Esta página foi traduzida pela API Cloud Translation.

Pesquisar

Compatível com:

Google SecOps SIEM

A função de pesquisa permite encontrar eventos e alertas do Unified Data Model (UDM) na sua instância do Google Security Operations usando a sintaxe YARA-L 2.0. A pesquisa inclui várias opções para navegar pelos dados da UDM. É possível pesquisar eventos individuais e grupos de eventos do UDM vinculados a termos de pesquisa compartilhados.

Em sistemas que usam o RBAC de dados, você só pode acessar dados que correspondem aos seus escopos. Para mais informações, consulte Impacto do RBAC de dados na Pesquisa.

Para clientes do Google SecOps, os alertas também podem ser processados a partir de conectores e webhooks. Você também pode usar a pesquisa para encontrar esses alertas.

Para mais informações sobre a UDM, consulte Formatar dados de registro como UDM e Lista de campos de UDM.

Pesquisa de acesso

Você pode acessar a pesquisa do Google SecOps usando as seguintes opções:

Na barra de navegação, clique em Investigação > Pesquisa.
No campo Pesquisar, digite um campo de UDM válido para qualquer campo de pesquisa no Google SecOps e pressione CTRL + Enter.

Figura 1. Exemplo da janela Pesquisa usada para analisar as tendências de eventos.

As seções a seguir detalham como usar os recursos de pesquisa.

Usar o recurso de pesquisa

Uma expressão de pesquisa consiste em um campo do UDM a ser pesquisado, um operador e um valor de dados a ser pesquisado.
Se a expressão de consulta for válida, o console do Google SecOps ativará o botão Run search.
As consultas do UDM são baseadas em campos definidos na lista de campos do modelo de dados unificado. É possível navegar e selecionar esses campos do UDM usando filtros ou a pesquisa de registro bruto.
Para ajustar o número de eventos retornados, clique em Mais e selecione Configurações de pesquisa. Para mais detalhes, consulte Configurações de pesquisa.
Para mudar o período, abra a janela Período.

Para usar o recurso de pesquisa, siga estas etapas:

Acesse a página Pesquisa.
No campo Pesquisar, insira uma expressão de pesquisa.
Para pesquisar eventos, insira um nome de campo do UDM no campo Pesquisar. Conforme você digita, o recurso de preenchimento automático sugere campos UDM válidos com base na sua entrada.
Depois de inserir um campo válido do UDM, selecione um operador válido. A interface do usuário mostra os operadores válidos disponíveis com base no campo da UDM que você inseriu. Os seguintes operadores são aceitos:
- <, >
- <=, >=
- =, !=
- nocase: compatível com strings
Depois de inserir um campo e um operador válidos da UDM, adicione o valor dos dados de registro que você quer pesquisar. Para mais detalhes, consulte Formatar o valor de dados a ser pesquisado.
Clique em Executar pesquisa para fazer a pesquisa.

Os resultados dos eventos são mostrados na tabela Linha do tempo de eventos na página Pesquisa.
Opcional: restrinjam os resultados adicionando outros filtros da UDM manualmente ou usando o console.

Formatar o valor de dados a ser pesquisado

Formate o valor de dados usando as seguintes diretrizes:

Tipo de dados:formate o valor de acordo com o tipo de dados:
- Valores enumerados:use um valor enumerado válido definido para o campo de UDM selecionado.
  
  Por exemplo: um valor de texto, todas as letras maiúsculas entre aspas duplas:
  
  metadata.event_type = "NETWORK_CONNECTION"
- Valores adicionais:use o formato field[key\] = value para pesquisar nos campos additional e labels.
  
  Exemplo:
  
  additional.fields["key"]="value"
- Valores booleanos:use true ou false (não diferencia maiúsculas de minúsculas, não é necessário usar aspas).
  
  Exemplo:
  
  network.dns.response = true
- Números inteiros: use valores numéricos sem aspas.
  
  Exemplo:
  
  target.port = 443
- Valores flutuantes:para campos de UDM do tipo float, insira um valor decimal, como 3.1, ou um número inteiro, como 3.
  
  Exemplo:
  
  security_result.about.asset.vulnerabilities.cvss_base_score = 3.1
- Expressões regulares:coloque a expressão regular entre barras (/).
  
  Exemplo:
  - principal.ip = /10.*/
  - Pesquise a execução de psexec.exe (janela):
    
    target.process.command_line = /\bpsexec(\.exe)?\b/ nocase
  Para saber mais sobre expressões regulares, consulte a página de expressões regulares.
- Strings:coloque os valores de texto entre aspas duplas.
  
  Exemplo:
  
  metadata.product_name = "Google Cloud VPC Flow Logs"
Strings sem distinção entre maiúsculas e minúsculas: use o operador nocase para corresponder a qualquer combinação de caracteres em maiúsculas e minúsculas em uma string.

