UDM-Suche

Mit der UDM-Suchfunktion können Sie UDM-Ereignisse (Unified Data Model) und Benachrichtigungen in Ihrer Google Security Operations-Instanz finden. Die UDM-Suche enthält eine Vielzahl von Suchoptionen, die Ihnen die Navigation durch Ihre UDM-Daten erleichtern. Sie können nach einzelnen UDM-Ereignissen und Gruppen von UDM-Ereignissen suchen, die mit freigegebenen Suchbegriffen verknüpft sind.

Auf Systemen, die RBAC für Daten verwenden, können Sie nur Daten sehen, die Ihren Bereichen entsprechen. Weitere Informationen finden Sie im Hilfeartikel Auswirkungen von RBAC auf Daten in der Google Suche.

Kunden von Google Security Operations können Benachrichtigungen auch über connectors und Webhooks aufnehmen. Sie können auch die UDM-Suche verwenden, um diese Benachrichtigungen zu finden.

Weitere Informationen zu UDM finden Sie unter Logdaten als UDM formatieren und Liste der Felder für einheitliche Datenmodell.

Auf UDM-Suche zugreifen

Klicken Sie in der Navigationsleiste auf Search (Suchen), um auf die UDM-Suche von Google Security Operations zuzugreifen. Sie können auch auf die UDM-Suche zugreifen, indem Sie ein gültiges UDM-Feld aus einem beliebigen Suchfeld in Google Security Operations eingeben und Strg + Eingabetaste drücken.

Eine Liste aller gültigen UDM-Felder finden Sie unter Liste der Felder für einheitliche Datenmodell.

Abbildung 1. UDM-Suche

Abbildung 2. UDM-Suchfenster, das mit Strg + Eingabetaste geöffnet wird

UDM-Suche eingeben

Führen Sie die folgenden Schritte aus, um eine UDM-Suche in das Feld UDM-Suche einzugeben. Wenn Sie eine UDM-Suche eingegeben haben, klicken Sie auf Suche ausführen. In der Benutzeroberfläche von Google Security Operations können Sie nur einen gültigen UDM-Suchausdruck eingeben. Sie können auch den Zeitraum für die Suche anpassen, indem Sie das Zeitraumfenster öffnen.

Wenn Ihre Suche zu weit gefasst ist, gibt Google Security Operations eine Warnmeldung zurück, dass nicht alle Suchergebnisse angezeigt werden können. Verkleinern Sie den Umfang der Suche und führen Sie sie noch einmal aus. Wenn eine Suche zu weit gefasst ist, gibt Google Security Operations die neuesten Ergebnisse bis zum Suchlimit (eine Million Ereignisse und 1.000 Benachrichtigungen) zurück. Möglicherweise gibt es deutlich mehr Ereignisse und Benachrichtigungen, die übereinstimmen, aber derzeit nicht angezeigt werden. Berücksichtigen Sie dies bei der Analyse der Ergebnisse. Google empfiehlt, zusätzliche Filter anzuwenden und die ursprüngliche Suche so lange auszuführen, bis Sie unter dem Limit liegen. Wenden Sie stattdessen zusätzliche Filter an und führen Sie die ursprüngliche Suche noch einmal aus, bis Sie unter dem Limit liegen.

Abbildung 3: Suche starten

UDM-Abfragen basieren auf UDM-Feldern, die alle in der Feldliste für einheitliche Datenmodelle aufgeführt sind. Sie können UDM-Felder auch im Kontext von Suchen ansehen, indem Sie Filter oder die Rohlogsuche verwenden.

1. Geben Sie einen UDM-Feldnamen in das Suchfeld ein, um nach Ereignissen zu suchen. Die Benutzeroberfläche umfasst eine automatische Vervollständigung und zeigt gültige UDM-Felder auf Grundlage Ihrer Eingabe an.

