Pesquise eventos e alertas

Compatível com:

A função de pesquisa permite-lhe encontrar eventos e alertas do modelo de dados unificado (UDM) na sua instância do Google Security Operations através da sintaxe YARA-L 2.0. A Pesquisa inclui opções para refinar e navegar pelos seus dados da UDM. Pode pesquisar eventos individuais da UDM e grupos de eventos da UDM que correspondam à mesma consulta.

Nos sistemas que usam RBAC de dados, só pode ver dados que correspondam aos seus âmbitos. Para mais informações, consulte o artigo Impacto do RBAC de dados na Pesquisa.

Para os clientes do Google SecOps, os alertas também podem ser carregados a partir de conectores e webhooks. Também pode usar a pesquisa para encontrar estes alertas.

Para mais informações sobre o UDM, consulte os artigos Formate os dados de registo como UDM e Lista de campos do UDM.

Pode aceder à pesquisa do Google SecOps através das seguintes opções:

  • Na barra de navegação, clique em Investigação > Pesquisa.

  • No campo Pesquisar, introduza um campo UDM válido para qualquer campo de pesquisa no Google SecOps e, de seguida, prima CTRL+Enter.

    Pesquisar

    Figura 1. Exemplo da janela Pesquisa usada para explorar tendências de eventos.

As secções seguintes detalham como usar as funcionalidades de pesquisa.

Use a funcionalidade de pesquisa

  • Uma expressão de pesquisa consiste num campo UDM para pesquisar, num operador e num valor de dados a pesquisar.

  • Se a expressão de consulta for válida, a consola Google SecOps ativa o botão Executar pesquisa.

  • As consultas UDM baseiam-se em campos definidos na lista de campos do modelo de dados unificado. Pode procurar e selecionar estes campos de UDM através de Filtros ou da Pesquisa de registos não processados.

  • Para ajustar o número de eventos devolvidos, clique em Mais e selecione Definições de pesquisa. Para detalhes, consulte as Definições de pesquisa.

  • Para alterar o intervalo de dados, abra a janela Intervalo de datas.

Para usar a funcionalidade de pesquisa, conclua os seguintes passos:

  1. Aceda à página Pesquisa.
  2. No campo Pesquisar, introduza uma expressão de pesquisa.
  3. Para pesquisar eventos, introduza o nome de um campo de UDM no campo Pesquisar. À medida que escreve, a funcionalidade de preenchimento automático sugere campos UDM válidos com base na sua entrada.

  4. Depois de introduzir um campo de UDM válido, selecione um operador válido. A interface do utilizador apresenta os operadores válidos disponíveis com base no campo UDM que introduziu. Os seguintes operadores são suportados:

    • <, >
    • <=, >=
    • =, !=
    • nocase – suportado para strings

  5. Depois de introduzir um campo e um operador da UDM válidos, adicione o valor dos dados do registo que quer pesquisar. Para ver detalhes, consulte o artigo Formate o valor dos dados para pesquisar.

  6. Clique em Executar pesquisa para executar a pesquisa.

    Os resultados do evento são apresentados na tabela Linha cronológica de eventos na página Pesquisa.

  7. Opcional: restrinja os resultados adicionando filtros de UDM adicionais manualmente ou usando a consola.

Formate o valor de dados a pesquisar

Formate o valor de dados com as seguintes diretrizes:

  • Tipo de dados: formate o valor dos dados com base no respetivo tipo de dados:

    • Valores enumerados: use um valor enumerado válido definido para o campo UDM selecionado.

      Por exemplo: um valor de texto, tudo em maiúsculas entre aspas duplas:

      metadata.event_type = "NETWORK_CONNECTION"

    • Valores adicionais: use o formato field[key\] = value para pesquisar nos campos additional e labels.

      Por exemplo:

      additional.fields["key"]="value"

    • Valores booleanos: use true ou false (não sensíveis a maiúsculas e minúsculas, não são necessárias aspas).

      Por exemplo:

      network.dns.response = true

    • Números inteiros: use valores numéricos sem aspas.

      Por exemplo:

      target.port = 443

    • Valores flutuantes: para campos UDM do tipo float, introduza um valor decimal, como 3.1, ou um número inteiro, como 3.

      Por exemplo:

      security_result.about.asset.vulnerabilities.cvss_base_score = 3.1

    • Expressões regulares: inclua a expressão regular entre barras (/).

      Por exemplo:

      • principal.ip = /10.*/

      • Pesquise a execução de psexec.exe (janela):

        target.process.command_line = /\bpsexec(\.exe)?\b/ nocase

      Para ver detalhes sobre expressões regulares, consulte a página de expressões regulares.

    • Strings: inclua os valores de texto entre aspas duplas.

      Por exemplo:

      metadata.product_name = "Google Cloud VPC Flow Logs"

  • Strings não sensíveis a maiúsculas e minúsculas: use o operador nocase para estabelecer correspondência com qualquer combinação de carateres maiúsculos e minúsculos numa string.

    Por exemplo:

    • principal.hostname != "http-server" nocase
    • principal.hostname = "JDoe" nocase
    • principal.hostname = /dns-server-[0-9]+/ nocase

  • Escape de carateres em strings: escape de carateres especiais com uma barra invertida, da seguinte forma:

    • Use \\ para usar como caráter de escape uma barra invertida (\).
    • Use \" para escapar a aspas duplas (").

    Por exemplo:

    • principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
    • target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""

  • Expressões booleanas: use AND, OR e NOT para combinar condições e restringir os resultados.

