Pesquisar

A função de pesquisa permite encontrar eventos e alertas do Modelo de dados unificado (UDM) na sua instância das Operações de segurança do Google usando a sintaxe YARA-L 2.0. A pesquisa inclui várias opções para ajudar você a navegar pelos dados da UDM. É possível pesquisar eventos individuais e grupos de eventos da UDM vinculados a termos de pesquisa compartilhados.

Em sistemas que usam o RBAC de dados, só é possível ver dados que correspondem aos seus escopos. Para mais informações, consulte Impacto do RBAC de dados na Pesquisa.

Para clientes do Google SecOps, os alertas também podem ser ingeridos de conectores e webhooks. Você também pode usar a pesquisa para encontrar esses alertas.

Para mais informações sobre o UDM, consulte Formatar dados de registro como UDM e Lista de campos do UDM.

Pesquisa de acesso

Você pode acessar a pesquisa do Google SecOps usando as seguintes opções:

• Na barra de navegação, clique em Investigação > Pesquisar.

• No campo Pesquisar, insira um campo da UDM válido para qualquer campo de pesquisa no Google SecOps e pressione CTRL+Enter.

  

  Figura 1. Exemplo da janela Pesquisar usada para analisar tendências de eventos.

As seções a seguir detalham como usar os recursos de pesquisa.

Usar o recurso de pesquisa

• Uma expressão de pesquisa consiste em um campo do UDM para pesquisar, um operador e um valor de dados a ser pesquisado.

• Se a expressão de consulta for válida, o console do Google SecOps vai ativar o botão Executar pesquisa.

• As consultas do UDM são baseadas em campos definidos na lista de campos do modelo de dados unificado. É possível navegar e selecionar esses campos de UDM usando Filtros ou Pesquisa de registros brutos.

• Para ajustar o número de eventos retornados, clique em more_vert Mais e selecione Configurações de pesquisa. Para mais detalhes, consulte Configurações de pesquisa.

• Para mudar o período, abra a janela Período.

Para usar o recurso de pesquisa, siga estas etapas:

1. Acesse a página Pesquisa.
2. No campo Pesquisar, insira uma expressão de pesquisa.
3. Para pesquisar eventos, insira um nome de campo da UDM no campo Pesquisar. À medida que você digita, o recurso de preenchimento automático sugere campos válidos da UDM com base na sua entrada.

4. Depois de inserir um campo de UDM válido, selecione um operador válido. A interface do usuário mostra os operadores válidos disponíveis com base no campo da UDM inserido. Os seguintes operadores são aceitos:

   • <, >
   • <=, >=
   • =, !=
   • nocase: compatível com strings

5. Depois de inserir um campo e um operador válidos da UDM, adicione o valor dos dados de registro que você quer pesquisar. Para mais detalhes, consulte Formatar o valor de dados para pesquisar.

6. Clique em Executar pesquisa para fazer a pesquisa.

   Os resultados do evento são mostrados na tabela Linha do tempo de eventos na página Pesquisa.

7. Opcional: restrinja os resultados adicionando mais filtros da UDM manualmente ou usando o console.

Formatar o valor de dados a ser pesquisado

Formate o valor de dados usando as seguintes diretrizes:

• Tipo de dados:formate o valor de acordo com o tipo de dados:

  • Valores enumerados:use um valor enumerado válido definido para o campo de UDM selecionado.

    Por exemplo, um valor de texto em letras maiúsculas entre aspas duplas:

    metadata.event_type = "NETWORK_CONNECTION"

  • Valores adicionais:use o formato field[key\] = value para pesquisar nos campos additional e labels.

    Exemplo:

    additional.fields["key"]="value"

  • Valores booleanos:use true ou false (não diferencia maiúsculas de minúsculas e não precisa de aspas).

    Exemplo:

    network.dns.response = true

  • Números inteiros: use valores numéricos sem aspas.

    Exemplo:

    target.port = 443

  • Valores de ponto flutuante:para campos da UDM do tipo float, insira um valor decimal, como 3.1, ou um número inteiro, como 3.

    Exemplo:

    security_result.about.asset.vulnerabilities.cvss_base_score = 3.1

  • Expressões regulares:coloque a expressão regular entre barras (/).

    Exemplo:

    • principal.ip = /10.*/

    • Pesquise a execução de psexec.exe (janela):

      target.process.command_line = /\bpsexec(\.exe)?\b/ nocase

    Para mais detalhes sobre expressões regulares, consulte a página de expressões regulares.

  • Strings:coloque os valores de texto entre aspas duplas.

    Exemplo:

    metadata.product_name = "Google Cloud VPC Flow Logs"

• Strings sem diferenciação de maiúsculas e minúsculas: use o operador nocase para corresponder a qualquer combinação de caracteres maiúsculos e minúsculos em uma string.