2. Nachdem Sie ein gültiges UDM-Feld eingegeben haben, wählen Sie einen gültigen Operator aus. Auf der Benutzeroberfläche werden die verfügbaren gültigen Operatoren basierend auf dem eingegebenen UDM-Feld angezeigt. Folgende Operatoren werden unterstützt:

   • <, >
   • <=, >=
   • =, !=
   • nocase – wird für Strings unterstützt

3. Nachdem Sie ein gültiges UDM-Feld und einen gültigen Operator eingegeben haben, geben Sie die entsprechenden Logdaten ein, nach denen Sie suchen. Die folgenden Datentypen werden unterstützt:

   • Enumerated values:Auf der Benutzeroberfläche wird eine Liste gültiger Aufzählungswerte für ein bestimmtes UDM-Feld angezeigt.

     Beispiel (doppelte Anführungszeichen und ausschließlich Großbuchstaben): metadata.event_type = "NETWORK_CONNECTION"

   • Zusätzliche Werte:Mit „field[key] = value“ können Sie in zusätzlichen Feldern und Labels nach Ereignissen suchen.

     Beispiel: additional.fields["key"]="value"

   • Boolesche Werte: Sie können true oder false verwenden. Bei allen Zeichen wird die Groß- und Kleinschreibung nicht berücksichtigt und das Keyword wird nicht in Anführungszeichen gesetzt.

     Beispiel: network.dns.response = true

   • Ganzzahlen

     Beispiel: target.port = 443

   • Gleitkommazahlen:Geben Sie für UDM-Felder vom Typ float einen Gleitkommawert wie 3.1 ein. Sie können auch eine Ganzzahl wie 3 eingeben. Dies entspricht der Eingabe von 3.0.

     Beispiel: security_result.about.asset.vulnerabilities.cvss_base_score = 3.1 oder security_result.about.asset.vulnerabilities.cvss_base_score = 3

   • Reguläre Ausdrücke: (regulärer Ausdruck muss zwischen Schrägstrichen (/) stehen)

     Beispiel: principal.ip = /10.*/

     Weitere Informationen zu regulären Ausdrücken finden Sie auf der Seite zu regulären Ausdrücken.

   • Strings

     Beispiel (doppelte Anführungszeichen müssen verwendet werden): metadata.product_name = "Google Cloud VPC Flow Logs"

4. Mit dem Operator nocase können Sie nach einer beliebigen Kombination von Versionen eines bestimmten Strings in Groß- und Kleinschreibung suchen:

   • principal.hostname != "http-server" nocase
   • principal.hostname = "JDoe" nocase
   • principal.hostname = /dns-server-[0-9]+/ nocase

5. Umgekehrte Schrägstriche und doppelte Anführungszeichen in Strings müssen mit einem umgekehrten Schrägstrich maskiert werden. Beispiel:

   • principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
   • target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""

6. Sie können boolesche Ausdrücke verwenden, um den möglichen Bereich der angezeigten Daten weiter einzugrenzen. Die folgenden Beispiele veranschaulichen einige Arten von unterstützten booleschen Ausdrücken (die booleschen Operatoren AND, OR und NOT können verwendet werden):

   • A AND B
   • A OR B
   • (A OR B) AND (B OR C) AND (C OR NOT D)

   Die folgenden Beispiele veranschaulichen, wie die tatsächliche Syntax aussehen könnte:

   Anmeldeereignisse im Finanzserver:

   metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"

   Beispiel für die Verwendung eines regulären Ausdrucks für die Suche nach der Ausführung des Tools psexec.exe unter Windows.

   target.process.command_line = /\bpsexec(.exe)?\b/ nocase

   Beispiel für die Verwendung des Mehr-als-Operators (>), um nach Verbindungen zu suchen, bei denen mehr als 10 MB Daten gesendet wurden.

   metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000

   Beispiel für die Verwendung mehrerer Bedingungen für die Suche nach Winword, das cmd.exe oder Powershell.exe startet.

       metadata.event_type = "PROCESS_LAUNCH" and
       principal.process.file.full_path = /winword/ and
       (target.process.file.full_path = /cmd.exe/ or
       target.process.file.full_path = /powershell.exe/)

7. Sie können die UDM-Suche auch verwenden, um in den Feldern „Zusätzliche“ und „Label“ nach bestimmten Schlüssel/Wert-Paaren zu suchen.