    Os exemplos seguintes mostram operadores booleanos compatíveis (AND, OR e NOT):

    • A AND B
    • A OR B

    • Use parênteses ( ) para agrupar expressões e controlar a ordem de avaliação:

      (A OR B) AND (B OR C) AND (C OR NOT D)

    Exemplos:

    • Pesquise eventos de início de sessão no servidor financeiro:

      metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"

    • Use o operador (>) para pesquisar ligações em que foram enviados mais de 10 MB de dados:

      metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000

    • Use várias condições para pesquisar winword.exe lançamento cmd.exe ou powershell.exe:

      metadata.event_type = "PROCESS_LAUNCH" and
 principal.process.file.full_path = /winword/ and
 (target.process.file.full_path = /cmd.exe/ or
  target.process.file.full_path = /powershell.exe/)

  • Pesquise pares de chave-valor nos campos additional e labels:

    Os campos additional e labels atuam como contentores personalizáveis para dados de eventos que não são mapeados para campos da UDM padrão. Cada entrada armazena um único par de chave-valor.

    • Os campos additional podem conter vários pares de chave-valor.
    • Os campos labels só podem conter um único par de chave-valor.

    Use esta sintaxe para especificar os pares de chave-valor a pesquisar nos campos additional e labels:

    field[key\] = value.

    Por exemplo:

    additional.fields["key"]="value"

    Exemplos de pesquisas que usam pares de chave-valor específicos nos campos additional e labels:

    • Pesquise eventos que contenham pares de chave-valor especificados:

      • additional.fields["pod_name"] = "kube-scheduler"

      • metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"

    • Use o operador AND com pesquisas de pares de chave-valor:

      additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"

    • Pesquise todos os eventos que contêm a chave especificada, independentemente do valor:

      additional.fields["pod_name"] != ""

    • Pesquise eventos que contenham uma chave específica, usando uma expressão regular:

      additional.fields.value.string_value = "mystring"

    • Pesquise eventos que usam várias chaves com o mesmo nome, usando uma expressão regular:

      additional.fields.key = /myKeynumber_*/

    • Use expressões regulares e o operador nocase:

      • additional.fields["pod_name"] = /br/

      • additional.fields["pod_name"] = bar nocase

  • Use comentários de bloco e de linha única.

    • Usar um comentário de bloco: 

        additional.fields["pod_name"] = "kube-scheduler"
  /*
  Block comments can span
  multiple lines.
  */
  AND additional.fields["pod_name1"] = "kube-scheduler1"

    • Usar um comentário de uma única linha:

      additional.fields["pod_name"] != "" // my single-line comment

Definições de pesquisa

Pode definir o número máximo de resultados da pesquisa nas Definições de pesquisa da UDM. Estas definições são específicas do utilizador.

  1. Clique em Definições de pesquisa em Mais junto a Executar pesquisa.

  2. Selecione Max Results to Return (Máximo de resultados a devolver). As opções são 1K, 30K, 100K, 1M e custom, que podem assumir valores entre 1 e 1M. O valor predefinido é 1M. Normalmente, as consultas são executadas mais rapidamente quando escolhe um tamanho do conjunto de resultados mais pequeno.

A pesquisa devolve demasiados resultados

Se a sua pesquisa for demasiado abrangente, o Google SecOps apresenta uma mensagem de aviso a indicar que não é possível apresentar todos os resultados da pesquisa.

Nestes casos, o sistema obtém apenas os resultados mais recentes, até ao limite de pesquisa de 1 milhão de eventos e 1000 alertas. No entanto, podem existir muito mais eventos e alertas correspondentes que não são apresentados.

Para garantir que captura todos os resultados relevantes, considere refinar a pesquisa aplicando filtros adicionais. Restringir o âmbito da pesquisa ajuda a reduzir o conjunto de dados para um tamanho gerível e melhora a precisão. Recomendamos que ajuste e volte a executar a pesquisa até que os resultados se enquadrem no limite de apresentação do sistema.

A página de resultados da pesquisa apresenta os 10 000 resultados mais recentes. Pode filtrar e refinar os resultados da pesquisa para apresentar os resultados mais antigos, como alternativa à modificação e à nova execução da pesquisa.

Pesquise campos agrupados

Os campos agrupados são aliases de grupos de campos UDM relacionados. Pode usá-los para consultar vários campos da UDM ao mesmo tempo sem escrever cada campo individualmente.

O exemplo seguinte mostra como introduzir uma consulta para corresponder aos campos UDM comuns que podem conter o endereço IP especificado:

ip = "1.2.3.4"

Pode fazer corresponder um campo agrupado através de uma expressão regular e do operador nocase. As listas de referência também são suportadas. Também é possível usar campos agrupados em combinação com campos UDM normais, como mostrado no exemplo seguinte:

ip = "5.6.7.8" AND metadata.event_type = "NETWORK_CONNECTION"

Os campos agrupados têm uma secção separada em Agregações.