  Exemplo:

  • principal.hostname != "http-server" nocase
  • principal.hostname = "JDoe" nocase
  • principal.hostname = /dns-server-[0-9]+/ nocase

• Caracteres de escape em strings: faça o escape de caracteres especiais com uma barra invertida, da seguinte forma:

  • Use \\ para escapar uma barra invertida (\).
  • Use \" para criar um escape de aspas duplas (").

  Exemplo:

  • principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
  • target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""

• Expressões booleanas: use AND, OR e NOT para combinar condições e restringir os resultados.

  Os exemplos a seguir mostram operadores booleanos compatíveis (AND, OR e NOT):

  • A AND B
  • A OR B

  • Use parênteses ( ) para agrupar expressões e controlar a ordem de avaliação:

    (A OR B) AND (B OR C) AND (C OR NOT D)

  Exemplos:

  • Pesquise eventos de login no servidor financeiro:

    metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"

  • Use o operador (>) para pesquisar conexões em que mais de 10 MB de dados foram enviados:

    metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000

  • Use várias condições para pesquisar winword.exe ao iniciar cmd.exe ou powershell.exe:

    metadata.event_type = "PROCESS_LAUNCH" and
     principal.process.file.full_path = /winword/ and
     (target.process.file.full_path = /cmd.exe/ or
      target.process.file.full_path = /powershell.exe/)

• Pesquisar pares de chave-valor nos campos additional e labels:

  Os campos additional e labels atuam como contêineres personalizáveis para dados de eventos que não são mapeados para campos UDM padrão. Cada entrada armazena um único par de chave-valor.

  • Os campos additional podem conter vários pares de chave-valor.
  • Os campos labels só podem conter um único par de chave-valor.

  Use esta sintaxe para especificar os pares de chave-valor a serem pesquisados nos campos additional e labels:

  field[key\] = value

  Exemplo:

  additional.fields["key"]="value"

  Exemplos de pesquisas usando pares de chave-valor específicos nos campos additional e labels:

  • Procure eventos que contenham pares de chave-valor especificados:

    • additional.fields["pod_name"] = "kube-scheduler"

    • metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"

  • Use o operador AND com pesquisas de par de chave-valor:

    additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"

  • Pesquise todos os eventos que contêm a chave especificada, independente do valor:

    additional.fields["pod_name"] != ""

  • Pesquise eventos que contenham uma chave específica usando uma expressão regular:

    additional.fields.value.string_value = "mystring"

  • Pesquise eventos que usam várias chaves com o mesmo nome usando uma expressão regular:

    additional.fields.key = /myKeynumber_*/

  • Use expressões regulares e o operador nocase:

    • additional.fields["pod_name"] = /br/

    • additional.fields["pod_name"] = bar nocase

• Use comentários de bloco e de linha única.

  • Use um comentário de bloco:

      additional.fields["pod_name"] = "kube-scheduler"
      /*
      Block comments can span
      multiple lines.
      */
      AND additional.fields["pod_name1"] = "kube-scheduler1"

  • Use um comentário de linha única:

    additional.fields["pod_name"] != "" // my single-line comment

Configurações de pesquisa

É possível definir o número máximo de resultados da pesquisa nas configurações da Pesquisa UDM. Essas configurações são específicas do usuário.

1. Clique em Configurações de pesquisa no menu more_vertMais ao lado de Executar pesquisa.

2. Selecione Número máximo de resultados a serem retornados. As opções são 1K, 30K, 100K, 1M e custom, que podem assumir valores entre 1 e 1M. O valor padrão é 1M. As consultas geralmente são executadas mais rápido quando você escolhe um tamanho menor para o conjunto de resultados.

A pesquisa retorna muitos resultados

Se a pesquisa for muito ampla, o Google SecOps vai mostrar uma mensagem de aviso indicando que nem todos os resultados podem ser mostrados.

Nesses casos, o sistema recupera apenas os resultados mais recentes, até o limite de pesquisa de 1 milhão de eventos e 1.000 alertas. No entanto, pode haver muito mais eventos e alertas correspondentes que não são mostrados.

Para verificar se você capturou todos os resultados relevantes, refine sua pesquisa aplicando mais filtros. Reduzir o escopo da pesquisa ajuda a diminuir o conjunto de dados para um tamanho gerenciável e melhora a acurácia. Recomendamos ajustar e executar a pesquisa novamente até que os resultados fiquem dentro do limite de exibição do sistema.

A página de resultados da pesquisa mostra os 10.000 resultados mais recentes. Você pode filtrar e refinar os resultados da pesquisa para mostrar os mais antigos, em vez de modificar e executar a pesquisa novamente.