Exemplo:
- principal.hostname != "http-server" nocase
- principal.hostname = "JDoe" nocase
- principal.hostname = /dns-server-[0-9]+/ nocase
Caracteres de escape em strings: use um caractere de barra invertida para escapar de caracteres especiais, conforme mostrado abaixo:
- Use \\ para escapar de uma barra invertida (\).
- Use \" para fazer o escape de uma aspa dupla (").
Exemplo:
- principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
- target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""
Expressões booleanas: use AND, OR e NOT para combinar condições e restringir resultados.

Os exemplos a seguir mostram os operadores booleanos compatíveis (AND, OR e NOT):
- A AND B
- A OR B
- Use parênteses ( ) para agrupar expressões e controlar a ordem de avaliação:
  
  (A OR B) AND (B OR C) AND (C OR NOT D)
Exemplos:
- Pesquise eventos de login no servidor de finanças:
  
  metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"
- Use o operador (>) para pesquisar conexões em que mais de 10 MB de dados foram enviados:
  
  metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000
- Use várias condições para pesquisar winword.exe iniciando cmd.exe ou powershell.exe:
```
metadata.event_type = "PROCESS_LAUNCH" and
 principal.process.file.full_path = /winword/ and
 (target.process.file.full_path = /cmd.exe/ or
  target.process.file.full_path = /powershell.exe/)
```
Pesquisar pares de chave-valor nos campos additional e labels:

Os campos additional e labels atuam como contêineres personalizáveis para dados de eventos que não são mapeados para campos UDM padrão. Cada entrada armazena um único par de chave-valor.
- Os campos additional podem conter vários pares de chave-valor.
- Os campos labels só podem conter um único par de chave-valor.
Use esta sintaxe para especificar os pares de chave-valor a serem pesquisados nos campos additional e labels:

field[key\] = value

Exemplo:

additional.fields["key"]="value"

Exemplos de pesquisas que usam pares de chave-valor específicos nos campos additional e labels:
- Procure eventos que contenham pares de chave-valor especificados:
  - additional.fields["pod_name"] = "kube-scheduler"
  - metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"
- Use o operador AND com pesquisas de par de chave-valor:
  
  additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"
- Pesquise todos os eventos que contêm a chave especificada, independentemente do valor:
  
  additional.fields["pod_name"] != ""
- Pesquise eventos que contêm uma chave específica usando uma expressão regular:
  
  additional.fields.value.string_value = "mystring"
  
  Observação: também é possível usar value.bool_value ou value.number_value para correspondências booleanas e numéricas.
- Pesquise eventos que usam várias chaves com o mesmo nome usando uma expressão regular:
  
  additional.fields.key = /myKeynumber_*/
- Use expressões regulares e o operador nocase:
  - additional.fields["pod_name"] = /br/
  - additional.fields["pod_name"] = bar nocase

Use comentários de bloco e de linha única.

Use um comentário de bloco:

  additional.fields["pod_name"] = "kube-scheduler"
  /*
  Block comments can span
  multiple lines.
  */
  AND additional.fields["pod_name1"] = "kube-scheduler1"

Use um comentário de linha única:

additional.fields["pod_name"] != "" // my single-line comment

Configurações de pesquisa

É possível definir o número máximo de resultados da pesquisa nas Configurações de pesquisa da UDM. Essas configurações são específicas para cada usuário.

Clique em Configurações de pesquisa em Mais ao lado de Executar pesquisa.
Selecione Número máximo de resultados a serem retornados. As opções são 1K, 10K, 100K, 1M e custom, que podem receber valores entre 1 e 1M. O valor padrão é 1M. As consultas geralmente são executadas mais rapidamente quando você escolhe um tamanho de conjunto de resultados menor.

A pesquisa retorna muitos resultados

Se a pesquisa for muito ampla, o Google SecOps vai mostrar uma mensagem de aviso indicativa de que nem todos os resultados de pesquisa podem ser mostrados.

Nesses casos, o sistema recupera apenas os resultados mais recentes, até o limite de pesquisa de 1 milhão de eventos e 1.000 alertas. No entanto, pode haver muitos outros eventos e alertas correspondentes que não são exibidos.

Para garantir que todos os resultados relevantes sejam capturados, refine sua pesquisa aplicando outros filtros. Reduzir o escopo da pesquisa ajuda a reduzir o conjunto de dados a um tamanho gerenciável e melhora a precisão. Recomendamos ajustar e executar novamente a pesquisa até que os resultados fiquem dentro do limite de exibição do sistema.

A página de resultados da pesquisa mostra os 10.000 resultados mais recentes. É possível filtrar e refinar os resultados da pesquisa para mostrar os resultados mais antigos, como uma alternativa para modificar e executar novamente a pesquisa.

Pesquisar campos agrupados

Os campos agrupados são aliases para grupos de campos de UDM relacionados. Eles podem ser usados para consultar vários campos da UDM ao mesmo tempo sem digitar cada campo individualmente.