Tipos de campos de UDM agrupados

Pode pesquisar em todos os seguintes campos de UDM agrupados:

Nome do campo agrupado Campos UDM associados
domínio about.administrative_domain
about.asset.network_domain
network.dns.questions.name
network.dns_domain
principal.administrative_domain
principal.asset.network_domain
target.administrative_domain
target.asset.hostname
target.asset.network_domain
target.hostname
email intermediary.user.email_addresses
network.email.from
network.email.to
principal.user.email_addresses
security_result.about.user.email_addresses
target.user.email_addresses
file_path principal.file.full_path
principal.process.file.full_path
principal.process.parent_process.file.full_path
target.file.full_path
target.process.file.full_path
target.process.parent_process.file.full_path
hash about.file.md5
about.file.sha1
about.file.sha256
principal.process.file.md5
principal.process.file.sha1
principal.process.file.sha256
security_result.about.file.sha256
target.file.md5
target.file.sha1
target.file.sha256
target.process.file.md5
target.process.file.sha1
target.process.file.sha256
hostname intermediary.hostname
observer.hostname
principal.asset.hostname
principal.hostname
src.asset.hostname
src.hostname
target.asset.hostname
target.hostname
ip intermediary.ip
observer.ip
principal.artifact.ip
principal.asset.ip
principal.ip
src.artifact.ip
src.asset.ip
src.ip
target.artifact.ip
target.asset.ip
target.ip
espaço de nome principal.namespace
src.namespace
target.namespace
process_id principal.process.parent_process.pid
principal.process.parent_process.product_specific_process_id
principal.process.pid
principal.process.product_specific_process_id
target.process.parent_process.pid
target.process.parent_process.product_specific_process_id
target.process.pid
target.process.product_specific_process_id
utilizador about.user.userid
observer.user.userid
principal.user.user_display_name
principal.user.userid
principal.user.windows_sid
src.user.userid
target.user.user_display_name
target.user.userid
target.user.windows_sid

Encontre um campo UDM para a consulta de pesquisa

Ao escrever uma consulta de pesquisa, pode não saber que campo de UDM incluir. A pesquisa de UDM permite-lhe encontrar rapidamente um nome de campo de UDM que contenha uma string de texto no nome ou que armazene um valor de string específico. A função UDM Lookup não se destina a ser usada para pesquisar outros tipos de dados, como bytes, valores booleanos ou numéricos. Seleciona um ou mais resultados devolvidos pela UDM Lookup e usa-os como ponto de partida para uma consulta de pesquisa.

Para usar a pesquisa UDM, faça o seguinte:

  1. Na página Pesquisa, clique em UDM Lookup.

  2. Na caixa de diálogo Pesquisa de UDM, selecione uma ou mais das seguintes opções de correspondência para especificar o âmbito dos dados a pesquisar:

    • Campos de DUM: pesquise texto nos nomes dos campos de DUM.

      Por exemplo: network.dns.questions.name ou principal.ip

    • Valores: pesquise texto nos valores atribuídos aos campos da UDM.

      Por exemplo: dns ou google.com.

  3. Introduza ou modifique a string no campo Pesquisa de campos/valores de UDM. À medida que escreve, os resultados da pesquisa aparecem na caixa de diálogo.

    Os resultados são ligeiramente diferentes quando pesquisa em Campos de dados do utilizador em comparação com Valores:

    • A pesquisa de uma string de texto nos nomes dos campos de UDM devolve uma correspondência exata encontrada em qualquer localização no nome.

      Pesquise nos campos da UDM

      Figura 2. Pesquise nomes de campos de UDM na pesquisa de UDM.

    • A pesquisa de texto em Valores devolve resultados da seguinte forma:

      • Se a string for encontrada no início ou no fim do valor, é realçada no resultado, juntamente com o nome do campo UDM e a hora de carregamento do registo.
      • Se a string de texto for encontrada noutro local no valor, o resultado apresenta o nome do campo UDM e o texto Possível correspondência de valor.

      Pesquise nos valores

      Figura 3. Pesquise em Valores na Pesquisa de UDM.

  4. Na lista de resultados, pode fazer o seguinte:

    • Clique no nome de um campo de UDM para ver uma descrição desse campo.

    • Selecione um ou mais resultados clicando na caixa de verificação à esquerda do nome de cada campo de UDM.

    • Clique no botão Repor para desselecionar todos os campos selecionados na lista de resultados.

  5. Para anexar os resultados selecionados ao campo Pesquisa na página Pesquisa, faça uma das seguintes ações:

    • Clique em Anexar à pesquisa.

    • Clique em Copiar UDM para copiar os resultados selecionados para a área de transferência. Em seguida, feche a caixa de diálogo UDM Lookup e cole a string de consulta de pesquisa no campo Pesquisar na página Pesquisar.

    O Google SecOps converte os resultados selecionados numa string de consulta de pesquisa como o nome do campo UDM ou um par nome-valor. Se anexar vários resultados, cada resultado é adicionado ao final da consulta existente no campo Pesquisa usando o operador OR.

    A string de consulta anexada é diferente consoante o tipo de correspondência devolvida pela UDM Lookup.

    • Se o resultado corresponder a uma string de texto no nome de um campo de UDM, o nome completo do campo de UDM é anexado à consulta. Por exemplo:

      principal.artifact.network.dhcp.client_hostname

    • Se o resultado corresponder a uma string de texto no início ou no fim de um valor, o par nome-valor contém o nome do campo UDM e o valor completo no resultado. Seguem-se alguns exemplos:

      • metadata.log_type = "PCAP_DNS"

      • network.dns.answers.name = "dns-A901F3j.hat.example.com"

    • Se o resultado incluir o texto Possível correspondência de valor, o par nome-valor contém o nome do campo UDM e uma expressão regular que contém o termo de pesquisa. Por exemplo:

      principal.process.file.full_path = /google/ NOCASE

  6. A string de consulta gerada pela UDM Lookup serve como ponto de partida para uma consulta de pesquisa. Edite a Consulta de pesquisa na página Pesquisa para se adequar ao seu exemplo de utilização.