Pesquisar campos agrupados

Os campos agrupados são aliases para grupos de campos de UDM relacionados. É possível usá-los para consultar vários campos da UDM ao mesmo tempo sem digitar cada um individualmente.

O exemplo a seguir mostra como inserir uma consulta para corresponder aos campos comuns da UDM que podem conter o endereço IP especificado:

ip = "1.2.3.4"

É possível corresponder um campo agrupado usando uma expressão regular e o operador nocase. As listas de referência também são aceitas. Os campos agrupados também podem ser usados em combinação com campos regulares da UDM, conforme mostrado no exemplo a seguir:

ip = "5.6.7.8" AND metadata.event_type = "NETWORK_CONNECTION"

Os campos agrupados têm uma seção separada em Agregações.

Tipos de campos agrupados do UDM

Você pode pesquisar em todos os seguintes campos agrupados da UDM:

Encontrar um campo do UDM para consulta de pesquisa

Ao escrever uma consulta de pesquisa, talvez você não saiba qual campo UDM incluir. Com a Pesquisa de UDM, você encontra rapidamente um nome de campo de UDM que contém uma string de texto no nome ou armazena um valor de string específico. A função Pesquisa UDM não foi criada para pesquisar outros tipos de dados, como bytes, booleanos ou numéricos. Você seleciona um ou mais resultados retornados pela Pesquisa do UDM e os usa como ponto de partida para uma consulta de pesquisa.

Para usar a Pesquisa de UDM, faça o seguinte:

1. Na página Pesquisa, clique em Pesquisa de UDM.

2. Na caixa de diálogo Pesquisa de UDM, selecione uma ou mais das seguintes opções de correspondência para especificar o escopo dos dados a serem pesquisados:

   • Campos do UDM: pesquise texto nos nomes dos campos do UDM.

     Por exemplo, network.dns.questions.name ou principal.ip.

   • Valores: pesquise texto nos valores atribuídos aos campos do UDM.

     Por exemplo, dns ou google.com.

3. Insira ou modifique a string no campo Pesquisa de campos/valores de UDM. Conforme você digita, os resultados da pesquisa aparecem na caixa de diálogo.

   Os resultados são um pouco diferentes ao pesquisar em Campos da UDM e em Valores:

   • A pesquisa de uma string de texto em nomes de campos da UDM retorna uma correspondência exata encontrada em qualquer local do nome.

     

     Figura 3. Pesquise nomes de campos da UDM na Pesquisa da UDM.

   • A pesquisa de texto em Valores retorna resultados da seguinte maneira:

     • Se a string for encontrada no início ou no fim do valor, ela será destacada no resultado, junto com o nome do campo da UDM e o horário de ingestão do registro.
     • Se a string de texto for encontrada em outro lugar no valor, o resultado vai mostrar o nome do campo da UDM e o texto Possível correspondência de valor.

     

     Figura 2. Pesquise em Valores na Pesquisa de UDM.

4. Na lista de resultados, você pode fazer o seguinte:

   • Clique no nome de um campo da UDM para ver uma descrição dele.

   • Selecione um ou mais resultados clicando na caixa de seleção à esquerda de cada nome de campo UDM.

   • Clique no botão Redefinir para desmarcar todos os campos selecionados na lista de resultados.

5. Para anexar os resultados selecionados ao campo Pesquisar na página Pesquisar, faça o seguinte:

   • Clique em Adicionar à pesquisa.

   • Clique em Copiar UDM para copiar os resultados selecionados para a área de transferência. Em seguida, feche a caixa de diálogo Pesquisa de UDM e cole a string de consulta de pesquisa no campo Pesquisar da página Pesquisar.

   O Google SecOps converte os resultados selecionados em uma string de consulta de pesquisa como o nome do campo UDM ou um par nome-valor. Se você anexar vários resultados, cada um deles será adicionado ao final da consulta atual no campo Pesquisar usando o operador OR.

   A string de consulta anexada varia de acordo com o tipo de correspondência retornada pela Pesquisa de UDM.

   • Se o resultado corresponder a uma string de texto em um nome de campo da UDM, o nome completo do campo da UDM será anexado à consulta. Exemplo:

     principal.artifact.network.dhcp.client_hostname

   • Se o resultado corresponder a uma string de texto no início ou no fim de um valor, o par nome-valor vai conter o nome do campo UDM e o valor completo no resultado. Confira alguns exemplos:

     • metadata.log_type = "PCAP_DNS"

     • network.dns.answers.name = "dns-A901F3j.hat.example.com"

   • Se o resultado incluir o texto Possible value match, o par nome-valor vai conter o nome do campo da UDM e uma expressão regular com o termo de pesquisa. Exemplo:

     principal.process.file.full_path = /google/ NOCASE

6. A string de consulta gerada pela Pesquisa do UDM serve como ponto de partida para uma consulta de pesquisa. Edite a Consulta de pesquisa na página Pesquisa para se adequar ao seu caso de uso.