O exemplo a seguir mostra como inserir uma consulta para corresponder aos campos comuns do UDM que podem conter o endereço IP especificado:

ip = "1.2.3.4"

É possível corresponder a um campo agrupado usando uma expressão regular e o operador nocase. As listas de referência também são aceitas. Os campos agrupados também podem ser usados em combinação com campos UDM normais, conforme mostrado no exemplo a seguir:

ip = "5.6.7.8" AND metadata.event_type = "NETWORK_CONNECTION"

Os campos agrupados têm uma seção separada em Agregações.

Tipos de campos agrupados do UDM

É possível pesquisar em todos os seguintes campos agrupados da UDM:

Nome do campo agrupado	Campos do UDM associados
domínio	about.administrative_domain about.asset.network_domain network.dns.questions.name network.dns_domain principal.administrative_domain principal.asset.network_domain target.administrative_domain target.asset.hostname target.asset.network_domain target.hostname
e-mail	intermediary.user.email_addresses network.email.from network.email.to principal.user.email_addresses security_result.about.user.email_addresses target.user.email_addresses
file_path	principal.file.full_path principal.process.file.full_path principal.process.parent_process.file.full_path target.file.full_path target.process.file.full_path target.process.parent_process.file.full_path
jogo da velha	about.file.md5 about.file.sha1 about.file.sha256 principal.process.file.md5 principal.process.file.sha1 principal.process.file.sha256 security_result.about.file.sha256 target.file.md5 target.file.sha1 target.file.sha256 target.process.file.md5 target.process.file.sha1 target.process.file.sha256
nome do host	intermediary.hostname observer.hostname principal.asset.hostname principal.hostname src.asset.hostname src.hostname target.asset.hostname target.hostname
ip	intermediary.ip observer.ip principal.artifact.ip principal.asset.ip principal.ip src.artifact.ip src.asset.ip src.ip target.artifact.ip target.asset.ip target.ip
namespace	principal.namespace src.namespace target.namespace
process_id	principal.process.parent_process.pid principal.process.parent_process.product_specific_process_id principal.process.pid principal.process.product_specific_process_id target.process.parent_process.pid target.process.parent_process.product_specific_process_id target.process.pid target.process.product_specific_process_id
usuário	about.user.userid observer.user.userid principal.user.user_display_name principal.user.userid principal.user.windows_sid src.user.userid target.user.user_display_name target.user.userid target.user.windows_sid

Encontrar um campo do UDM para a consulta de pesquisa

Ao escrever uma consulta de pesquisa, talvez você não saiba qual campo de UDM incluir. A consulta de UDM permite encontrar rapidamente um nome de campo de UDM que contenha uma string de texto no nome ou que armazene um valor de string específico. A função UDM Lookup não é destinada a pesquisar outros tipos de dados, como bytes, booleanos ou numéricos. Você seleciona um ou mais resultados retornados pela pesquisa do UDM e os usa como ponto de partida para uma consulta de pesquisa.

Para usar a busca de UDM, faça o seguinte:

Na página Pesquisar, clique em Consultar UDM.
Na caixa de diálogo UDM Lookup, selecione uma ou mais das seguintes opções de correspondência para especificar o escopo dos dados a serem pesquisados:
- Campos do UDM: pesquise texto nos nomes dos campos do UDM.
  
  Por exemplo, network.dns.questions.name ou principal.ip.
- Valores: pesquise texto nos valores atribuídos aos campos do UDM.
  
  Por exemplo, dns ou google.com.
Observação: a correspondência de valor de texto é usada para pesquisar strings de nome e valores de campo de campos de UDM.
Insira ou modifique a string no campo Pesquisar campos/valores de UDM. Conforme você digita, os resultados da pesquisa aparecem na caixa de diálogo.

Os resultados são um pouco diferentes quando você pesquisa em Campos do UDM em vez de Valores:
- A pesquisa de uma string de texto nos nomes de campos de UDM retorna uma correspondência exata encontrada em qualquer local do nome.
  
  Figura 3. Pesquise nomes de campos do UDM na pesquisa do UDM.
- A pesquisa de texto em Valores retorna resultados da seguinte maneira:
  - Se a string for encontrada no início ou no final do valor, ela será destacada no resultado, junto com o nome do campo do UDM e o tempo de ingestão do registro.
  - Se a string de texto for encontrada em outro lugar no valor, o resultado vai mostrar o nome do campo da UDM e o texto Possível correspondência de valor.
  Figura 2. Pesquise em Valores na Consulta de UDM.
Na lista de resultados, é possível fazer o seguinte:
- Clique no nome de um campo do UDM para conferir a descrição dele.
- Selecione um ou mais resultados clicando na caixa de seleção à esquerda de cada nome de campo do UDM.
- Clique no botão Redefinir para desmarcar todos os campos selecionados na lista de resultados.
Para anexar os resultados selecionados ao campo Pesquisa na página Pesquisa, siga um destes procedimentos:
- Clique em Anexar à pesquisa.
- Clique em Copiar UDM para copiar os resultados selecionados para a área de transferência. Em seguida, feche a caixa de diálogo UDM Lookup e cole a string de consulta no campo Search na página Search.
O Google SecOps converte os resultados selecionados em uma string de consulta de pesquisa como o nome do campo UDM ou um par de nome-valor. Se você anexar vários resultados, cada um deles será adicionado ao final da consulta atual no campo Pesquisa usando o operador OR.