Resumo do comportamento da pesquisa da UDM

Esta secção fornece mais detalhes sobre as capacidades de pesquisa da UDM.

  • A pesquisa da UDM procura dados carregados após 10 de agosto de 2023. Os dados carregados antes desta data não são pesquisados. Devolve resultados encontrados em campos da UDM não enriquecidos. Não devolve correspondências a campos enriquecidos. Para informações sobre campos enriquecidos versus não enriquecidos, consulte o artigo Veja eventos no visualizador de eventos.
  • As pesquisas que usam a pesquisa da UDM não são sensíveis a maiúsculas e minúsculas. O termo hostname devolve o mesmo resultado que HostName.
  • Os hífens (-) e os sublinhados (_) numa string de texto de consulta são ignorados quando pesquisa Valores. As strings de texto dns-l e dnsl devolvem o valor dns-l.

  • Quando pesquisa Valores, a pesquisa de UDM não devolve correspondências nos seguintes casos:

    Correspondências nos seguintes campos da UDM:
    • metadata.product_log_id
    • network.session_id
    • security_result.rule_id
    • network.parent_session_id
    Corresponde a campos de UDM com um caminho completo que termina num dos seguintes valores:
    • .pid
      Por exemplo target.process.pid.
    • .asset_id
      Por exemplo principal.asset_id.
    • .product_specific_process_id
      Por exemplo principal.process.product_specific_process_id.
    • .resource.id
      Por exemplo principal.resource.id.

  • Quando pesquisa Valores, a pesquisa do UDM apresenta Possível correspondência de valor quando é encontrada uma correspondência nos seguintes casos:

    Correspondências nos seguintes campos da UDM:
    • metadata.description
    • security_result.description
    • security_result.detection_fields.value
    • security_result.summary
    • network.http.user_agent
    Corresponde a campos com um caminho completo que termina num dos seguintes valores:
    • .command_line
      Por exemplo principal.process.command_line.
    • .file.full_path
      Por exemplo principal.process.file.full_path.
    • .labels.value
      Por exemplo src.labels.value.
    • .registry.registry_key
      Por exemplo principal.registry.registry_key.
    • .url
      Por exemplo principal.url.
    Corresponde a campos com um caminho completo que começa com os seguintes valores: additional.fields.value.
    Por exemplo additional.fields.value.null_value.

Para ver os alertas, clique no separador Alertas, localizado junto ao separador Eventos, na parte superior direita da página Pesquisa.

Como são apresentados os alertas

O Google SecOps avalia os eventos devolvidos na pesquisa em comparação com os eventos que existem para alertas no ambiente do cliente. Quando um evento de consulta de pesquisa corresponde a um evento presente num alerta, é apresentado na Linha cronológica de alertas e na tabela Alerta resultante.

Definição de eventos e alertas

Um evento é gerado a partir de uma origem de registo não processada que é carregada no Google SecOps e processada pelo processo de carregamento e normalização do Google SecOps. É possível gerar vários eventos a partir de um único registo de origem de registos não processados. Um evento representa um conjunto de pontos de dados relevantes para a segurança que são gerados a partir desse registo não processado.

Na pesquisa, um alerta é definido como uma deteção de regras YARA-L com alertas ativados. Consulte o artigo sobre executar uma regra com dados em direto para saber mais.

Outras origens de dados podem ser carregadas no Google SecOps como alertas, como os alertas do Crowdstrike Falcon. Estes alertas não são apresentados na pesquisa, a menos que sejam processados pelo motor de deteção do Google SecOps como uma regra YARA-L.

Os eventos associados a um ou mais alertas são marcados com um chip de alerta na Linha cronológica de eventos. Se existirem vários alertas associados à cronologia, o chip apresenta o número de alertas associados.

A cronologia apresenta os 1000 alertas mais recentes obtidos a partir dos resultados da pesquisa. Quando o limite de 1000 é atingido, não são obtidos mais alertas. Para se certificar de que vê todos os resultados relevantes para a sua pesquisa, refine-a com filtros.

Como investigar um alerta

Para saber como usar o gráfico de alertas e os detalhes dos alertas para investigar um alerta, siga os passos descritos em Investigue um alerta.

Pode ver as linhas das tabelas de dados diretamente na Pesquisa. Quando usa uma tabela de dados na sua pesquisa YARA-L, os resultados podem fazer referência às linhas da tabela de dados associadas aos eventos correspondentes. Estes resultados aparecem no separador Eventos.

Use o Gestor de colunas na Pesquisa para escolher que tabela de dados e colunas apresentar nos resultados.

A pesquisa apresenta o estado atual da tabela de dados e das respetivas linhas quando vê os resultados.

Para mais informações, consulte o artigo Use tabelas de dados.

Use listas de referências em pesquisas

O processo de aplicação de listas de referência em regras também pode ser usado na pesquisa. Podem ser incluídas até sete listas numa única consulta de pesquisa. Todos os tipos de listas de referência (string, expressão regular, CIDR) são suportados.

Pode criar listas de qualquer variável que queira acompanhar.

