搜尋事件和快訊

您可以使用搜尋功能，透過 YARA-L 2.0 語法，在 Google Security Operations 執行個體中尋找統合資料模型 (UDM) 事件和快訊。搜尋功能提供多種選項，可協助您修正及瀏覽 UDM 資料。您可以搜尋符合相同查詢的個別 UDM 事件和 UDM 事件群組。

在採用資料 RBAC 的系統中，您只能查看符合範圍的資料。詳情請參閱「資料 RBAC 對搜尋的影響」。

Google SecOps 客戶也可以透過連接器和網頁掛鉤擷取快訊。您也可以使用搜尋功能尋找這些快訊。

如要進一步瞭解 UDM，請參閱「將記錄資料格式化為 UDM」和「UDM 欄位清單」。

存取權搜尋

您可以透過下列方式存取 Google SecOps 搜尋功能：

• 在導覽列中，依序點選「調查」 >「搜尋」。

• 在「搜尋」欄位中，針對 Google SecOps 中的任何搜尋欄位輸入有效的 UDM 欄位，然後按 CTRL+Enter。

  

  圖 1. 以下是「搜尋」視窗的範例，可用於探索事件趨勢。

以下各節將詳細說明如何使用搜尋功能。

使用搜尋功能

• 搜尋運算式由要搜尋的 UDM 欄位、運算子和要搜尋的資料值組成。

• 如果查詢運算式有效，Google SecOps 控制台會啟用「執行搜尋」按鈕。

• UDM 查詢會根據整合式資料模型欄位清單中定義的欄位。您可以使用「篩選器」或「原始記錄搜尋」瀏覽及選取這些 UDM 欄位。

• 如要調整傳回的活動數量，請按一下「更多」more_vert，然後選取「搜尋設定」。詳情請參閱搜尋設定。

• 如要變更資料範圍，請開啟「日期範圍」視窗。

如要使用搜尋功能，請完成下列步驟：

1. 前往「搜尋」頁面。
2. 在「搜尋」欄位中輸入搜尋運算式。
3. 如要搜尋事件，請在「搜尋」欄位中輸入 UDM 欄位名稱。輸入時，自動完成功能會根據您的輸入內容，建議有效的 UDM 欄位。

4. 輸入有效的 UDM 欄位後，請選取有效的運算子。使用者介面會根據您輸入的 UDM 欄位，顯示可用的有效運算子。系統支援下列運算子：

   • <, >
   • <=, >=
   • =, !=
   • nocase -- supported for strings

5. 輸入有效的 UDM 欄位和運算子後，請加入要搜尋的記錄資料值。詳情請參閱「設定要搜尋的資料值格式」。

6. 按一下「執行搜尋」即可執行搜尋。

   事件結果會顯示在「搜尋」頁面的「事件時間軸」表格中。

7. 選用：手動或使用控制台新增其他 UDM 篩選器，縮小結果範圍。

設定要搜尋的資料值格式

請按照下列規範設定資料值格式：

• 資料類型：根據資料類型設定資料值的格式：

  • 列舉值：使用為所選 UDM 欄位定義的有效列舉值。

    舉例來說，以雙引號括住的全大寫文字值：

    metadata.event_type = "NETWORK_CONNECTION"

  • 其他值：使用 field[key\] = value 格式在 additional 和 labels 欄位中搜尋。

    例如：

    additional.fields["key"]="value"

  • 布林值：使用 true 或 false (不區分大小寫，不需加上引號)。

    例如：

    network.dns.response = true

  • 整數：使用不含引號的數值。

    例如：

    target.port = 443

  • 浮點值：如果是 float 類型的 UDM 欄位，請輸入十進位值，例如 3.1，或整數，例如 3。

    例如：

    security_result.about.asset.vulnerabilities.cvss_base_score = 3.1

  • 規則運算式：在規則運算式前後加上正斜線 (/)。

    例如：

    • principal.ip = /10.*/

    • 搜尋 psexec.exe (視窗) 的執行作業：

      target.process.command_line = /\bpsexec(\.exe)?\b/ nocase

    如要瞭解規則運算式的詳細資訊，請參閱規則運算式頁面。

  • 字串：以雙引號括住文字值。

    例如：

    metadata.product_name = "Google Cloud VPC Flow Logs"

• 不區分大小寫的字串：使用 nocase 運算子比對字串中任何大小寫組合的字元。

  例如：

  • principal.hostname != "http-server" nocase
  • principal.hostname = "JDoe" nocase
  • principal.hostname = /dns-server-[0-9]+/ nocase

• 逸出字串中的字元：使用反斜線逸出特殊字元，如下所示：

  • 使用 \\ 逸出反斜線 (\)。
  • 使用 \" 逸出雙引號 (")。

  例如：

  • principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
  • target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""