A string de consulta anexada é diferente dependendo do tipo de correspondência retornado pela busca de UDM.
- Se o resultado corresponder a uma string de texto em um nome de campo UDM, o nome completo do campo UDM será anexado à consulta. Exemplo:
  
  principal.artifact.network.dhcp.client_hostname
- Se o resultado corresponder a uma string de texto no início ou no final de um valor, o par de nome-valor vai conter o nome do campo do UDM e o valor completo no resultado. Confira alguns exemplos:
  - metadata.log_type = "PCAP_DNS"
  - network.dns.answers.name = "dns-A901F3j.hat.example.com"
- Se o resultado incluir o texto Possível correspondência de valor, o par de nome-valor conterá o nome do campo UDM e uma expressão regular contendo o termo de pesquisa. Exemplo:
  
  principal.process.file.full_path = /google/ NOCASE
A string de consulta gerada pela Pesquisa do UDM serve como ponto de partida para uma consulta de pesquisa. Edite a Consulta de pesquisa na página Pesquisa para se adequar ao seu caso de uso.

Resumo do comportamento da pesquisa do UDM

Esta seção fornece mais detalhes sobre os recursos de pesquisa de UDM.

A pesquisa do UDM procura dados ingeridos após 10 de agosto de 2023. Os dados ingeridos antes disso não são pesquisados. Ele retorna resultados encontrados em campos de UDM não enriquecidos. Ele não retorna correspondências para campos enriquecidos. Para saber mais sobre os campos enriquecidos e não enriquecidos, consulte Conferir eventos no visualizador de eventos.
As pesquisas que usam a pesquisa do UDM não diferenciam maiúsculas de minúsculas. O termo hostname retorna o mesmo resultado que HostName.
Hifens (-) e sublinhados (_) em uma string de texto de consulta são ignorados ao procurar Valores. A string de texto dns-l e dnsl retornam o valor dns-l.

Ao pesquisar Valores, a pesquisa do UDM não retorna correspondências nos seguintes casos:

Corresponde aos seguintes campos da UDM:	`metadata.product_log_id` `network.session_id` `security_result.rule_id` `network.parent_session_id`
Corresponde a campos do UDM com um caminho completo que termina em um dos seguintes valores:	`.pid` Por exemplo, `target.process.pid`. `.asset_id` Por exemplo, `principal.asset_id`. `.product_specific_process_id` Por exemplo, `principal.process.product_specific_process_id`. `.resource.id` Por exemplo, `principal.resource.id`.

Ao pesquisar Valores, a pesquisa de UDM mostra Possível correspondência de valor quando uma correspondência é encontrada nos seguintes casos:

Corresponde aos seguintes campos da UDM:	`metadata.description` `security_result.description` `security_result.detection_fields.value` `security_result.summary` `network.http.user_agent`
Corresponde a campos com um caminho completo que termina em um dos seguintes valores:	`.command_line` Por exemplo, `principal.process.command_line`. `.file.full_path` Por exemplo, `principal.process.file.full_path`. `.labels.value` Por exemplo, `src.labels.value`. `.registry.registry_key` Por exemplo, `principal.registry.registry_key`. `.url` Por exemplo, `principal.url`.
Corresponde a campos com um caminho completo que começa com os seguintes valores:	`additional.fields.value.` Por exemplo, `additional.fields.value.null_value`.

Acessar alertas na pesquisa

Para conferir os alertas, clique na guia Alertas, localizada ao lado da guia Eventos, no canto superior direito da página Pesquisa.

Como os alertas são exibidos

O Google SecOps avalia os eventos retornados na pesquisa em relação aos eventos de alertas no ambiente do cliente. Quando um evento de consulta de pesquisa corresponde a um evento presente em um alerta, ele é exibido na linha do tempo do alerta e na tabela Alert resultante.

Definição de eventos e alertas

Um evento é gerado a partir de uma origem de registro bruto que é transferida para o Google SecOps e processada pelo processo de transferência e normalização dele. Vários eventos podem ser gerados a partir de um único registro de origem de registro bruto. Um evento representa um conjunto de pontos de dados relevantes para a segurança gerados a partir desse registro bruto.