Por exemplo, pode criar uma lista de endereços IP suspeitos: 

// Field value exists in reference list
principal.ip IN %suspicious_ips

Pode usar várias listas com AND ou OR:

// multiple lists can be used with AND or OR
principal.ip IN %suspicious_ips AND
principal.hostname IN %suspicious_hostnames

Refinar os resultados da pesquisa

Use as funcionalidades da página Pesquisa para filtrar e refinar os resultados, como alternativa à modificação e à nova execução da pesquisa. Por exemplo:

Gráfico de linhas cronológicas

O gráfico Linhas cronológicas oferece uma representação gráfica do número de eventos e alertas que ocorrem todos os dias e que são apresentados pela pesquisa atual. Os eventos e os alertas são apresentados no mesmo gráfico de linha cronológica, que está disponível nos separadores Eventos e Alertas.

A largura de cada barra depende do intervalo de tempo pesquisado. Por exemplo, cada barra representa 10 minutos quando a pesquisa abrange 24 horas de dados. Este gráfico é atualizado dinamicamente à medida que modifica a pesquisa existente.

Ajuste do intervalo de tempo

Pode ajustar o intervalo de tempo do gráfico movendo os controlos de deslize brancos para a esquerda e direita para ajustar o intervalo de tempo e focar-se no período de interesse. À medida que ajusta o intervalo de tempo, as tabelas Campos e valores de UDM e Eventos são atualizadas para refletir a seleção atual. Também pode clicar numa única barra no gráfico para listar apenas os eventos nesse período.

Depois de ajustar o intervalo de tempo, as caixas de verificação Eventos filtrados e Consultar eventos são apresentadas, o que lhe permite limitar ainda mais os tipos de eventos apresentados.

Gráfico de linhas cronológicas de eventos com controlos de intervalo de tempo

Figura 4. Gráfico de linhas cronológicas de eventos com controlos de intervalo de tempo.

Janela de agregações

A janela Agregações apresenta Campos agrupados e Campos UDM gerados pela sua pesquisa UDM. Os campos agrupados são usados para pesquisar em vários campos de UDM de um tipo semelhante.

Um campo agrupado, por exemplo, ip, namespace ou user, é uma variável de marcador de posição que agrupa os valores de campos de DUA semelhantes. Por exemplo, o namespace campo agrupado agrupa todos os valores dos seguintes campos UDM: principal.namespace, src.namespace e target.namespace.

É apresentada uma contagem de eventos para cada campo agrupado e campo de UDM. A Contagem de eventos é o número de registos de eventos com o mesmo valor para esse campo.

Os campos agrupados e os campos de UDM são ordenados do mais alto para o mais baixo número de eventos e, por ordem alfabética, dentro do mesmo número de eventos.

Para fixar um campo na parte superior da lista Agregações, clique no ícone Manter Manter do campo.

Agregações

Figura 5. As agregações ajudam a identificar valores de alta frequência.

Ao usar agregações, pode restringir ainda mais a sua pesquisa de UDM. Pode deslocar a página pela lista de campos de DUM ou pesquisar campos ou valores de DUM específicos através do campo Pesquisar.

Campos de agregação de filtros

Use as opções de filtro para restringir a lista de campos de UDM apresentados na lista de agregações, da seguinte forma:

Apenas espetáculo

Figura 6. Exemplo de eventos que incluem o valor do campo de UDM selecionado.

  1. Selecione um campo de dados do utilizador na lista Agregações para apresentar uma lista de Valores para esse campo.

  2. Selecione um Valor dessa lista e clique no ícone do menu more_vert Mais.

  3. Selecione uma das opções de filtro:

    • Mostrar apenas: mostra apenas eventos que incluem o valor do campo de UDM selecionado.
    • Filtrar: filtre eventos que incluem o valor do campo de UDM selecionado.
    • Copiar: copie o valor do campo UDM para a área de transferência.

Pode adicionar estes filtros de UDM adicionais ao campo Filtrar eventos.

Campo de eventos de filtro

O campo Filtrar eventos apresenta os filtros que criou e permite aplicá-los ao campo Pesquisar ou removê-los conforme necessário.

Quando clica em Aplicar à pesquisa e executar, os eventos apresentados são filtrados com base nos filtros adicionais apresentados, e o campo Pesquisa é atualizado. A pesquisa é executada automaticamente novamente com os mesmos parâmetros de data e hora.

Filtre eventos

Figura 7. Campo Filtrar eventos.

Se clicar em Adicionar filtro, é apresentada uma janela que lhe permite selecionar campos UDM adicionais.

Janela de eventos de filtro

Figura 8. Janela Filtrar eventos.

Veja os alertas na tabela de alertas

Pode ver os alertas clicando no separador Alertas.

Use Agregações para ordenar os alertas por:

  • Caixa
  • Nome
  • Prioridade
  • Gravidade
  • Estado
  • Verdict

Isto ajuda a concentrar-se nos alertas mais importantes para si.

Os alertas são apresentados no mesmo período que os eventos no separador Eventos. Isto ajuda a ver a ligação entre eventos e alertas.

Se quiser saber mais sobre um alerta específico, clique no alerta. É aberta uma página de detalhes do alerta individual com informações detalhadas sobre esse alerta.

Veja eventos na tabela Eventos

Todos os filtros e controlos afetam a lista de eventos apresentada na tabela Eventos. Clique em qualquer evento para abrir o Event Viewer, onde pode ver o registo não processado e o registo UDM correspondente. Quando clica no ícone do evento timestamp, pode navegar para a vista do recurso, do endereço IP, do domínio, do hash ou do utilizador associado. Também pode usar o campo Pesquisar para encontrar um evento específico.

Faça a gestão do conjunto de colunas na tabela Eventos

Esta secção descreve como gerir o conjunto de colunas na tabela Eventos.