• 布林運算式：使用 AND、OR 和 NOT 組合條件，縮小結果範圍。

  以下範例顯示支援的布林運算子 (AND、OR 和 NOT)：

  • A AND B
  • A OR B

  • 使用半形括號 ( ) 將運算式分組，並控制評估順序：

    (A OR B) AND (B OR C) AND (C OR NOT D)

  範例：

  • 在財務伺服器上搜尋登入事件：

    metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"

  • 使用運算子 (>) 搜尋傳送超過 10 MB 資料的連線：

    metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000

  • 使用多個條件搜尋 winword.exe 啟動 cmd.exe 或 powershell.exe：

    metadata.event_type = "PROCESS_LAUNCH" and
     principal.process.file.full_path = /winword/ and
     (target.process.file.full_path = /cmd.exe/ or
      target.process.file.full_path = /powershell.exe/)

• 在 additional 和 labels 欄位中搜尋鍵/值組合：

  additional 和 labels 欄位可做為事件資料的可自訂容器，這些資料不會對應至標準 UDM 欄位。每個項目都會儲存單一鍵/值組合。

  • additional 欄位可能包含多個鍵/值組合。
  • labels 欄位只能包含單一鍵/值組合。

  使用下列語法，在 additional 和 labels 欄位中指定要搜尋的鍵/值組合：

  field[key\] = value。

  例如：

  additional.fields["key"]="value"

  以下是在 additional 和 labels 欄位中使用特定鍵/值組合的搜尋範例：

  • 搜尋含有指定鍵/值組合的事件：

    • additional.fields["pod_name"] = "kube-scheduler"

    • metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"

  • 使用 AND 運算子搜尋鍵/值組合：

    additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"

  • 搜尋包含指定鍵的所有事件，不論值為何：

    additional.fields["pod_name"] != ""

  • 使用規則運算式搜尋含有特定鍵的事件：

    additional.fields.value.string_value = "mystring"

  • 使用規則運算式搜尋使用多個同名鍵的事件：

    additional.fields.key = /myKeynumber_*/

  • 使用規則運算式和 nocase 運算子：

    • additional.fields["pod_name"] = /br/

    • additional.fields["pod_name"] = bar nocase

• 使用區塊和單行註解。

  • 使用區塊註解：

      additional.fields["pod_name"] = "kube-scheduler"
      /*
      Block comments can span
      multiple lines.
      */
      AND additional.fields["pod_name1"] = "kube-scheduler1"

  • 使用單行註解：

    additional.fields["pod_name"] != "" // my single-line comment

搜尋設定

您可以在 UDM 搜尋設定中設定搜尋結果數量上限。 這些設定專屬於使用者。

1. 按一下「執行搜尋」旁邊的「更多」more_vert，然後選取「搜尋設定」。

2. 選取「要傳回的結果數量上限」。選項包括 1K、30K、100K、1M 和 custom，這些選項的值介於 1 和 1M 之間。預設值為 1M。選擇較小的結果集大小時，查詢通常會更快執行。

搜尋傳回過多結果

如果搜尋範圍太廣，Google SecOps 會顯示警告訊息，指出無法顯示所有搜尋結果。

在這種情況下，系統只會擷取最新的結果，最多可擷取 100 萬個事件和 1,000 個快訊。不過，可能還有許多未顯示的相符事件和快訊。

如要確認擷取所有相關結果，請考慮套用其他篩選條件，縮小搜尋範圍。縮小搜尋範圍有助於將資料集縮減至可管理的大小，並提高準確度。建議您調整搜尋條件並重新執行搜尋，直到結果數量符合系統的顯示上限為止。

搜尋結果頁面會顯示最新的 10,000 筆結果。您可以篩選及修正搜尋結果，顯示較舊的結果，不必修改及重新執行搜尋。

限制結果

如要限制搜尋結果，請新增 limit 關鍵字，並設定要顯示的搜尋結果數量上限。這項功能有助於快速預覽資料、最佳化成效，或只在需要部分結果時使用。

舉例來說，如果在搜尋內容中加入下列項目，搜尋結果最多只會顯示 25 個：

limit: 25

搜尋分組欄位

同組欄位是相關 UDM 欄位群組的別名。您可以使用這些巨集同時查詢多個 UDM 欄位，不必逐一輸入每個欄位。

以下範例說明如何輸入查詢，比對可能包含指定 IP 位址的常見 UDM 欄位：

ip = "1.2.3.4"

您可以使用規則運算式和 nocase 運算子，比對分組欄位。系統也支援參照清單。您也可以將同組欄位與一般 UDM 欄位合併使用，如以下範例所示：

ip = "5.6.7.8" AND metadata.event_type = "NETWORK_CONNECTION"

