 수도 있습니다.

경고 테이블에서 알림 보기

이벤트 탭의 오른쪽에 있는 알림 탭을 클릭하여 알림을 볼 수 있습니다. 집계를 사용하여 다음 기준으로 알림을 정렬할 수 있습니다.

  • 케이스
  • 이름
  • 우선순위
  • 심각도
  • 상태
  • 결과

따라서 가장 중요한 알림에 집중할 수 있습니다.

알림은 이벤트 탭에 있는 이벤트와 동일한 기간에 표시됩니다. 이를 통해 이벤트와 알림 간의 연관성을 확인할 수 있습니다.

특정 알림에 대해 자세히 알아보려면 알림을 클릭하세요. 그러면 해당 알림에 대한 자세한 정보가 포함된 개별 알림 세부정보 페이지가 열립니다.

이벤트 뷰어에서 이벤트 보기

이벤트 테이블의 이벤트 위로 포인터를 가져가면 이벤트 뷰어 열기 아이콘이 강조표시된 이벤트의 오른쪽에 표시됩니다. 클릭하여 이벤트 뷰어를 엽니다.

원시 로그 창에는 다음 형식 중 하나로 원래의 원시 부호가 표시됩니다.

  • 원시
  • JSON
  • XML
  • CSV
  • 16진수/ASCII

UDM 창에 정형 UDM 레코드가 표시됩니다. UDM 필드 위로 마우스 포인터를 가져가면 UDM 정의가 표시됩니다. UDM 필드 체크박스를 선택하면 추가 옵션이 제공됩니다.

  • UDM 레코드를 복사할 수 있습니다. UDM 필드를 하나 이상 선택한 후 작업 보기 드롭다운 메뉴에서 UDM 복사 옵션을 선택합니다. UDM 필드 및 UDM 값이 시스템 클립보드에 복사됩니다.

  • 작업 보기 드롭다운 메뉴에서 열 추가 옵션을 선택하여 이벤트 테이블에서 UDM 필드를 열로 추가할 수 있습니다.

각 UDM 필드에는 필드에 보강 데이터나 보강되지 않은 데이터가 포함되어 있는지 여부를 나타내는 아이콘으로 라벨이 지정됩니다. 아이콘 라벨은 다음과 같습니다.

  • U: 보강되지 않은 필드에는 원본 원시 로그의 데이터를 사용하여 정규화 프로세스 중에 채워진 값이 포함됩니다.
  • E: 보강된 필드에는 고객 환경의 아티팩트에 대한 추가 컨텍스트를 제공하기 위해 Google Security Operations에서 채운 값이 포함됩니다. 자세한 내용은 Google Security Operations가 이벤트 및 항목 데이터를 보강하는 방법을 참조하세요.

    보강 및 보강되지 않은 UDM 필드

그림 9. 이벤트 뷰어의 UDM 필드

옵션을 사용하여 이벤트 테이블에 표시되는 정보 열을 조정합니다. 열 메뉴가 표시됩니다. 사용 가능한 옵션은 UDM 검색에서 반환하는 이벤트 유형에 따라 달라집니다.

필요한 경우 저장을 클릭하여 여기에서 선택한 열 집합을 저장할 수 있습니다. 선택한 열 집합에 이름을 지정하고 저장을 다시 클릭합니다. 로드를 클릭하고 목록에서 저장된 열 집합을 선택하여 저장된 열 집합을 로드할 수 있습니다.

점 3개로 된 메뉴를 클릭하고 CSV로 다운로드를 선택하여 표시된 이벤트를 다운로드할 수도 있습니다. 이렇게 하면 최대 100만 개의 모든 검색결과가 다운로드됩니다. 사용자 인터페이스에 다운로드하는 이벤트 수가 표시됩니다.

UDM 검색 열

그림 10. UDM 검색 열

피벗 테이블을 사용한 이벤트 분석

피벗 테이블을 사용하면 UDM 검색 결과에 대해 표현식과 함수를 사용하여 이벤트를 분석할 수 있습니다.

피벗 테이블을 열고 구성하려면 다음 단계를 완료하세요.

  1. UDM 검색을 실행합니다.

  2. 피벗 탭을 클릭하여 피벗 테이블을 엽니다.

  3. 그룹 기준 값을 지정하여 특정 UDM 필드로 이벤트를 그룹화합니다. 기본 대문자를 사용하거나 메뉴에서 소문자를 선택하여 소문자만 사용하여 결과를 표시할 수 있습니다. 이 옵션은 문자열 필드에만 사용할 수 있습니다. 필드 추가를 클릭하여 최대 5개의 그룹 기준 값을 지정할 수 있습니다.

    그룹 기준 값이 호스트 이름 필드 중 하나인 경우 추가 변환 옵션이 표시됩니다.

    • N차 도메인: 표시할 도메인 수준을 선택합니다. 예를 들어 값을 1로 사용하면 최상위 도메인(예: com, gov, edu)만 표시됩니다. 값 3을 사용하면 도메인 이름의 다음 두 수준(예: google.co.uk)이 표시됩니다.
    • 등록된 도메인 가져오기—등록된 도메인 이름(예: google.com, nytimes.com, youtube.com)만 표시합니다.