Para configurar as colunas apresentadas na tabela Eventos, faça o seguinte:

  1. Na parte superior da tabela Eventos, clique em Colunas para abrir o Gestor de colunas.

  2. Configure o seguinte:

    • Clique no filtro para especificar se devem ser apresentadas colunas não aplicáveis.
    • Clique no botão Mostrar selecionados para apresentar apenas as colunas selecionadas no separador Colunas de eventos.
    • No separador Colunas de eventos, selecione campos nas seguintes secções redutíveis:
      • Campos rápidos: use os campos rápidos para adicionar rapidamente o campo do UDM mais relevante para esse tipo de dados. Selecione um tipo de dados (por exemplo, Nome do anfitrião) e o campo UDM mais prevalente para esse tipo de dados é adicionado como uma coluna (por exemplo, udm.principal.hostname).
      • Campos agrupados: procure campos UDM relacionados. Use campos agrupados para encontrar campos agrupados por categoria.
      • Todos os campos de eventos: veja e selecione a partir da lista completa de campos de eventos.
      • Todos os campos de entidades: veja e selecione na lista completa de campos de entidades.

  3. Opcional: clique em Guardar para guardar o conjunto de colunas. Especifique um nome para o conjunto. Introduza um nome para o conjunto de colunas e, de seguida, clique novamente em Guardar.

Carregue um conjunto de colunas guardado

Para carregar um conjunto de colunas guardado, faça o seguinte:

  1. Na parte superior da tabela Eventos, clique em Colunas para abrir o Gestor de colunas.
  2. Selecione o separador Conjuntos de colunas.
  3. Selecione o conjunto de colunas a carregar e clique em Aplicar.

Elimine um conjunto de colunas guardado

Para eliminar um conjunto de colunas guardado, faça o seguinte:

  1. Na parte superior da tabela Eventos, clique em Colunas para abrir o Gestor de colunas.
  2. Selecione o separador Conjuntos de colunas.
  3. Selecione o conjunto de colunas, clique em Mais > Eliminar.

Transfira os eventos apresentados e os registos não processados

Pode transferir os eventos apresentados, incluindo registos não processados, como um ficheiro CSV para correlacionar eventos UDM normalizados com os respetivos registos de origem.

  • Para transferir todos os resultados da pesquisa (até 1 milhão de eventos), clique em Mais e selecione Transferir como CSV.

A consola apresenta o número exato de eventos incluídos.

Veja eventos no Visualizador de eventos

Para abrir o Event Viewer, mantenha o ponteiro sobre um evento na tabela Eventos e clique no ícone switch_access_2 .

O Visualizador de eventos inclui estes separadores:

Separador Campos de eventos

Por predefinição, o separador Campos de eventos apresenta campos de eventos do UDM numa estrutura de árvore hierárquica, que está etiquetada como Selecionado.

Use o separador Campos de eventos para fazer o seguinte:

  • Ver a definição de um campo. Mantenha o ponteiro sobre o nome do campo para ver a respetiva definição.
  • Fixe um campo para acesso rápido. Na lista Selecionado, selecione um campo e clique em manter fixar. . O campo é apresentado na lista Fixado. Os campos permanecem na lista Selecionados e a respetiva hierarquia na Lista fixada é apresentada na notação delimitada por pontos com o prefixo udm (por exemplo, udm.metadata.event_type).
  • Adicionar a colunas ou copiar vários campos. Selecione a caixa de verificação junto a um nó ou um campo e, em seguida, escolha Adicionar a colunas ou Copiar.

  • Realize as seguintes ações:

    • Filtros: aplique os seguintes filtros à lista Selecionado:

    • Mostrar campos não enriquecidos

    • Mostrar campos enriquecidos

    • Mostrar campos adicionais

    • Mostrar campos extraídos

    • Adicionar às colunas: adicione o campo UDM como uma coluna.

    • Copiar: para copiar os campos e os valores de UDM selecionados para a área de transferência do sistema.

Cada campo do UDM é etiquetado com um ícone que indica se o campo contém dados enriquecidos ou não enriquecidos. As etiquetas dos ícones são as seguintes:

  • U: os campos não enriquecidos contêm valores preenchidos durante o processo de normalização com dados do registo não processado original.

  • E: os campos enriquecidos contêm valores que o Google SecOps preenche para fornecer contexto adicional sobre artefactos num ambiente do cliente. Para mais informações, consulte o artigo Enriqueça os dados de eventos e entidades com o Google SecOps.

    A apresentação de cada campo enriquecido pode mostrar todas as fontes associadas. Estas informações são úteis para a validação e a resolução de problemas, e podem ser necessárias para fins de auditoria e conformidade. Também pode filtrar os campos de acordo com a respetiva origem de enriquecimento.

Campos UDM enriquecidos e não enriquecidos

Figura 9. Campos UDM enriquecidos e não enriquecidos no separador Campos de eventos do Visualizador de eventos, que mostram as origens dos campos enriquecidos.

Filtre campos da UDM no visualizador de eventos

Figura 10. Use o filtro no separador Campos de eventos para mostrar ou ocultar campos de acordo com vários atributos.

Separador Registo não processado

O separador Registo não processado apresenta o registo não processado original em qualquer um dos seguintes formatos:

  • Não processados
  • JSON
  • XML
  • CSV
  • Hexadecimal/ASCII

Separador Alertas

O separador Alertas apresenta os alertas associados ao evento.

Separador Entidades

O separador Entidades apresenta as entidades associadas ao evento.