Resumo do comportamento da pesquisa do UDM

Esta seção fornece mais detalhes sobre os recursos de pesquisa da UDM.

• A pesquisa do UDM busca dados ingeridos após 10 de agosto de 2023. Os dados ingeridos antes disso não são pesquisados. Ele retorna resultados encontrados em campos da UDM não enriquecidos. Ela não retorna correspondências para campos enriquecidos. Para informações sobre campos enriquecidos e não enriquecidos, consulte Ver eventos no visualizador de eventos.
• As pesquisas que usam a pesquisa do UDM não diferenciam maiúsculas de minúsculas. O termo hostname retorna o mesmo resultado que HostName.
• Hífens (-) e sublinhados (_) em uma string de texto de consulta são ignorados ao pesquisar Valores. As strings de texto dns-l e dnsl retornam o valor dns-l.

• Ao pesquisar Valores, a pesquisa do UDM não retorna correspondências nos seguintes casos:

  Corresponde aos seguintes campos da UDM:	metadata.product_log_id network.session_id security_result.rule_id network.parent_session_id
  Corresponde a campos da UDM com um caminho completo que termina em um dos seguintes valores:	.pid Por exemplo, target.process.pid. .asset_id Por exemplo, principal.asset_id. .product_specific_process_id Por exemplo, principal.process.product_specific_process_id. .resource.id Por exemplo, principal.resource.id.

  
  

• Ao pesquisar Valores, a pesquisa do UDM mostra Possível correspondência de valor quando uma correspondência é encontrada nos seguintes casos:

  Corresponde aos seguintes campos da UDM:	metadata.description security_result.description security_result.detection_fields.value security_result.summary network.http.user_agent
  Corresponde a campos com um caminho completo que termina em um dos seguintes valores:	.command_line Por exemplo, principal.process.command_line. .file.full_path Por exemplo, principal.process.file.full_path. .labels.value Por exemplo, src.labels.value. .registry.registry_key Por exemplo, principal.registry.registry_key. .url Por exemplo, principal.url.
  Corresponde a campos com um caminho completo que começa com os seguintes valores:	additional.fields.value. Por exemplo, additional.fields.value.null_value.

Ver alertas na pesquisa

Para ver os alertas, clique na guia Alertas, localizada ao lado da guia Eventos, no canto superior direito da página Pesquisa.

Como os alertas são exibidos

O Google SecOps avalia os eventos retornados na pesquisa em relação aos eventos que existem para alertas no ambiente do cliente. Quando um evento de consulta de pesquisa corresponde a um evento presente em um alerta, ele é exibido na Linha do tempo de alertas e na tabela Alerta resultante.

Definição de eventos e alertas

Um evento é gerado de uma fonte de registro bruta ingerida no Google SecOps e processada pelo processo de ingestão e normalização do Google SecOps. Vários eventos podem ser gerados de um único registro de origem de registro bruto. Um evento representa um conjunto de pontos de dados relevantes para a segurança gerados desse registro bruto.

Na pesquisa, um alerta é definido como uma detecção de regra YARA-L com alertas ativados. Consulte executar uma regra com base em dados ativos para saber mais.

Outras fontes de dados podem ser ingeridas no Google SecOps como alertas, como os alertas do Crowdstrike Falcon. Esses alertas não aparecem na pesquisa, a menos que sejam processados pelo mecanismo de detecção do Google SecOps como uma regra YARA-L.

Os eventos associados a um ou mais alertas são marcados com um ícone de alerta na linha do tempo de eventos. Se houver vários alertas associados à linha do tempo, o ícone vai mostrar os números deles.

A linha do tempo mostra os mil alertas mais recentes recuperados dos resultados da pesquisa. Quando o limite de 1.000 alertas é atingido, nenhum outro é recuperado. Para garantir que você veja todos os resultados relevantes para sua pesquisa, refine sua pesquisa com filtros.

Como investigar um alerta

Para saber como usar o Gráfico de alertas e os Detalhes do alerta para investigar um alerta, siga as etapas descritas em Investigar um alerta.

Ver linhas da tabela de dados na Pesquisa

É possível ver as linhas das tabelas de dados diretamente na Pesquisa. Quando você usa uma tabela de dados na pesquisa da YARA-L, os resultados podem fazer referência às linhas da tabela de dados vinculadas aos eventos correspondentes. Esses resultados aparecem na guia Eventos.

Use o Gerenciador de colunas na Pesquisa para escolher quais tabelas de dados e colunas mostrar nos resultados.

A pesquisa mostra o estado atual da tabela de dados e das linhas quando você visualiza os resultados.

Para mais informações, consulte Usar tabelas de dados.