分組欄位在「匯總」中會顯示在獨立的區段。

同組 UDM 欄位類型

您可以搜尋下列所有分組的 UDM 欄位：

尋找搜尋查詢的 UDM 欄位

撰寫搜尋查詢時，您可能不知道要加入哪個 UDM 欄位。您可以使用「UDM 查詢」，快速找出名稱中含有文字字串或儲存特定字串值的 UDM 欄位名稱。UDM 查閱函式不適用於搜尋其他資料類型，例如位元組、布林值或數值。選取 UDM 查詢傳回的一或多個結果，並做為搜尋查詢的起點。

如要使用 UDM 查詢，請按照下列步驟操作：

1. 在「Search」(搜尋) 頁面中，按一下「UDM Lookup」(UDM 查詢)。

2. 在「UDM 查詢」對話方塊中，選取一或多個下列比對選項，指定要搜尋的資料範圍：

   • UDM 欄位：搜尋 UDM 欄位名稱中的文字。

     例如：network.dns.questions.name 或 principal.ip

   • 值：搜尋指派給 UDM 欄位的值中的文字。

     例如：dns 或 google.com。

3. 在「UDM fields/values Look up」(查詢 UDM 欄位/值) 欄位中輸入或修改字串。 輸入文字時，對話方塊會顯示搜尋結果。

   在「UDM 欄位」與「值」中搜尋時，結果會略有不同：

   • 在 UTM 欄位名稱中搜尋文字字串時，系統會傳回名稱中任何位置的完全相符結果。

     

     圖 2：在「UDM 查詢」中搜尋 UDM 欄位名稱。

   • 在「值」中搜尋文字會傳回下列結果：

     • 如果字串位於值的開頭或結尾，結果會醒目顯示該字串，以及 UDM 欄位名稱和記錄擷取時間。
     • 如果系統在值中的其他位置找到文字字串，結果會顯示 UDM 欄位名稱和「可能的值相符」文字。

     

     圖 3：在「UDM 查詢」的「值」中搜尋。

4. 在結果清單中，您可以執行下列操作：

   • 按一下 UDM 欄位名稱，即可查看該欄位的說明。

   • 按一下每個 UDM 欄位名稱左側的核取方塊，選取一或多個結果。

   • 按一下「重設」按鈕，即可取消選取結果清單中的所有欄位。

5. 如要將所選結果附加至「搜尋」頁面的「搜尋」欄位，請執行下列其中一項操作：

   • 按一下「附加至搜尋」。

   • 按一下「複製 UDM」，將所選結果複製到剪貼簿。然後關閉「UDM Lookup」(UDM 查詢) 對話方塊，並將搜尋查詢字串貼到「Search」(搜尋) 頁面的「Search」(搜尋) 欄位。

   Google SecOps 會將所選結果轉換為搜尋查詢字串，做為 UDM 欄位名稱或名稱/值組合。如果附加多個結果，每個結果都會使用 OR 運算子，加到「搜尋」欄位中現有查詢的結尾。

   附加的查詢字串會因 UDM 查詢傳回的比對類型而異。

   • 如果結果與 UDM 欄位名稱中的字串相符，系統會將完整的 UDM 欄位名稱附加至查詢。例如：

     principal.artifact.network.dhcp.client_hostname

   • 如果結果與值開頭或結尾的文字字串相符，則名稱/值組合會包含 UDM 欄位名稱和結果中的完整值。以下是幾個範例：

     • metadata.log_type = "PCAP_DNS"

     • network.dns.answers.name = "dns-A901F3j.hat.example.com"

   • 如果結果包含「Possible value match」(可能的值相符) 文字，則名稱/值配對會包含 UDM 欄位名稱，以及含有搜尋字詞的規則運算式。例如：

     principal.process.file.full_path = /google/ NOCASE

6. 查詢 UDM 產生的查詢字串可做為搜尋查詢的起點。在「搜尋」頁面編輯「搜尋查詢」，以符合您的用途。

UDM 查詢行為摘要

本節將進一步說明 UDM 查詢功能。

• UDM 查詢功能會搜尋 2023 年 8 月 10 日後擷取的資料。系統不會搜尋在此之前擷取的資料。這項功能會傳回未經過擴充的 UDM 欄位中找到的結果。不會傳回已擴充欄位的相符項目。如要瞭解經過擴充和未經擴充的欄位，請參閱「在事件檢視器中查看事件」。
• 使用 UDM 查詢時，搜尋字詞不區分大小寫。hostname 傳回的結果與 HostName 相同。
• 搜尋「值」時，系統會忽略查詢字串中的連字號 (-) 和底線 (_)。文字字串 dns-l 和 dnsl 都會傳回 dns-l 值。