Clique numa entidade para apresentar a caixa de diálogo Contexto da entidade, que pode incluir os seguintes itens:

  • Nome do recurso
  • Visto pela primeira vez
  • Última vez que foi visto
  • Endereços IP
  • Endereços MAC
  • Número de alertas
  • Contagem de alertas mais elevada por regra
  • Gráfico de barras de alertas ao longo do tempo
  • Link Abrir alertas e IOCs
  • Link Ver no separador Alertas

Use a tabela dinâmica para analisar eventos

A tabela dinâmica permite-lhe analisar eventos através de expressões e funções em comparação com os resultados da pesquisa.

Conclua os passos seguintes para abrir e configurar a tabela dinâmica:

  1. Executar uma pesquisa.

  2. Clique no separador Dinâmica para abrir a Tabela Dinâmica.

  3. Especifique um valor de Agrupar por para agrupar os eventos por um campo UDM específico. Pode apresentar os resultados com as letras maiúsculas predefinidas ou apenas com letras minúsculas selecionando minúsculas no menu. Esta opção só está disponível para campos de string. Pode especificar até cinco valores de Agrupar por clicando em Adicionar campo.

    Se o valor de Agrupar por for um dos campos de nome do anfitrião, tem as seguintes opções de transformação adicionais:

    • Domínio de nível N superior: escolha o nível do domínio a apresentar. Por exemplo, usar um valor de 1 apresenta apenas o domínio de nível superior (como com, gov ou edu). Usar um valor de 3 apresenta os dois níveis seguintes dos nomes de domínio (como google.co.uk).
    • Get Registered Domain: apresenta apenas o nome do domínio registado (como google.com, nytimes.com, youtube.com).

    Se o valor de Agrupar por for um dos campos de IP, tem as seguintes opções de transformação adicionais:

    • Comprimento do prefixo CIDR(IP) em bits: pode especificar de 1 a 32 para endereços IPv4. Para endereços IPv6, pode especificar valores até 128.

    Se o valor de Agrupar por incluir uma data/hora, tem as seguintes opções de transformação adicionais:

    • Resolução(tempo) em milissegundos
    • Resolução(tempo) em segundos
    • Resolução(tempo) em minutos
    • (Tempo) Resolução em horas
    • (Tempo) Resolução em dias

  4. Especifique um valor para a tabela dinâmica a partir da lista de campos nos resultados. Pode especificar até cinco valores. Depois de especificar um campo, tem de selecionar uma opção de Resumir. Pode resumir através das seguintes opções:

    • soma
    • count
    • count distinct
    • média
    • stddev
    • min
    • max

  5. Especifique um valor de Contagem de eventos para devolver o número de eventos identificados para esta pesquisa e tabela dinâmica específicas.

    As opções Resumir não são universalmente compatíveis com os campos Agrupar por. Por exemplo, as opções sum, average, stddev, min e max só podem ser aplicadas a campos numéricos. Se tentar associar uma opção Resumir incompatível a um campo Agrupar por, recebe uma mensagem de erro.

  6. Especifique um ou mais campos de UDM e selecione uma ou mais ordenações através da opção Ordenar por.

  7. Clique em Aplicar quando terminar. Os resultados são apresentados na tabela dinâmica.

  8. Opcional: para transferir a tabela dinâmica, clique em Mais e selecione Transferir como CSV. Se não selecionou um ponto de referência, esta opção está desativada.

Vista geral do histórico de pesquisas e das pesquisas guardadas

Se clicar em Gestor de pesquisas, pode aceder às pesquisas guardadas e ver o seu histórico de pesquisas. Selecione uma pesquisa guardada para ver informações adicionais, incluindo o título e a descrição.

As pesquisas guardadas e o histórico de pesquisas:

  • Armazenados com a sua conta do Google SecOps.

  • Só são visíveis e acessíveis pelo utilizador individual, a menos que use a funcionalidade Partilhar uma pesquisa para partilhar a sua pesquisa com a sua organização.

Para guardar uma pesquisa, faça o seguinte:

  1. Na página Pesquisar, clique em Mais junto a Executar pesquisa e clique em Guardar pesquisa para usar esta pesquisa mais tarde. Esta ação abre a caixa de diálogo Gestor de pesquisas. Recomendamos que atribua à sua pesquisa guardada um nome significativo e uma descrição em texto simples do que está a pesquisar. Também pode criar uma nova pesquisa na caixa de diálogo Gestor de pesquisas clicando em Adicionar. As ferramentas de edição e conclusão de UDM padrão também estão disponíveis aqui.

  2. Opcional: especifique variáveis de marcadores de posição no formato ${<variable name>} usando o mesmo formato que é usado para variáveis em YARA-L. Se adicionar uma variável a uma pesquisa, também tem de incluir um comando para ajudar o utilizador a compreender as informações necessárias para introduzir antes de executar a pesquisa. Todas as variáveis têm de ser preenchidas com valores antes de ser executada uma pesquisa.

    Por exemplo, pode adicionar metadata.vendor_name = ${vendor_name} à sua pesquisa. Para ${vendor_name}, tem de adicionar um comando para utilizadores futuros, como Enter the name of the vendor for your search. Sempre que um utilizador carregar esta pesquisa no futuro, é-lhe pedido que introduza o nome do fornecedor antes de executar a pesquisa.

  3. Clique em Guardar edições quando terminar.

  4. Para ver as pesquisas guardadas, clique em Gestor de pesquisas e, de seguida, no separador Guardadas.

Para obter e executar uma pesquisa guardada, faça o seguinte:

  1. Na caixa de diálogo Gestor de pesquisas, selecione uma pesquisa guardada na lista à esquerda. Estas pesquisas guardadas são guardadas na sua conta do Google SecOps.