    그룹 기준 값이 IP 필드 중 하나인 경우 추가 변환 옵션이 있습니다.

    • (IP) CIDR 접두사 길이(비트): IPv4 주소의 경우 1~32를 지정할 수 있습니다. IPv6 주소의 경우 최대 128까지 값을 지정할 수 있습니다.

    그룹 기준 값에 타임스탬프가 포함된 경우 추가 변환 옵션이 표시됩니다.

    • (시간) 해결 시간(밀리초)
    • (시간) 해결 시간(초)
    • (시간) 해결 시간(분)
    • (시간) 해결 시간(시간)
    • (시간) 해결 시간(일)
  4. 결과의 필드 목록에서 피벗의 값을 지정합니다. 값을 최대 5개까지 지정할 수 있습니다. 필드를 지정한 후 요약 옵션을 선택해야 합니다. 다음 옵션으로 요약할 수 있습니다.

    • sum
    • count
    • 고유 개수
    • 평균
    • 표준 편차
    • min
    • max

    이벤트 수 값을 지정하여 이 특정 UDM 검색 및 피벗 테이블에 대해 식별된 이벤트 수를 반환합니다.

    요약 옵션은 그룹화 기준 필드와 호환되지 않는 경우도 있습니다. 예: sum, 평균, 표준 편차, min, max 옵션은 숫자 필드에만 적용될 수 있습니다. 호환되지 않는 요약 옵션을 그룹 기준 필드와 연결하려고 하면 오류 메시지가 표시됩니다.

  5. UDM 필드를 하나 이상 지정하고 정렬 기준 옵션을 사용하여 정렬을 하나 이상 선택합니다.

  6. 준비되면 적용을 클릭합니다. 결과가 피벗 테이블에 표시됩니다.

  7. (선택사항) 피벗 테이블을 다운로드하려면 를 클릭하고 CSV로 다운로드를 선택하세요. 피벗을 선택하지 않은 경우 이 옵션은 사용 중지됩니다.

빠른 검색에서 검색 실행하기

  1. 빠른 검색을 클릭하여 빠른 검색 창을 엽니다. 이 창에는 저장된 검색 및 검색 기록이 표시됩니다.

  2. 나열된 검색 중 하나를 클릭하여 UDM 검색창에 로드합니다.

  3. 준비가 되면 검색 실행을 클릭합니다.

나열된 검색어는 Google Security Operations 계정에 저장됩니다. 저장된 검색결과를 수정하거나(예: 기존 검색 이름 변경), 저장된 검색결과를 삭제하거나, 검색 기록에서 검색을 삭제해야 하는 경우 모든 검색 보기를 클릭하여 검색 관리자를 엽니다.

저장된 검색 및 검색 기록 개요

검색 관리자를 클릭하여 검색 관리자에서 저장된 검색결과를 검색하고 검색 기록을 확인합니다. 저장된 검색 및 검색 기록은 모두 Google Security Operations 계정에 저장됩니다. 검색 공유 기능을 사용하여 검색을 조직과 공유하지 않는 한 저장된 검색 및 검색 기록은 개별 사용자만 보고 액세스할 수 있습니다. 저장된 검색을 선택하여 제목 및 설명을 포함한 추가 정보를 확인하세요.

검색을 저장하려면 다음 단계를 따르세요.

  1. UDM 검색 페이지에서 저장을 클릭하여 나중에 사용할 수 있도록 UDM 검색을 저장합니다. 그러면 검색 관리자가 열립니다. 저장된 검색에 의미 있는 이름과 검색 중인 항목에 대한 일반 텍스트 설명을 제공하는 것이 좋습니다. 를 클릭하여 검색 관리자 내에서 새 UDM 검색을 만들 수도 있습니다. 표준 UDM 수정 및 완료 도구도 여기에서 사용할 수 있습니다.

  2. (선택사항) YARA-L의 변수에 사용되는 것과 동일한 형식을 사용하여 ${<variable name>} 형식의 자리표시자 변수를 지정합니다. UDM 검색에 변수를 추가하는 경우 사용자가 검색을 실행하기 전에 입력해야 하는 정보를 이해하는 데 도움이 되는 메시지도 포함해야 합니다. 검색을 실행하기 전에 모든 변수를 값으로 채워야 합니다.

    예를 들어 UDM 검색에 metadata.vendor_name = ${vendor_name}을 추가할 수 있습니다. ${vendor_name}의 경우 향후 사용자를 위한 프롬프트(예: '검색할 공급업체 이름을 입력하세요')를 추가해야 합니다. 향후 사용자가 이 검색어를 로드할 때마다 검색을 실행하기 전에 공급업체 이름을 입력하라는 메시지가 표시됩니다.

  3. 완료되면 수정사항 저장을 클릭합니다.

  4. 저장된 검색을 보려면 검색 관리자를 클릭한 다음 저장됨 탭을 클릭합니다.