Na pesquisa, um alerta é definido como uma detecção de regra YARA-L com alerta ativado. Consulte Como executar uma regra com base em dados em tempo real para saber mais.

Outras fontes de dados podem ser processadas no Google SecOps como alertas, como o Crowdstrike Falcon Alerts. Esses alertas não aparecem na pesquisa, a menos que sejam processados pelo motor de detecção do Google SecOps como uma regra YARA-L.

Os eventos associados a um ou mais alertas são marcados com um ícone de alerta na linha do tempo de eventos. Se houver vários alertas associados à linha do tempo, o ícone vai mostrar o número de alertas associados.

A linha do tempo mostra os mil alertas mais recentes recuperados dos resultados da pesquisa. Quando o limite de 1.000 alertas for atingido, nenhum outro alerta será recuperado. Para garantir que você veja todos os resultados relevantes, refine sua pesquisa com filtros.

Como investigar um alerta

Para saber como usar o Gráfico de alertas e os Detalhes do alerta para investigar um alerta, siga as etapas descritas em Investigar um alerta.

Usar listas de referência nas pesquisas

O processo de aplicação de listas de referência em regras também pode ser usado na pesquisa. Até sete listas podem ser incluídas em uma única consulta de pesquisa. Todos os tipos de listas de referência (string, expressão regular, CIDR) são compatíveis.

Você pode criar listas de qualquer variável que queira acompanhar.

Por exemplo, você pode criar uma lista de endereços IP suspeitos:

// Field value exists in reference list
principal.ip IN %suspicious_ips

É possível usar várias listas com AND ou OR:

// multiple lists can be used with AND or OR
principal.ip IN %suspicious_ips AND
principal.hostname IN %suspicious_hostnames

Refinar os resultados da pesquisa

Use os recursos da página Pesquisar para filtrar e refinar os resultados, como alternativa para modificar e executar novamente a pesquisa. Exemplo:

Gráfico de linhas do tempo
Janela de agregações

Gráfico de linhas do tempo

O gráfico de linhas do tempo mostra uma representação gráfica do número de eventos e alertas que ocorrem a cada dia e que estão sendo mostrados pela pesquisa atual. Os eventos e alertas aparecem no mesmo gráfico de linha do tempo, que está disponível nas guias Eventos e Alertas.

A largura de cada barra depende do intervalo de tempo pesquisado. Por exemplo, cada barra representa 10 minutos quando a pesquisa abrange 24 horas de dados. Esse gráfico é atualizado dinamicamente conforme você modifica a pesquisa atual.

Ajuste do período

Para ajustar o período do gráfico, mova os controles deslizantes brancos para a esquerda e para a direita e se concentre no período de interesse. Conforme você ajusta o período, as tabelas Campos e valores da UDM e Eventos são atualizadas para refletir a seleção atual. Também é possível clicar em uma única barra no gráfico para listar apenas os eventos nesse período.

Depois de ajustar o período, as caixas de seleção Eventos filtrados e Eventos de consulta vão aparecer, permitindo que você limite ainda mais os tipos de eventos exibidos.

Gráfico de cronogramas de eventos com controles de período

Figura 4. Gráfico de cronograma de eventos com controles de período.

Janela de agregações

A janela Agregações mostra os campos agrupados e os campos de UDM gerados pela sua pesquisa de UDM. Os campos agrupados são usados para pesquisar em vários campos de UDM de um tipo semelhante.

Um campo agrupado, por exemplo, ip, namespace ou user, é uma variável de marcador de posição que agrupa os valores de campos de UDM semelhantes. Por exemplo, o campo agrupado namespace agrupa todos os valores dos seguintes campos de UDM: principal.namespace, src.namespace e target.namespace.

A Contagem de eventos é exibida para cada campo agrupado e campo da UDM. A Contagem de eventos é o número de registros de eventos com o mesmo valor para esse campo.

Os campos agrupados e os campos do UDM são classificados da maior para a menor contagem de eventos e em ordem alfabética dentro da mesma contagem de eventos.

Para fixar um campo na parte de cima da lista Agregações, clique no ícone manter manter do campo.

Agregações

Figura 5. As agregações ajudam a identificar valores de alta frequência.

Com as agregações, você pode restringir ainda mais sua pesquisa de UDM. Você pode rolar pela lista de campos de UDM ou pesquisar campos ou valores específicos de UDM usando o campo Pesquisar.

Filtrar campos de agregação

Use as opções de filtro para restringir a lista de campos do UDM exibidos na lista Agregações, conforme mostrado a seguir:

Mostrar somente

Figura 6. Exemplo de eventos que incluem o valor do campo UDM selecionado.

Selecione um campo de UDM na lista Agregações para mostrar uma lista de Valores desse campo.
Selecione um Valor na lista e clique no ícone de menu more_vert Mais.
Selecione uma das opções de filtro:
- Mostrar apenas: mostra apenas os eventos que incluem o valor do campo UDM selecionado.
- Filtrar: filtra os eventos que incluem o valor do campo do UDM selecionado.
- Copiar: copie o valor do campo UDM para a área de transferência.