  2. Opcional: elimine uma pesquisa clicando em Mais e selecionando Eliminar pesquisa. Só pode eliminar as pesquisas que criou.

  3. Pode alterar o nome da pesquisa e a descrição. Clique em Guardar edições quando terminar.

  4. Clique em Carregar pesquisa. A pesquisa é carregada no campo de pesquisa principal.

  5. Clique em Executar pesquisa para ver os eventos associados a esta pesquisa.

Recupere uma pesquisa do seu histórico de pesquisas

Para obter e executar uma pesquisa a partir do seu histórico de pesquisas, faça o seguinte:

  1. No Gestor de pesquisas, clique em Histórico.

  2. Selecione uma pesquisa no seu histórico de pesquisas. O seu histórico de pesquisas é guardado na sua conta do Google SecOps. Pode eliminar uma pesquisa clicando em Eliminar.

  3. Clique em Carregar pesquisa. A pesquisa é carregada no campo de pesquisa principal.

  4. Clique em Executar pesquisa para ver os eventos associados a esta pesquisa.

Limpe, desative ou ative o histórico de pesquisas

Para limpar, desativar ou ativar o histórico de pesquisas, faça o seguinte:

  1. No Gestor de pesquisas, clique no separador Histórico.

  2. Clique em Mais.

  3. Selecione Limpar histórico para limpar o histórico de pesquisas.

  4. Clique em Desativar histórico para desativar o histórico de pesquisas. Tem a opção de escolher uma das seguintes opções:

    • Apenas desativar: desative o histórico de pesquisas.

    • Desativar e limpar: desative o histórico de pesquisas e elimine o histórico de pesquisas guardado.

  5. Se desativou anteriormente o histórico de pesquisas, pode ativá-lo novamente clicando em Ativar histórico de pesquisas.

  6. Clique em Fechar para sair do Gestor de pesquisas.

Partilhe uma pesquisa

As pesquisas partilhadas permitem-lhe partilhar pesquisas com a sua equipa. No separador Guardado, pode partilhar ou eliminar pesquisas. Também pode filtrar as suas pesquisas clicando em filter_altFiltrar junto à barra de pesquisa e ordenar as pesquisas por Mostrar tudo, Definido pelo Google SecOps, Criado por mim ou Partilhado.

Não pode editar uma pesquisa partilhada que não lhe pertence.

  1. Clique em Guardado.
  2. Clique na pesquisa que quer partilhar.
  3. Clique em Mais no lado direito da pesquisa. É apresentada uma caixa de diálogo com a opção de partilhar a sua pesquisa.
  4. Clique em Partilhar com a sua organização.
  5. É apresentada uma caixa de diálogo com a indicação A partilha da sua pesquisa será visível para as pessoas da sua organização. Tem a certeza de que quer partilhar? Clique em Partilhar.

Se quiser que a pesquisa seja visível apenas para si, clique em Mais e, de seguida, em Parar partilha. Se parar a partilha, só o utilizador pode usar esta pesquisa.

Campos de UDM que podem ou não ser transferidos para CSV a partir da plataforma

Os campos UDM suportados e não suportados para transferência são apresentados nas seguintes subsecções.

Campos suportados

Pode transferir os seguintes campos para um ficheiro CSV a partir da plataforma:

  • utilizador

  • hostname

  • nome do processo

  • tipo de evento

  • timestamp

  • Registo não processado (válido apenas quando os registos não processados estão ativados para o cliente)

  • Todos os campos que começam por udm.additional

Tipos de campos válidos

Pode transferir os seguintes tipos de campos para um ficheiro CSV:

  • dupla

  • flutuante

  • int32

  • uint32

  • int64

  • uint64

  • booleano

  • de string

  • enum

  • bytes

  • google.protobuf.Timestamp

  • google.protobuf.Duration

Campos não suportados

Não é possível transferir para CSV os campos que começam por "udm" (não udm.additional) e cumprem qualquer uma das seguintes condições:

  • A aninhagem do campo tem mais de 10 níveis de profundidade no udm proto.

  • O tipo de dados é Mensagem ou Grupo.

Fatores que limitam os resultados da pesquisa

Ao realizar pesquisas de UDM, os seguintes fatores podem limitar o número de resultados devolvidos:

  • O total de resultados excedeu 1 milhão: a pesquisa limita os resultados a 1 milhão de eventos. Quando os resultados excedem 1 milhão, apenas são apresentados 1 milhão de resultados.

  • Limitar os resultados a menos de 1 milhão na plataforma através das definições de pesquisa: pode configurar o conjunto de resultados da pesquisa predefinido para devolver menos de 1 milhão de resultados, o que melhora a velocidade da consulta. Se estiver definido como <1 milhão, vê menos resultados. Por predefinição, a pesquisa do SecOps limita o número de resultados a 30 mil, mas pode alterar este valor para até 1 milhão através das definições de pesquisa na página Resultados.

  • Os resultados da pesquisa estão limitados a 10 000: mesmo que a sua pesquisa devolva mais de 10 000 resultados, a consola apresenta apenas os primeiros 10 000. Esta limitação da consola não reflete o número total de resultados possíveis.

O que se segue?

Para obter informações sobre como usar dados enriquecidos com contexto na pesquisa, consulte o artigo Use dados enriquecidos com contexto na pesquisa.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.