• 搜尋值時，UDM 查詢工具在下列情況不會傳回相符項目：

  符合下列 UDM 欄位：	metadata.product_log_id network.session_id security_result.rule_id network.parent_session_id
  比對 UDM 欄位中以下列其中一個值結尾的完整路徑：	.pid 例如：target.process.pid。 .asset_id 例如：principal.asset_id。 .product_specific_process_id 例如：principal.process.product_specific_process_id。 .resource.id 例如：principal.resource.id。

  
  

• 搜尋「值」時，如果符合下列情況，UDM 查詢工具會顯示「可能相符的值」：

  符合下列 UDM 欄位：	metadata.description security_result.description security_result.detection_fields.value security_result.summary network.http.user_agent
  比對完整路徑結尾為下列其中一個值的欄位：	.command_line 例如：principal.process.command_line。 .file.full_path 例如：principal.process.file.full_path。 .labels.value 例如：src.labels.value。 .registry.registry_key 例如：principal.registry.registry_key。 .url 例如：principal.url。
  比對欄位中以以下值開頭的完整路徑：	additional.fields.value. 例如：additional.fields.value.null_value。

在搜尋結果中查看快訊

如要查看快訊，請按一下「搜尋」頁面右上方的「快訊」分頁標籤 (位於「事件」分頁標籤旁)。

警示顯示方式

Google SecOps 會根據客戶環境中現有的快訊事件，評估搜尋結果中傳回的事件。如果搜尋查詢事件與快訊中的事件相符，就會顯示在「快訊時間軸」和「快訊」表格中。

事件和快訊的定義

事件是從擷取至 Google SecOps 的原始記錄來源產生，並由 Google SecOps 的擷取和正規化程序處理。單一原始記錄來源記錄可能會產生多個事件。事件代表一組與安全性相關的資料點，這些資料點是從原始記錄產生。

在搜尋中，快訊是指啟用快訊功能的 YARA-L 規則偵測。詳情請參閱依據即時資料執行規則。

其他資料來源可以警報形式擷取至 Google SecOps，例如 Crowdstrike Falcon 警報。除非 Google SecOps 偵測引擎將這些快訊處理為 YARA-L 規則，否則不會顯示在搜尋結果中。

如果事件與一或多則快訊相關聯，事件時間軸中會顯示「快訊」晶片。如果時間軸有多則相關快訊，資訊方塊會顯示相關快訊的數量。

時間軸會顯示從搜尋結果擷取的最新 1,000 則快訊。達到 1,000 則快訊的上限後，系統就不會再擷取快訊。如要確保看到所有與搜尋相關的結果，請使用篩選條件修正搜尋。

如何調查快訊

如要瞭解如何使用「快訊圖表」和「快訊詳細資料」調查快訊，請按照「調查快訊」一文中的步驟操作。

在 Google 搜尋中查看資料表列

你可以在 Google 搜尋中直接查看資料表列。在 YARA-L 搜尋中使用資料表時，結果可以參照與相符事件連結的資料表列。這些結果會顯示在「事件」分頁中。

在搜尋結果中，使用「資料欄管理工具」選擇要顯示的資料表和資料欄。

查看結果時，搜尋會顯示資料表及其資料列的目前狀態。

詳情請參閱「使用資料表」。

在搜尋中使用參照清單

您也可以在搜尋中套用規則中的參照清單。單一搜尋查詢最多可包含七份清單。系統支援所有類型的參照清單 (字串、規則運算式、CIDR)。

您可以建立要追蹤的任何變數清單。

舉例來說，您可以建立可疑 IP 位址清單：

// Field value exists in reference list
principal.ip IN %suspicious_ips

您可以使用 AND 或 OR 來使用多個清單：

// multiple lists can be used with AND or OR
principal.ip IN %suspicious_ips AND
principal.hostname IN %suspicious_hostnames

修正搜尋結果

您可以運用「搜尋」頁面的功能篩選及修正結果，不必修改並重新執行搜尋。例如：

• 時間軸圖表
• 匯總視窗

時間線圖

時間軸圖表會以圖形呈現目前搜尋結果中，每天發生的事件和警報數量。事件和快訊會顯示在同一時間軸圖表中，您可以在「事件」和「快訊」分頁中查看。

每個長條的寬度取決於搜尋的時間間隔。舉例來說，如果搜尋範圍涵蓋 24 小時的資料，每個長條就代表 10 分鐘。修改現有搜尋項目時，這個圖表會動態更新。

調整時間範圍

如要調整圖表的時間範圍，請左右移動白色滑桿控制項，即可調整時間範圍並專注於感興趣的期間。調整時間範圍時，「UDM 欄位和值」和「事件」表格會更新，反映目前選取範圍。您也可以點選圖表中的單一長條，只列出該時間範圍內的事件。