É possível adicionar esses filtros UDM ao campo Filtrar eventos.

Campo "Filtrar eventos"

O campo Filtrar eventos mostra os filtros que você criou e permite aplicá-los ao campo Pesquisar ou removê-los conforme necessário.

Quando você clica em Aplicar à pesquisa e executar, os eventos exibidos são filtrados com base nos filtros adicionais mostrados, e o campo Pesquisar é atualizado. A pesquisa é executada automaticamente usando os mesmos parâmetros de data e hora.

Filtrar eventos

Figura 7. Campo Filtrar eventos.

Se você clicar em Adicionar filtro, uma janela será aberta para selecionar outros campos de UDM.

Janela "Filtrar eventos"

Figura 8. Janela Filtrar eventos.

Conferir eventos na tabela "Eventos"

Todos os filtros e controles afetam a lista de eventos mostrada na tabela Events. Clique em qualquer evento para abrir o Visualizador de registros, onde você pode conferir o registro bruto e o registro do UDM correspondente. Ao clicar no timestamp do evento, você pode navegar até o Recurso, o endereço IP, o Domínio, o Hash ou a Visualização do usuário associada. Você também pode usar o campo Pesquisar para encontrar um evento específico.

Conferir alertas na tabela "Alerts"

Para conferir os alertas, clique na guia Alertas. Use as Agregações para classificar os alertas por:

Caso
Nome
Prioridade
Gravidade
Status
Veredito

Isso ajuda você a se concentrar nos alertas mais importantes.

Os alertas aparecem no mesmo período em que os eventos estão na guia Eventos. Isso ajuda a entender a conexão entre eventos e alertas.

Para saber mais sobre um alerta específico, clique nele. Uma página de Detalhes do alerta individual é aberta com informações detalhadas sobre esse alerta.

Conferir eventos no Visualizador de eventos

Para abrir o Visualizador de eventos, mantenha o ponteiro sobre um evento na tabela Eventos e clique em switch_access_2 Open event viewer.

O Visualizador de eventos tem as seguintes guias: Campos do UDM, Registro bruto, Alertas e Entidades:

Guia Campos do UDM:

A guia Campos do UDM mostra a lista estruturada de Campos do UDM no registro do UDM.
- Mantenha o cursor sobre qualquer campo de UDM para conferir a definição.
- Marque a caixa de seleção de um campo para realizar ações em vários campos.
- Use as seguintes ações:
  - Filtros: aplique os filtros a seguir à lista de campos do UDM:
    - Mostrar campos não enriquecidos
    - Mostrar campos enriquecidos
    - Mostrar outros campos
    - Mostrar campos extraídos
  - Adicionar às colunas: adicione o campo UDM como uma coluna.
  - Copiar: para copiar os campos e valores do UDM selecionados para a área de transferência do sistema.
Cada campo do UDM é marcado com um ícone que indica se o campo contém dados enriquecidos ou não. Os rótulos dos ícones são os seguintes:
- U: os campos não enriquecidos contêm valores preenchidos durante o processo de normalização usando dados do registro bruto original.
- E: os campos enriquecidos contêm valores que o Google SecOps preenche para fornecer mais contexto sobre artefatos em um ambiente do cliente. Para mais informações, consulte Como o Google SecOps enriquece dados de eventos e entidades.
  
  Figura 9. Campos de UDM no Visualizador de eventos.
Guia Registro bruto

A guia Registro bruto mostra o registro bruto original em qualquer um dos seguintes formatos:
- Dados brutos
- JSON
- XML
- CSV
- Hex/ASCII

Usar a opção "Colunas" para pesquisar

Use a opção Colunas para personalizar as colunas exibidas na tabela Eventos. O menu Colunas é exibido, oferecendo opções diferentes com base nos tipos de eventos retornados pela pesquisa.

Salvar o conjunto de colunas

Você pode salvar o conjunto de colunas selecionado aqui clicando em Salvar. Dê um nome ao conjunto de colunas selecionadas e clique em Salvar novamente. Para carregar um conjunto de colunas salvas, clique em Carregar e selecione o conjunto de colunas salvas na lista.

Para fazer o download dos eventos exibidos, clique em Mais e selecione Fazer o download como CSV. Isso vai fazer o download de todos os resultados da pesquisa, até 1 milhão de eventos. O console indica quantos eventos serão transferidos por download.

Figura 10. Pesquisar colunas.

Usar a tabela dinâmica para analisar eventos

Com a tabela dinâmica, você pode analisar eventos usando expressões e funções em relação aos resultados da pesquisa.