저장된 검색을 검색하고 실행하려면 다음 안내를 따르세요.

  1. 검색 관리자에서 저장됨 탭을 클릭합니다.

  2. 목록에서 저장된 검색을 선택합니다. 이 저장된 검색결과는 Google Security Operations 계정에 저장됩니다. 아이콘을 클릭하고 검색어 삭제를 선택하여 검색어를 삭제할 수 있습니다.

  3. 검색 이름과 설명을 변경할 수 있습니다. 완료되면 수정사항 저장을 클릭합니다.

  4. 검색 로드를 클릭합니다. 검색이 기본 UDM 검색창에 로드됩니다.

  5. 검색 실행을 클릭하여 이 검색과 연결된 이벤트를 확인합니다.

검색 기록에서 검색 가져오기

검색 기록에서 검색을 가져와서 실행하려면 다음 안내를 따르세요.

  1. 검색 관리자에서 기록을 클릭합니다.

  2. 검색 기록에서 검색 가져오기 검색 기록은 Google Security Operations 계정에 저장됩니다. 를 클릭하여 검색어를 삭제할 수 있습니다.

  3. 검색 로드를 클릭합니다. 검색이 기본 UDM 검색창에 로드됩니다.

  4. 검색 실행을 클릭하여 이 검색과 연결된 이벤트를 확인합니다.

검색 기록 삭제, 중지 또는 사용 설정

검색 기록 삭제, 중지 또는 사용 설정하려면 다음 안내를 따르세요.

  1. 검색 관리자에서 기록 탭을 클릭합니다.

  2. 를 클릭합니다.

  3. 검색 기록 삭제를 선택하여 검색 기록을 지웁니다.

  4. 기록 사용 중지를 클릭하여 검색 기록을 사용 중지합니다. 다음 옵션 중에서 선택할 수 있습니다.

    • 선택 해제만: 검색 기록을 사용 중지합니다.

    • 선택 해제 및 삭제: 검색 기록을 사용 중지하고 저장된 검색 기록을 삭제합니다.

  5. 이전에 검색 기록을 사용 중지한 경우 검색 기록 사용 설정을 클릭하여 다시 사용 설정할 수 있습니다.

  6. 닫기를 클릭하여 검색 관리자를 종료합니다.

검색 공유

검색 공유를 사용하면 다른 팀 구성원과 검색을 공유할 수 있습니다. 저장됨 탭에서 검색어를 공유하거나 삭제할 수 있습니다. 검색창 옆에 있는 필터 아이콘을 클릭하여 검색을 필터링하고 모두 표시, Google SecOps 정의, 내가 작성함 또는 공유를 기준으로 검색을 정렬할 수도 있습니다.

자신의 검색이 아닌 공유 검색은 수정할 수 없습니다.

  1. 저장됨을 클릭합니다.
  2. 공유하려는 검색어를 클릭합니다.
  3. 검색창 오른쪽에 있는 를 클릭합니다. 검색 내용을 공유하는 옵션이 포함된 대화상자가 표시됩니다.
  4. 조직과 공유를 클릭합니다.
  5. '검색을 공유하면 조직의 전체 사용자가 볼 수 있습니다'라는 대화상자가 표시됩니다. 공유를 계속하시겠어요? 공유를 클릭합니다.

검색 결과가 나에게만 표시되도록 하려면 아이콘을 클릭한 다음 공유 중지를 클릭합니다. 공유를 중지하면 본인만 이 검색을 사용할 수 있습니다.

플랫폼에서 CSV로 다운로드할 수 있는 UDM 필드와 다운로드할 수 없는 UDM 필드

다운로드에 지원되는 UDM 필드와 지원되지 않는 UDM 필드는 다음 하위 섹션에 나와 있습니다.

지원되는 필드

플랫폼에서 다음 필드를 CSV 파일로 다운로드할 수 있습니다.

  • 사용자

  • 호스트 이름

  • 프로세스 이름

  • 이벤트 유형

  • 타임스탬프

  • 원시 로그 (고객에 대해 원시 로그가 사용 설정된 경우에만 유효)

  • 'udm.additional'로 시작하는 모든 필드

유효한 필드 유형

다음 필드 유형을 CSV 파일로 다운로드할 수 있습니다.

  • double

  • float

  • int32

  • uint32

  • int64

  • uint64

  • 부울

  • 문자열

  • enum

  • 바이트

  • google.protobuf.Timestamp

  • google.protobuf.Duration

지원되지 않는 필드

'udm' (udm.additional 아님)으로 시작하고 다음 조건 중 하나를 충족하는 필드는 CSV로 다운로드할 수 없습니다.

  • udm 프로토에서 필드의 중첩이 10개를 초과합니다.

  • 데이터 유형은 메시지 또는 그룹입니다.

다음 단계

UDM 검색에서 컨텍스트 보강 데이터를 사용하는 방법에 대한 자세한 내용은 UDM 검색에서 컨텍스트 보강 데이터 사용을 참고하세요.