調整時間範圍後，系統會顯示「已篩選的事件」和「查詢事件」核取方塊，方便您進一步限制顯示的事件類型。

圖 4. 活動時間軸圖表，附有時間範圍控制項。

「匯總」視窗

「匯總」視窗會顯示 UDM 搜尋產生的「分組欄位」和「UDM 欄位」。分組欄位可用於搜尋多個類似類型的 UDM 欄位。

同組欄位 (例如 ip、namespace 或 user) 是預留位置變數，可將類似的 UDM 欄位值分組。舉例來說，namespace 分組欄位會將下列 UDM 欄位的所有值分組：principal.namespace、src.namespace 和 target.namespace。

每個「已分組的欄位」和「UDM 欄位」都會顯示「事件計數」。 「事件計數」是指該欄位具有相同值的事件記錄數。

「分組欄位」和「UDM 欄位」會依「事件計數」由高至低排序，相同「事件計數」則依字母順序排序。

如要將欄位固定在「匯總」清單頂端，請按一下欄位的「保留」圖示。

圖 5. 彙整有助於找出高頻率值。

您可以使用「彙整」進一步縮小 UDM 搜尋範圍。您可以捲動瀏覽 UDM 欄位清單，也可以使用「搜尋」欄位搜尋特定 UDM 欄位或值。

篩選匯總欄位

使用篩選器選項縮小「匯總」清單中顯示的 UDM 欄位清單範圍，方法如下：

圖 6：包含所選 UDM 欄位值的事件範例。

1. 在「Aggregations」(匯總) 清單中選取「UDM field」(UDM 欄位)，即可顯示該欄位的「Values」(值) 清單。

2. 從清單中選取「值」，然後按一下「更多」選單圖示 more_vert 。

3. 選取其中一個篩選選項：

   • 僅顯示：只顯示包含所選 UDM 欄位值的事件。
   • 篩除：篩除包含所選 UDM 欄位值的事件。
   • 複製：將 UDM 欄位值複製到剪貼簿。

您可以將這些額外的 UDM 篩選器新增至「篩選事件」欄位。

篩選事件欄位

「篩選事件」欄位會顯示您建立的篩選器，並允許您將篩選器套用至「搜尋」欄位，或視需要移除篩選器。

按一下「套用至搜尋並執行」後，系統會根據顯示的其他篩選條件篩選顯示的事件，並更新「搜尋」欄位。系統會使用相同的日期和時間參數，自動再次執行搜尋。

圖 7. 「篩選事件」欄位。

按一下「新增篩選器」，系統會開啟視窗，供您選取其他 UDM 欄位。

圖 8. 「篩選事件」視窗。

在「快訊」表格中查看快訊

如要查看快訊，請按一下「快訊」分頁標籤。

使用「匯總」依下列條件排序快訊：

• 案件
• 名稱
• 優先順序
• 嚴重性
• 狀態
• 判定結果

這樣一來，您就能專注處理最重要的快訊。

警報會顯示在「事件」分頁中，與事件的時間範圍相同。 這有助於您瞭解事件和快訊之間的關聯。

如要進一步瞭解特定快訊，請按一下該快訊。系統會開啟個別「快訊詳細資料」頁面，其中包含該快訊的詳細資訊。

在「Events」表格中查看事件

所有篩選器和控制項都會影響「事件」表格中顯示的事件清單。按一下任一事件即可開啟「事件檢視器」，查看原始記錄和對應的 UDM 記錄。按一下事件的 timestamp，即可前往相關的「資產」、「IP 位址」、「網域」、「雜湊」或「使用者」檢視畫面。您也可以使用「搜尋」欄位找出特定活動。

管理「事件」表格中的資料欄集

本節說明如何管理「事件」表格中的欄集。

如要設定「事件」表格中顯示的資料欄，請按照下列步驟操作：

1. 在「事件」表格頂端，按一下「欄」開啟「欄管理工具」。

2. 設定下列項目：

   • 按一下篩選器，指定是否要顯示不適用的資料欄。
   • 按一下「顯示所選」切換按鈕，即可在「事件資料欄」分頁中只顯示所選資料欄。
   • 在「事件資料欄」分頁中，從下列可收合的部分選取欄位：
     • 快速欄位：使用快速欄位，快速新增該資料類型最相關的 UDM 欄位。選取資料類型 (例如「主機名稱」)，即可將該資料類型最常見的 UDM 欄位新增為資料欄，例如「udm.principal.hostname」。
     • 同組欄位：瀏覽相關的 UDM 欄位。使用同組欄位，依類別尋找分組欄位。
     • 所有事件欄位：查看並選取完整事件欄位清單中的項目。
     • 所有實體欄位：查看並選取完整實體欄位清單中的欄位。