Usar listas de referência em pesquisas

O processo para aplicar listas de referência em regras também pode ser usado na pesquisa. É possível incluir até sete listas em uma única consulta de pesquisa. Todos os tipos de listas de referência (string, expressão regular, CIDR) são compatíveis.

É possível criar listas de qualquer variável que você queira rastrear.

Por exemplo, é possível criar uma lista de endereços IP suspeitos:

// Field value exists in reference list
principal.ip IN %suspicious_ips

É possível usar várias listas com AND ou OR:

// multiple lists can be used with AND or OR
principal.ip IN %suspicious_ips AND
principal.hostname IN %suspicious_hostnames

Refinar os resultados da pesquisa

Use os recursos da página Pesquisar para filtrar e refinar os resultados, como uma alternativa a modificar e executar a pesquisa novamente. Exemplo:

• Gráfico de linha do tempo
• Janela "Agregações"

Gráfico de linha do tempo

O gráfico de linhas do tempo oferece uma representação gráfica do número de eventos e alertas que ocorrem a cada dia e são exibidos pela pesquisa atual. Os eventos e alertas são mostrados no mesmo gráfico de linha do tempo, disponível nas guias Eventos e Alertas.

A largura de cada barra depende do intervalo de tempo pesquisado. Por exemplo, cada barra representa 10 minutos quando a pesquisa abrange 24 horas de dados. Ele é atualizado dinamicamente conforme você modifica a pesquisa.

Ajuste do período

Para ajustar o período do gráfico, mova os controles deslizantes brancos para a esquerda e para a direita e foque no período de interesse. Conforme você ajusta o período, as tabelas Campos e valores da UDM e Eventos são atualizadas para refletir a seleção atual. Você também pode clicar em uma única barra no gráfico para listar apenas os eventos desse período.

Depois de ajustar o período, as caixas de seleção Eventos filtrados e Eventos de consulta vão aparecer, permitindo que você limite ainda mais os tipos de eventos mostrados.

Figura 4. Gráfico de cronogramas de eventos com controles de período.

Janela "Agregações"

A janela Agregações mostra Campos agrupados e Campos da UDM gerados pela sua pesquisa da UDM. Os campos agrupados são usados para pesquisar vários campos da UDM de um tipo semelhante.

Um campo agrupado, por exemplo, ip, namespace ou user, é uma variável de espaço reservado que agrupa os valores de campos de UDM semelhantes. Por exemplo, o campo agrupado namespace agrupa todos os valores dos seguintes campos UDM: principal.namespace, src.namespace e target.namespace.

Uma contagem de eventos é mostrada para cada campo agrupado e campo da UDM. A contagem de eventos é o número de registros de eventos com o mesmo valor para esse campo.

Os campos agrupados e campos UDM são classificados do maior para o menor número de eventos e em ordem alfabética dentro do mesmo número de eventos.

Para fixar um campo na parte de cima da lista Agregações, clique no ícone manter Manter do campo.

Figura 5. As agregações ajudam a identificar valores de alta frequência.

Com as agregações, é possível restringir ainda mais sua pesquisa UDM. Você pode rolar a lista de campos de UDM ou pesquisar campos ou valores específicos usando o campo Pesquisar.

Filtrar campos de agregação

Use as opções de filtro para restringir a lista de campos do UDM mostrada na lista Agregações, da seguinte maneira:

Figura 6. Exemplo de eventos que incluem o valor do campo UDM selecionado.

1. Selecione um campo da UDM na lista Agregações para mostrar uma lista de Valores para esse campo.

2. Selecione um Valor na lista e clique no ícone do menu more_vert Mais.

3. Selecione uma das opções de filtro:

   • Mostrar apenas: mostra apenas eventos que incluem o valor do campo UDM selecionado.
   • Filtrar: filtra os eventos que incluem o valor do campo UDM selecionado.
   • Copiar: copie o valor do campo UDM para a área de transferência.

É possível adicionar esses filtros extras do UDM ao campo Filtrar eventos.

Campo "Filtrar eventos"

O campo Filtrar eventos mostra os filtros criados e permite aplicá-los ao campo Pesquisar ou removê-los conforme necessário.

Quando você clica em Aplicar à pesquisa e executar, os eventos mostrados são filtrados com base nos filtros adicionais exibidos, e o campo Pesquisar é atualizado. A pesquisa é executada automaticamente de novo usando os mesmos parâmetros de data e hora.

Figura 7. Campo Filtrar eventos.

Se você clicar em Adicionar filtro, uma janela será aberta para que você selecione outros campos da UDM.

Figura 8. Janela Filtrar eventos.