Siga estas etapas para abrir e configurar a tabela dinâmica:

Faça uma pesquisa.
Clique na guia Dinâmica para abrir a tabela dinâmica.
Especifique um valor de Agrupar por para agrupar os eventos por um campo específico do UDM. Você pode mostrar os resultados usando a maiúscula padrão ou usando apenas letras minúsculas selecionando letras minúsculas no menu. Essa opção está disponível apenas para campos de string. É possível especificar até cinco valores de Agrupar por clicando em Adicionar campo.

Se o valor Group by for um dos campos de nome de host, você terá outras opções de transformação:
- Domínio de nível N mais alto: escolha qual nível do domínio será exibido. Por exemplo, usar um valor de 1 mostra apenas o domínio de nível superior (como com, gov ou edu). Usar um valor de 3 mostra os próximos dois níveis dos nomes de domínio (como google.co.uk).
- Receber domínio registrado: mostra apenas o nome de domínio registrado (como google.com, nytimes.com e youtube.com).
Se o valor Agrupar por for um dos campos de IP, você terá outras opções de transformação:
- (IP) Tamanho do prefixo CIDR em bits: é possível especificar de 1 a 32 para endereços IPv4. Para endereços IPv6, é possível especificar valores de até 128.
Se o valor Agrupar por incluir um carimbo de data/hora, você terá outras opções de transformação:
- (Time) Resolution in milliseconds
- (Tempo) Resolução em segundos
- (Time) Resolução em minutos
- (Time) Resolução em horas
- (Tempo) Resolução em dias
Especifique um valor para o pivot na lista de campos nos resultados. É possível especificar até cinco valores. Depois de especificar um campo, selecione uma opção Resumo. Você pode resumir usando as seguintes opções:
- ponderada
- count
- count distinct
- média
- stddev
- min
- max
Especifique um valor de Contagem de eventos para retornar o número de eventos identificados para essa pesquisa e tabela dinâmica específica.

As opções Resumo não são universalmente compatíveis com os campos Agrupar por. Por exemplo, as opções soma, média, desvio padrão, mínimo e máximo só podem ser aplicadas a campos numéricos. Se você tentar associar uma opção Resumo incompatível com um campo Agrupar por, vai receber uma mensagem de erro.
Especifique um ou mais campos do UDM e selecione uma ou mais ordenações usando a opção Ordenar por.
Clique em Aplicar quando estiver tudo pronto. Os resultados são mostrados na tabela dinâmica.
Opcional: para fazer o download da tabela dinâmica, clique em Mais e selecione Fazer o download como CSV. Se você não selecionou um eixo, essa opção fica desativada.

Visão geral das pesquisas salvas e do histórico de pesquisa

Clique em Gerenciador de pesquisa para recuperar pesquisas salvas e conferir seu histórico de pesquisa. Selecione uma pesquisa salva para conferir mais informações, incluindo o título e a descrição.

As pesquisas salvas e o histórico de pesquisa são:

Armazenados na sua conta do Google SecOps.
Somente visualizável e acessível pelo usuário individual, a menos que você use o recurso Compartilhar uma pesquisa para compartilhar sua pesquisa com a organização.

Salvar uma pesquisa

Para salvar uma pesquisa, faça o seguinte:

Na página Pesquisa, clique em Mais ao lado de Executar pesquisa e em Salvar pesquisa para usar essa pesquisa mais tarde. Isso abre a caixa de diálogo Gerenciador de pesquisa. Recomendamos que você dê um nome significativo à pesquisa salva e uma descrição em texto simples do que está procurando. Também é possível criar uma nova pesquisa na caixa de diálogo Gerenciador de pesquisa clicando em Adicionar. As ferramentas padrão de edição e conclusão do UDM também estão disponíveis aqui.
Opcional: especifique variáveis de marcador de posição no formato ${<variable name>} usando o mesmo formato usado para variáveis no YARA-L. Se você adicionar uma variável a uma pesquisa, também precisará incluir uma solicitação para ajudar o usuário a entender as informações necessárias para inserir antes de executar a pesquisa. Todas as variáveis precisam ser preenchidas com valores antes da execução de uma pesquisa.

Por exemplo, você pode adicionar metadata.vendor_name = ${vendor_name} à pesquisa. Para ${vendor_name}, é necessário adicionar uma solicitação para futuros usuários, como Enter the name of the vendor for your search. Sempre que um usuário carregar essa pesquisa no futuro, ele vai precisar inserir o nome do fornecedor antes de executar a pesquisa.
Clique em Salvar edições quando terminar.
Para conferir as pesquisas salvas, clique em Gerenciador de pesquisa e na guia Salvas.

Extrair uma pesquisa salva

Para recuperar e executar uma pesquisa salva, faça o seguinte:

Na caixa de diálogo Gerenciador de pesquisa, selecione uma pesquisa salva na lista à esquerda. Essas pesquisas salvas são armazenadas na sua conta do Google SecOps.
Opcional: para excluir uma pesquisa, clique em Mais e selecione Excluir pesquisa. Só é possível excluir pesquisas que você criou.
Você pode mudar o nome da pesquisa e a descrição. Clique em Salvar as edições quando terminar.
Clique em Carregar pesquisa. A pesquisa é carregada no campo de pesquisa principal.
Clique em Executar pesquisa para conferir os eventos associados a essa pesquisa.