3. 選用：按一下「儲存」即可儲存資料欄組合。指定集合的名稱。輸入欄組合的名稱，然後再次按一下「儲存」。

載入已儲存的資料欄組合

如要載入已儲存的欄組合，請按照下列步驟操作：

1. 在「事件」表格頂端，按一下「欄」開啟「欄管理工具」。
2. 選取「欄組合」分頁標籤。
3. 選取要載入的資料欄集，然後按一下「套用」。

刪除已儲存的欄組合

如要刪除已儲存的資料欄組合，請按照下列步驟操作：

1. 在「事件」表格頂端，按一下「欄」開啟「欄管理工具」。
2. 選取「欄組合」分頁標籤。
3. 選取欄組合，然後依序點選「更多」more_vert「刪除」。

下載顯示的事件和原始記錄

您可以將顯示的事件 (包括原始記錄) 下載為 CSV 檔案，以便將標準化 UDM 事件與來源記錄建立關聯。

• 如要下載所有搜尋結果 (最多 100 萬個事件)，請按一下「更多」more_vert，然後選取「下載為 CSV」。

控制台會顯示確切的事件數量。

在事件檢視器中查看事件

如要開啟「事件檢視器」，請將指標懸停在「事件」表格中的事件上，然後按一下 switch_access_2 圖示。

「事件檢視器」包含下列分頁：

• 事件欄位
• 原始記錄
• 快訊
• 實體

「事件欄位」分頁

依預設，「事件欄位」分頁會以階層式樹狀結構顯示 UDM 事件欄位，並標示為「已選取」。

使用「事件欄位」分頁執行下列操作：

• 查看欄位定義。將指標懸停在欄位名稱上，即可查看定義。
• 釘選欄位，方便快速存取。在「已選取」清單中選取欄位，然後按一下「保留」 圖示 。 。該欄位隨即會顯示在「已釘選」清單中。欄位會保留在「已選取」清單中，並以點分隔的標記法顯示在「已釘選清單」中的階層，且會加上 udm 前置字元 (例如 udm.metadata.event_type)。
• 新增至資料欄或複製多個欄位。勾選節點或欄位旁的核取方塊，然後選擇「新增至資料欄」或「複製」。

• 請執行下列動作：

  • 篩選器：對「已選取」清單套用下列篩選器：

  • 顯示未經補充的欄位

  • 顯示經過補充的欄位

  • 顯示更多欄位

  • 顯示擷取的欄位

  • 新增至資料欄：將 UDM 欄位新增為資料欄。

  • 複製：將所選 UDM 欄位和 UDM 值複製到系統剪貼簿。

每個 UDM 欄位都會標上圖示，指出欄位是否包含經過或未經擴充的資料。圖示標籤如下：

• U：未擴充的欄位包含在正規化程序中填入的值，這些值來自原始原始記錄。

• E：擴充欄位包含 Google SecOps 填入的值，可提供客戶環境中構件的額外背景資訊。詳情請參閱「使用 Google SecOps 擴充事件和實體資料」。

  每個經過補充的欄位都會顯示所有相關聯的來源。這項資訊有助於驗證和疑難排解，也可能用於稽核和法規遵循用途。您也可以根據擴充來源篩選欄位。

圖 9. 「事件檢視器」的「事件欄位」分頁中，顯示經過補充和未經補充的 UDM 欄位，以及經過補充的欄位來源。

圖 10. 在「事件欄位」分頁中，使用篩選器依據各種屬性顯示或隱藏欄位。

「原始記錄」分頁

「原始記錄」分頁會以下列任一格式顯示原始登入記錄：

• 原始
• JSON
• XML
• CSV
• 十六進位/ASCII

快訊分頁

「快訊」分頁會顯示與事件相關聯的快訊。

「實體」分頁

「實體」分頁會顯示與活動相關聯的實體。

按一下實體，即可顯示「實體內容」對話方塊，其中可能包含下列項目：

• 資產名稱
• 首次出現時間
• 上次出現時間
• IP 位址
• MAC 位址
• 快訊數量
• 警告數量最多 (按規則)
• 快訊趨勢長條圖
• 開啟「快訊與 IOC」連結
• 「在警告分頁中查看」連結