Ver eventos na tabela de eventos

Todos os filtros e controles afetam a lista de eventos mostrada na tabela Eventos. Clique em qualquer evento para abrir o Visualizador de registros, onde é possível conferir o registro bruto e o registro da UDM correspondente. Ao clicar no timestamp do evento, você pode navegar até o Recurso, o Endereço IP, o Domínio, o Hash ou a Visualização do usuário associados. Você também pode usar o campo Pesquisar para encontrar um evento específico.

Ver alertas na tabela de alertas

Para ver os alertas, clique na guia Alertas. Use Agregações para classificar alertas por:

• Caso
• Nome
• Prioridade
• Gravidade
• Status
• Veredito

Isso ajuda você a se concentrar nos alertas mais importantes.

Os alertas são mostrados no mesmo período dos eventos na guia Eventos. Isso ajuda você a entender a conexão entre eventos e alertas.

Para saber mais sobre um alerta específico, clique nele. Uma página individual de Detalhes do alerta é aberta com informações detalhadas sobre esse alerta.

Ver eventos no Visualizador de eventos

Para abrir o Visualizador de eventos, passe o cursor sobre um evento na tabela Eventos e clique no ícone switch_access_2 .

O Visualizador de eventos tem as seguintes guias: Campos de evento, Registro bruto, Alertas e Entidades:

• Guia Campos de evento: por padrão, essa guia mostra os campos de evento da UDM em uma estrutura de árvore hierárquica, que é rotulada como Selecionado. Use a guia para fazer o seguinte:

  • Mantenha o ponteiro sobre o nome de um campo para ver a definição.
  • Para ver rapidamente um campo específico, selecione-o na lista Selecionado e clique no ícone de manter fixado. O campo é exibido na lista Fixado, que fica diretamente acima da lista de árvore Selecionado (principal). Os campos na lista Fixados permanecem exibidos na lista hierárquica Selecionados. A hierarquia de campos na lista Fixado é indicada usando a notação delimitada por pontos com o prefixo udm (por exemplo, udm.metadata.event_type).
  • Marque a caixa de seleção ao lado de um nó ou campo para realizar ações de Adicionar às colunas ou Copiar em vários campos.

  • Siga estas etapas:

    • Filtros: aplique os seguintes filtros à lista Selecionado:

    • Mostrar campos não enriquecidos

    • Mostrar campos enriquecidos

    • Mostrar mais campos

    • Mostrar campos extraídos

    • Adicionar às colunas: adicione o campo UDM como uma coluna.

    • Copiar: para copiar os campos e valores do UDM selecionados para a área de transferência do sistema.

  Cada campo da UDM é rotulado com um ícone que indica se ele contém dados enriquecidos ou não enriquecidos. Os rótulos dos ícones são os seguintes:

  • U: campos não enriquecidos contêm valores preenchidos durante o processo de normalização usando dados do registro bruto original.

  • E: os campos enriquecidos contêm valores que o Google SecOps preenche para fornecer mais contexto sobre artefatos em um ambiente do cliente. Para mais informações, consulte Como o Google SecOps enriquece dados de eventos e entidades.

    

    Figura 9. Campos da UDM no Visualizador de eventos.

• Guia Registro bruto

  A guia Registro bruto mostra o registro bruto original em qualquer um dos seguintes formatos:

  • Dados brutos
  • JSON
  • XML
  • CSV
  • Hex/ASCII

Usar a opção "Colunas" para pesquisar

Use a opção Colunas para personalizar as colunas mostradas na tabela Eventos. O menu Colunas é exibido, oferecendo diferentes opções com base nos tipos de eventos retornados pela pesquisa.

Salvar o conjunto de colunas

Se quiser, salve o conjunto de colunas selecionado clicando em Salvar. Dê um nome ao conjunto de colunas selecionadas e clique em Salvar novamente. Para carregar um conjunto de colunas salvas, clique em Carregar e selecione o conjunto na lista.

Para fazer o download dos eventos exibidos, clique em more_vertMais e selecione Fazer o download como CSV. Isso vai baixar todos os resultados da pesquisa, até 1 milhão de eventos. O console indica quantos eventos serão baixados.

Figura 10. Pesquisar colunas.

Usar a tabela dinâmica para analisar eventos

Com a tabela dinâmica, é possível analisar eventos usando expressões e funções com base nos resultados da pesquisa.

Siga estas etapas para abrir e configurar a tabela dinâmica:

1. Faça uma pesquisa.

2. Clique na guia Tabela dinâmica para abrir a tabela dinâmica.

3. Especifique um valor de Agrupar por para agrupar os eventos por um campo específico da UDM. É possível mostrar os resultados usando a capitalização padrão ou apenas letras minúsculas. Para isso, selecione minúsculas no menu. Essa opção está disponível apenas para campos de string. É possível especificar até cinco valores de Agrupar por clicando em Adicionar campo.