Recuperar uma pesquisa do seu histórico de pesquisa

Para recuperar e executar uma pesquisa no histórico, faça o seguinte:

No Gerenciador de pesquisa, clique em Histórico.
Selecione uma pesquisa do seu histórico. O histórico de pesquisa é salvo na sua conta do Google SecOps. Para excluir uma pesquisa, clique em Excluir.
Clique em Carregar pesquisa. A pesquisa é carregada no campo de pesquisa principal.
Clique em Executar pesquisa para conferir os eventos associados a essa pesquisa.

Limpar, desativar ou ativar o histórico de pesquisa

Para limpar, desativar ou ativar o histórico de pesquisa, faça o seguinte:

No Gerenciador de pesquisa, clique na guia Histórico.
Clique em Mais.
Selecione Limpar histórico para limpar o histórico de pesquisa.
Clique em Desativar histórico para desativar o histórico de pesquisa. Você tem a opção de fazer o seguinte:
- Somente desativar: desative o histórico de pesquisa.
- Desativar e limpar: desative o histórico de pesquisa e exclua o histórico de pesquisa salvo.
Se você desativou o histórico de pesquisa, é possível reativá-lo clicando em Ativar histórico de pesquisa.
Clique em Fechar para sair do Gerenciador de pesquisa.

Compartilhar uma pesquisa

Com as pesquisas compartilhadas, você pode compartilhar pesquisas com sua equipe. Na guia Salvas, você pode compartilhar ou excluir pesquisas. Também é possível filtrar suas pesquisas clicando em filter_altFiltrar ao lado da barra de pesquisa e organizar as pesquisas por Mostrar tudo, Google SecOps definido, Criado por mim ou Compartilhado.

Não é possível editar uma pesquisa compartilhada que não é sua.

Clique em Salvo.
Clique na pesquisa que você quer compartilhar.
Clique em Mais no lado direito da pesquisa. Uma caixa de diálogo com a opção de compartilhar sua pesquisa vai aparecer.
Clique em Compartilhar com sua organização.
Uma caixa de diálogo vai aparecer informando que o compartilhamento da pesquisa vai ficar visível para as pessoas na sua organização. Você quer mesmo compartilhar? Clique em Compartilhar.

Se você quiser que a pesquisa só seja visível para você, clique em Mais e em Parar de compartilhar. Se você parar de compartilhar, só você poderá usar essa pesquisa.

Campos da UDM que podem ou não ser transferidos para CSV na plataforma

Os campos UDM com e sem suporte para download são mostrados nas subseções a seguir.

Campos aceitos

É possível fazer o download dos seguintes campos para um arquivo CSV na plataforma:

usuário
nome do host
nome do processo
tipo de evento
timestamp
Registro bruto (válido apenas quando os registros brutos estão ativados para o cliente)
Todos os campos que começam com "udm.additional"

Tipos de campo válidos

É possível fazer o download dos seguintes tipos de campo para um arquivo CSV:

double
float
int32
uint32
int64
uint64
bool
string
enum
bytes
google.protobuf.Timestamp
google.protobuf.Duration

Campos sem suporte

Os campos que começam com "udm" (não udm.additional) e atendem a uma das seguintes condições não podem ser transferidos para CSV:

O aninhamento do campo tem mais de 10 níveis no proto do UDM.
O tipo de dados é "Mensagem" ou "Grupo".

Fatores que limitam os resultados da pesquisa

Ao realizar pesquisas de UDM, os seguintes fatores podem limitar o número de resultados retornados:

O total de resultados excedeu 1 milhão: a pesquisa limita os resultados a 1 milhão de eventos. Quando os resultados ultrapassam 1 milhão, apenas 1 milhão de resultados são mostrados.
Limitar os resultados a <1 milhão na plataforma pelas configurações de pesquisa: é possível configurar o conjunto de resultados da pesquisa padrão para retornar menos de 1 milhão de resultados, melhorando a velocidade da consulta. Se definido como <1M, você verá menos resultados. Por padrão, a pesquisa de SecOps limita o número de resultados a 30 mil, mas você pode mudar isso para até 1 milhão usando as configurações de pesquisa na página Resultados.
Os resultados da pesquisa são limitados a 10 mil: mesmo que sua pesquisa retorne mais de 10.000 resultados, o console mostra apenas os primeiros 10.000. Essa limitação do console não reflete o número total de resultados possíveis.

A seguir

Para saber como usar dados enriquecidos com contexto na pesquisa, consulte Usar dados enriquecidos com contexto na pesquisa.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.