   Die Felder „Zusätzliche“ und „Label“ werden als anpassbare Option zum Auffangen von Ereignisdaten verwendet, die in kein standardmäßiges UDM-Feld passen. Zusätzliche Felder können mehrere Schlüssel/Wert-Paare enthalten. Labelfelder dürfen nur ein einziges Schlüssel/Wert-Paar enthalten. Jede Instanz des Felds enthält jedoch nur einen Schlüssel und einen Wert. Der Schlüssel muss in Klammern und der Wert auf der rechten Seite stehen.

   Die folgenden Beispiele zeigen, wie nach Ereignissen gesucht wird, die bestimmte Schlüssel/Wert-Paare enthalten:

       additional.fields["pod_name"] = "kube-scheduler"
       metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"

   Das folgende Beispiel zeigt, wie der UND-Operator bei Suchen mit Schlüssel/Wert-Paaren verwendet wird:

       additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"

   Mit der folgenden Syntax können Sie nach allen Ereignissen suchen, die den angegebenen Schlüssel enthalten (unabhängig vom Wert).

       additional.fields["pod_name"] != ""

   Sie können auch reguläre Ausdrücke und den Operator nocase verwenden:

       additional.fields["pod_name"] = /br/
       additional.fields["pod_name"] = bar nocase

8. Sie können auch blockierende und einzeilige Kommentare verwenden.

   Das folgende Beispiel zeigt, wie ein Blockkommentar verwendet wird:

       additional.fields["pod_name"] = "kube-scheduler"
       /*
       Block comments can span
       multiple lines.
       */
       AND additional.fields["pod_name1"] = "kube-scheduler1"

   Das folgende Beispiel zeigt, wie ein einzeiliger Kommentar verwendet wird:

       additional.fields["pod_name"] != "" // my single-line comment

9. Klicken Sie auf Suche ausführen, um die UDM-Suche auszuführen und die Ergebnisse anzuzeigen.

10. Ereignisse werden auf der Seite UDM-Suche in der Ereigniszeitachse angezeigt. Sie können die Ergebnisse weiter eingrenzen, indem Sie zusätzliche UDM-Felder manuell oder über die Benutzeroberfläche hinzufügen.

Gruppierte Felder suchen

Gruppierte Felder sind Aliasse für Gruppen verwandter UDM-Felder. Sie können damit mehrere UDM-Felder gleichzeitig abfragen, ohne jedes Feld einzeln eingeben zu müssen.

Das folgende Beispiel zeigt, wie Sie eine Abfrage eingeben, um die gängigen UDM-Felder abzugleichen, die die angegebene IP-Adresse enthalten könnten:

    ip = "1.2.3.4"

Sie können ein gruppiertes Feld mithilfe eines regulären Ausdrucks und des Operators nocase abgleichen. Referenzlisten werden ebenfalls unterstützt. Gruppierte Felder können auch in Kombination mit regulären UDM-Feldern verwendet werden, wie im folgenden Beispiel gezeigt:

    ip = "5.6.7.8" AND metadata.event_type = "NETWORK_CONNECTION"

Gruppierte Felder haben in Schnellfilter einen separaten Abschnitt.

Arten gruppierter UDM-Felder

Sie können in allen folgenden gruppierten UDM-Feldern suchen:

Name des gruppierten Felds	Verknüpfte UDM-Felder
Domain	about.administrative_domain about.asset.network_domain network.dns.questions.name network.dns_domain principal.administrative_domain principal.asset.network_domain target.administrative_domain target.asset.hostname target.asset.network_domain target.hostname
E-Mail	intermediary.user.email_addresses network.email.from network.email.to principal.user.email_addresses security_result.about.user.email_addresses target.user.email_addresses
file_path	principal.file.full_path principal.process.file.full_path principal.process.parent_process.file.full_path target.file.full_path target.process.file.full_path target.process.parent_process.file.full_path
Hash	about.file.md5 about.file.sha1 about.file.sha256 principal.process.file.md5 principal.process.file.sha1 principal.process.file.sha256 security_result.about.file.sha256 target.file.file.md5
Hostname	intermediary.hostname observer.hostname principal.asset.hostname principal.hostname src.asset.hostname src.hostname target.asset.hostname target.hostname
ip	intermediary.ip observer.ip principal.artifact.ip principal.asset.ip principal.ip src.artifact.ip src.asset.ip src.ip target.artifact.ip target.asset.ip target.ip
Namespace	principal.namespace src.namespace target.namespace
process_id	principal.process.parent_process.pid principal.process.parent_process.product_specific_process_id principal.process.pid principal.process.product_specific_process_id target.process.parent_process.pid target.process.parent_process.product_specific_process.process_id.
Nutzer	about.user.userid observer.user.userid principal.user.user_display_name principal.user.userid principal.user.windows_sid src.user.userid target.user.user_display_name target.user.userid target.user.windows_s