   Se o valor de Agrupar por for um dos campos de nome do host, você terá outras opções de transformação:

   • Maior domínio de nível N: escolha qual nível do domínio será mostrado. Por exemplo, usar o valor 1 mostra apenas o domínio de nível superior (como com, gov ou edu). Usar o valor 3 mostra os dois próximos níveis dos nomes de domínio (como google.co.uk).
   • Receber domínio registrado: mostra apenas o nome de domínio registrado (como google.com, nytimes.com e youtube.com).

   Se o valor de Agrupar por for um dos campos de IP, você terá outras opções de transformação:

   • Tamanho do prefixo CIDR(IP) em bits: você pode especificar de 1 a 32 para endereços IPv4. Para endereços IPv6, é possível especificar valores de até 128.

   Se o valor de Agrupar por incluir um carimbo de data/hora, você terá mais opções de transformação:

   • Resolução(tempo) em milissegundos
   • Resolução(tempo) em segundos
   • Resolução(tempo) em minutos
   • Resolução(tempo) em horas
   • Resolução(tempo) em dias

4. Especifique um valor para o pivô na lista de campos dos resultados. É possível especificar até cinco valores. Depois de especificar um campo, selecione uma opção de Resumir. Você pode resumir usando as seguintes opções:

   • ponderada
   • count
   • count distinct
   • média
   • stddev
   • min
   • max

5. Especifique um valor de Contagem de eventos para retornar o número de eventos identificados para essa pesquisa e tabela dinâmica específicas.

   As opções de Resumir não são universalmente compatíveis com os campos Agrupar por. Por exemplo, as opções sum, average, stddev, min e max só podem ser aplicadas a campos numéricos. Se você tentar associar uma opção Resumir incompatível a um campo Agrupar por, vai receber uma mensagem de erro.

6. Especifique um ou mais campos da UDM e selecione uma ou mais opções de classificação usando a opção Ordenar por.

7. Clique em Aplicar quando terminar. Os resultados são mostrados na tabela dinâmica.

8. Opcional: para fazer o download da tabela dinâmica, clique em more_vertMais e selecione Fazer o download como CSV. Se você não selecionou um pivô, essa opção fica desativada.

Visão geral das pesquisas salvas e do histórico de pesquisa

Ao clicar em Gerenciador de pesquisas, você pode recuperar pesquisas salvas e acessar seu histórico de pesquisa. Selecione uma pesquisa salva para conferir mais informações, incluindo o título e a descrição.

As pesquisas salvas e o histórico de pesquisa são:

• Armazenados com sua conta do Google SecOps.

• Só podem ser visualizadas e acessadas pelo usuário individual, a menos que você use o recurso Compartilhar uma pesquisa para compartilhar sua pesquisa com a organização.

Salvar uma pesquisa

Para salvar uma pesquisa, faça o seguinte:

1. Na página Pesquisar, clique em more_horizMais ao lado de Executar pesquisa e clique em Salvar pesquisa para usar essa pesquisa mais tarde. Isso abre a caixa de diálogo Gerenciador de pesquisa. Recomendamos dar à sua pesquisa salva um nome significativo e uma descrição em texto simples do que você está procurando. Você também pode criar uma pesquisa na caixa de diálogo Gerenciador de pesquisas clicando em add Adicionar. As ferramentas padrão de edição e conclusão da UDM também estão disponíveis aqui.

2. Opcional: especifique variáveis de marcador de posição no formato ${<variable name>} usando o mesmo formato usado para variáveis em YARA-L. Se você adicionar uma variável a uma pesquisa, também precisará incluir um comando para ajudar o usuário a entender as informações necessárias antes de executar a pesquisa. Todas as variáveis precisam ser preenchidas com valores antes da execução de uma pesquisa.

   Por exemplo, você pode adicionar metadata.vendor_name = ${vendor_name} à sua pesquisa. Para ${vendor_name}, adicione um comando para futuros usuários, como Enter the name of the vendor for your search. Cada vez que um usuário carregar essa pesquisa no futuro, ele vai precisar inserir o nome do fornecedor antes de executar a pesquisa.

3. Clique em Salvar edições quando terminar.

4. Para ver as pesquisas salvas, clique em Gerenciador de pesquisa e na guia Salvas.

Recuperar uma pesquisa salva

Para recuperar e executar uma pesquisa salva, faça o seguinte:

1. Na caixa de diálogo Gerenciador de pesquisa, selecione uma pesquisa salva na lista à esquerda. Essas pesquisas salvas são armazenadas na sua conta do Google SecOps.

2. Opcional: para excluir uma pesquisa, clique em more_horizMais e selecione Excluir pesquisa. Só é possível excluir as pesquisas que você criou.

3. É possível mudar o nome e a descrição da pesquisa. Clique em Salvar edições quando terminar.