使用樞紐分析表分析事件

您可以使用資料透視表，根據搜尋結果，透過運算式和函式分析事件。

請完成下列步驟，開啟及設定樞紐分析表：

1. 執行搜尋。

2. 按一下「樞紐」分頁標籤，開啟資料透視表。

3. 指定「Group by」(依據分組) 值，依特定 UDM 欄位將事件分組。 您可以選取選單中的「小寫」，以預設大寫格式或全小寫格式顯示結果。這個選項僅適用於字串欄位。按一下「新增欄位」，最多可指定五個「分組依據」值。

   如果「Group by」(分組依據) 值是主機名稱欄位之一，您可以使用下列其他轉換選項：

   • 前 N 個層級的網域：選擇要顯示的網域層級。 舉例來說，如果使用值 1，系統只會顯示頂層網域 (例如 com、gov 或 edu)。如果使用值 3，系統會顯示網域名稱的下兩個層級 (例如 google.co.uk)。
   • 取得已註冊網域：只顯示已註冊的網域名稱 (例如 google.com、nytimes.com、youtube.com)。

   如果「分組依據」值是 IP 欄位之一，您可以使用下列其他轉換選項：

   • (IP) CIDR 前置長度 (以位元為單位)：您可以為 IPv4 位址指定 1 到 32。如果是 IPv6 位址，最多可以指定 128 個值。

   如果「Group by」(分組依據) 值包含時間戳記，您可以使用下列其他轉換選項：

   • (時間) 解析度 (以毫秒為單位)
   • (時間) 解決問題的時間 (以秒為單位)
   • (時間) 解決問題的時間 (分鐘)
   • (時間) 解決問題的時間 (以小時為單位)
   • (時間) 解決問題的天數

4. 從結果的「欄位」清單中，為樞紐指定值。最多可指定五個值。指定欄位後，您必須選取「摘要」選項。你可以選擇下列任一選項來產生摘要：

   • sum
   • count
   • count distinct
   • 平均
   • stddev
   • 分鐘
   • max

5. 指定「事件計數」值，即可傳回系統為這項特定搜尋和樞紐分析表識別的事件數量。

   「摘要」選項不一定與「分組依據」欄位相容。舉例來說，「總和」、「平均」、「標準差」、「最小值」和「最大值」選項只能套用至數值欄位。如果嘗試將不相容的「摘要」選項與「依據分組」欄位建立關聯，就會收到錯誤訊息。

6. 指定一或多個 UDM 欄位，然後使用「排序依據」選項選取一或多個排序方式。

7. 準備就緒後，按一下「套用」。結果會顯示在樞紐分析表中。

8. 選用：如要下載樞紐分析表，請按一下「更多」more_vert，然後選取「下載為 CSV」。如果未選取樞紐，這個選項就會停用。

已儲存的搜尋查詢和搜尋記錄總覽

按一下「搜尋管理工具」即可擷取已儲存的搜尋項目，並查看搜尋記錄。選取已儲存的搜尋，即可查看其他資訊，包括標題和說明。

已儲存的搜尋查詢和搜尋記錄：

• 儲存在 Google SecOps 帳戶中。

• 除非使用「共用搜尋」功能與貴機構共用搜尋，否則只有使用者本人可以查看及存取。

儲存搜尋

如要儲存搜尋，請按照下列步驟操作：

1. 在「搜尋」頁面中，按一下「執行搜尋」旁的「更多」圖示 more_horiz，然後按一下「儲存搜尋」，即可在日後使用這項搜尋。系統會開啟「搜尋管理員」對話方塊。建議您為已儲存的搜尋查詢命名，並以純文字說明搜尋內容。您也可以在「搜尋管理工具」對話方塊中，按一下「新增」add，建立新的搜尋。您也可以在這裡使用標準 UDM 編輯和完成工具。

2. 選用：以 ${<variable name>} 格式指定預留位置變數，格式與 YARA-L 變數相同。如果搜尋內容中加入變數，請務必提供提示，協助使用者瞭解執行搜尋前必須輸入的資訊。執行搜尋前，所有變數都必須填入值。

   舉例來說，您可以在搜尋內容中加入 metadata.vendor_name = ${vendor_name}。如要使用 ${vendor_name}，請務必為日後的使用者新增提示，例如 Enter the name of the vendor for your search。日後使用者載入這項搜尋時，系統會提示他們輸入供應商名稱，然後再執行搜尋。