4. Clique em Carregar pesquisa. A pesquisa é carregada no campo de pesquisa principal.

5. Clique em Executar pesquisa para ver os eventos associados a ela.

Recuperar uma pesquisa do seu histórico de pesquisa

Para recuperar e executar uma pesquisa do seu histórico de pesquisa, faça o seguinte:

1. No Gerenciador de pesquisa, clique em Histórico.

2. Selecione uma pesquisa no seu histórico. Seu histórico de pesquisa é salvo na sua conta do Google SecOps. Para excluir uma pesquisa, clique em deleteExcluir.

3. Clique em Carregar pesquisa. A pesquisa é carregada no campo de pesquisa principal.

4. Clique em Executar pesquisa para ver os eventos associados a ela.

Limpar, desativar ou ativar o histórico de pesquisa

Para limpar, desativar ou ativar o histórico de pesquisa, faça o seguinte:

1. No Search Manager, clique na guia Histórico.

2. Clique em more_vertMais.

3. Selecione Limpar histórico para limpar o histórico de pesquisa.

4. Clique em Desativar histórico para desativar o histórico de pesquisa. Você pode:

   • Desativação: desative o histórico de pesquisa.

   • Desativar e limpar: desative o histórico de pesquisa e exclua o histórico salvo.

5. Se você já tiver desativado o histórico de pesquisa, clique em Ativar histórico de pesquisa para reativá-lo.

6. Clique em Fechar para sair do Gerenciador de pesquisa.

Compartilhar uma pesquisa

Com as pesquisas compartilhadas, você pode compartilhar pesquisas com sua equipe. Na guia Salvas, você pode compartilhar ou excluir pesquisas. Você também pode filtrar suas pesquisas clicando em filter_altFiltrar ao lado da barra de pesquisa e ordenar as pesquisas por Mostrar tudo, Definido pelo Google SecOps, Criado por mim ou Compartilhado.

Não é possível editar uma pesquisa compartilhada que não é sua.

1. Clique em Salvos.
2. Clique na pesquisa que você quer compartilhar.
3. Clique em more_horizMais no lado direito da pesquisa. Uma caixa de diálogo com a opção de compartilhar sua pesquisa aparece.
4. Clique em Compartilhar com sua organização.
5. Uma caixa de diálogo aparece informando que o compartilhamento da sua pesquisa vai ficar visível para as pessoas na sua organização. Você quer mesmo compartilhar? Clique em Compartilhar.

Se quiser que a pesquisa fique visível apenas para você, clique em more_horizMais e em Parar de compartilhar. Se você parar de compartilhar, só vai poder usar esta pesquisa.

Campos da UDM que podem ou não ser baixados para CSV na plataforma

Os campos da UDM compatíveis e incompatíveis para download são mostrados nas subseções a seguir.

Campos aceitos

É possível baixar os seguintes campos para um arquivo CSV na plataforma:

• usuário

• nome do host

• nome do processo

• tipo de evento

• timestamp

• Registro bruto (válido apenas quando os registros brutos estão ativados para o cliente)

• Todos os campos que começam com "udm.additional"

Tipos de campo válidos

É possível baixar os seguintes tipos de campo em um arquivo CSV:

• double

• float

• int32

• uint32

• int64

• uint64

• bool

• string

• enum

• bytes

• google.protobuf.Timestamp

• google.protobuf.Duration

Campos sem suporte

Não é possível fazer o download para CSV dos campos que começam com "udm" (não udm.additional) e atendem a uma das seguintes condições:

• O aninhamento do campo tem mais de 10 níveis de profundidade no udm proto.

• O tipo de dados é "Message" ou "Group".

Fatores que limitam os resultados da pesquisa

Ao realizar pesquisas de UDM, os seguintes fatores podem limitar o número de resultados retornados:

• O total de resultados excedeu 1 milhão: a pesquisa limita os resultados a 1 milhão de eventos. Quando os resultados excedem 1 milhão, apenas 1 milhão são mostrados.

• Limitar os resultados a menos de 1 milhão na plataforma usando as configurações de pesquisa: é possível configurar o conjunto de resultados da pesquisa padrão para retornar menos de 1 milhão de resultados, melhorando a velocidade da consulta. Se definido como <1M, você verá menos resultados. Por padrão, a pesquisa do SecOps limita o número de resultados a 30 mil, mas é possível mudar isso para até 1 milhão usando as configurações de pesquisa na página Resultados.

• Os resultados da pesquisa são limitados a 10 mil: mesmo que sua pesquisa retorne mais de 10 mil resultados, o console mostra apenas os primeiros 10 mil. Essa limitação do console não reflete o número total de resultados possíveis.

A seguir

Para informações sobre como usar dados enriquecidos com contexto na pesquisa, consulte Usar dados enriquecidos com contexto na pesquisa.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.