3. 完成後，按一下「儲存編輯內容」。

4. 如要查看已儲存的搜尋，請按一下「搜尋管理工具」，然後點選「已儲存」分頁。

擷取已儲存的搜尋

如要擷取及執行已儲存的搜尋，請按照下列步驟操作：

1. 在「搜尋管理員」對話方塊中，從左側清單選取已儲存的搜尋查詢。這些已儲存的搜尋查詢會儲存到您的 Google SecOps 帳戶。

2. 選用：如要刪除搜尋記錄，請依序按一下「更多」圖示 more_horiz 和「刪除搜尋」。你只能刪除自己建立的搜尋查詢。

3. 您可以變更搜尋名稱和說明。完成後，請按一下「儲存編輯內容」。

4. 按一下「載入搜尋」。搜尋內容會載入至主要搜尋欄位。

5. 按一下「執行搜尋」，即可查看與這項搜尋相關聯的事件。

從搜尋記錄中擷取搜尋查詢

如要從搜尋記錄中擷取並執行搜尋，請按照下列步驟操作：

1. 在搜尋管理工具中，按一下「記錄」。

2. 從搜尋記錄中選取一筆搜尋記錄。搜尋記錄會儲存在 Google SecOps 帳戶中。如要刪除搜尋項目，請按一下「刪除」delete。

3. 按一下「載入搜尋」。搜尋內容會載入至主要搜尋欄位。

4. 按一下「執行搜尋」，即可查看與這項搜尋相關的事件。

清除、停用或啟用搜尋記錄

如要清除、停用或啟用搜尋記錄，請按照下列步驟操作：

1. 在搜尋管理工具中，按一下「記錄」分頁標籤。

2. 按一下「更多」more_vert。

3. 選取「清除記錄」即可清除搜尋記錄。

4. 按一下「停用記錄」即可停用搜尋記錄。你可以選擇：

   • 僅選擇停用：停用搜尋記錄。

   • 停用並清除：停用搜尋記錄並刪除已儲存的搜尋記錄。

5. 如果先前停用了搜尋記錄，可以點選「啟用搜尋記錄」再次啟用。

6. 按一下「關閉」即可退出「搜尋管理工具」。

分享搜尋結果

共用搜尋可讓您與團隊分享搜尋內容。在「已儲存」分頁中，你可以分享或刪除搜尋記錄。你也可以點按搜尋列旁邊的「篩選器」圖示 filter_alt，然後依「顯示全部」、「Google SecOps 定義」、「我撰寫」或「共用」篩選搜尋結果。

您無法編輯非自己建立的共用搜尋。

1. 按一下「已儲存」。
2. 按一下要分享的搜尋結果。
3. 按一下搜尋結果右側的「更多」more_horiz。系統會顯示對話方塊，並提供分享搜尋內容的選項。
4. 按一下「與貴機構共用」。
5. 系統會顯示對話方塊，指出貴機構使用者可以查看您分享的搜尋內容。確定要分享嗎？按一下「共用」。

如要讓搜尋記錄只對你可見，請按一下「更多」圖示 more_horiz，然後按一下「停止分享」。如果停止共用，只有您能使用這項搜尋。

可從平台下載為 CSV 檔案的 UDM 欄位

如要瞭解支援及不支援下載的 UDM 欄位，請參閱下列小節。

支援的欄位

您可以從平台將下列欄位下載為 CSV 檔案：

• 使用者

• 主機名稱

• 程序名稱

• 事件類型

• 時間戳記

• 原始記錄檔 (僅在為客戶啟用原始記錄檔時有效)

• 開頭為 udm.additional 的所有欄位

有效欄位類型

您可以將下列欄位類型下載為 CSV 檔案：

• 雙精度值

• 浮點數

• int32

• uint32

• int64

• uint64

• bool

• 字串

• enum

• 位元組

• google.protobuf.Timestamp

• google.protobuf.Duration

不支援的欄位

如果欄位以「udm」開頭 (不是 udm.additional)，且符合下列任一條件，就無法下載為 CSV 檔案：

• udm proto 中的欄位巢狀結構深度超過 10。

• 資料類型為 Message 或 Group。

限制搜尋結果的因素

執行 UDM 搜尋時，下列因素可能會限制傳回的結果數量：

• 總結果數超過 100 萬：搜尋結果會限制為 100 萬個事件。如果結果超過 100 萬筆，系統只會顯示 100 萬筆結果。

• 透過搜尋設定將平台中的結果限制為 100 萬筆以下：您可以將預設搜尋結果集設定為傳回少於 100 萬筆結果，藉此提升查詢速度。如果設為 <1M，您會看到較少的結果。根據預設，SecOps 搜尋會將結果數量限制為 3 萬筆，但您可以在「結果」頁面使用搜尋設定，將結果數量上限變更為 100 萬筆。

• 搜尋結果最多只會顯示 1 萬筆：即使搜尋結果超過 1 萬筆，控制台也只會顯示前 1 萬筆。控制台的這項限制並未反映可能的結果總數。

後續步驟

如要瞭解如何在搜尋中使用情境豐富資料，請參閱「在搜尋中使用情境豐富資料」。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。