UDM-Feld für die Suchanfrage finden

Beim Schreiben einer UDM-Suchabfrage wissen Sie möglicherweise nicht, welches UDM-Feld verwendet werden soll. Mit UDM-Suche können Sie schnell einen UDM-Feldnamen finden, der einen Textstring im Namen enthält oder einen bestimmten Stringwert speichert. Er ist nicht für die Suche nach anderen Datentypen wie Byte, booleschen oder numerischen Werten vorgesehen. Sie wählen ein oder mehrere von UDM Lookup zurückgegebene Ergebnisse als Ausgangspunkt für eine UDM-Suchanfrage aus.

So verwenden Sie UDM Lookup:

1. Geben Sie auf der Seite UDM-Suche einen Textstring in das Feld UDM-Felder nach Wert suchen ein und klicken Sie dann auf UDM-Suche.

2. Wählen Sie im Dialogfeld UDM-Suche eine oder mehrere der folgenden Optionen aus, um den Bereich der zu durchsuchenden Daten anzugeben:

   • UDM-Felder: Suchen Sie nach Text in UDM-Feldnamen, z. B. network.dns.questions.name oder principal.ip.
   • Werte: Suchen Sie nach Text in den Werten, die UDM-Feldern zugewiesen sind, z. B. dns oder google.com.

3. Geben Sie die Zeichenfolge in das Suchfeld ein oder ändern Sie sie. Während der Eingabe werden die Suchergebnisse im Dialogfeld angezeigt.

   Bei der Suche in UDM-Feldern und Werten weichen die Ergebnisse geringfügig ab. Wenn Sie in Werte nach Text suchen, erhalten Sie folgende Ergebnisse:

   • Wenn der String am Anfang oder Ende des Werts gefunden wird, wird er zusammen mit dem UDM-Feldnamen und dem Zeitpunkt der Logaufnahme im Ergebnis hervorgehoben.
   • Wenn der Textstring an einer anderen Stelle im Wert gefunden wird, werden im Ergebnis der UDM-Feldname und der Text Mögliche Wertübereinstimmung angezeigt.

   

   In Werten in UDM Lookup suchen

   • Bei der Suche nach einem Textstring in UDM-Feldnamen gibt UDM Lookup eine genaue Übereinstimmung an einer beliebigen Stelle im Namen zurück.

   

   In UDM-Feldern in UDM Lookup suchen

4. In der Ergebnisliste haben Sie folgende Möglichkeiten:

   • Klicken Sie auf den Namen eines UDM-Felds, um eine Beschreibung dieses Felds aufzurufen.

   • Wählen Sie ein oder mehrere Ergebnisse aus, indem Sie das Kästchen links neben jedem UDM-Feldnamen anklicken.

   • Klicken Sie auf die Schaltfläche Zurücksetzen, um die Auswahl aller ausgewählten Felder in der Ergebnisliste aufzuheben.

5. Klicken Sie auf die Schaltfläche Append to search (An Suche anfügen), um die ausgewählten Ergebnisse an das Feld UDM-Suche anzuhängen.

   Sie können das ausgewählte Ergebnis auch mit der Schaltfläche Copy UDM kopieren, dann das Dialogfeld UDM Lookup schließen und den Abfragestring in das Feld UDM-Suche einfügen.

   Google Security Operations konvertiert das ausgewählte Ergebnis in einen UDM-Suchabfragestring als UDM-Feldname oder als Name/Wert-Paar. Wenn Sie mehrere Ergebnisse anhängen, wird jedes Ergebnis an das Ende einer vorhandenen Abfrage im Feld für die UDM-Suche mit dem Operator OR angehängt.

   Der angehängte Abfragestring ist abhängig von der Art der Übereinstimmung, die von der UDM-Suche zurückgegeben wird.

   • Wenn das Ergebnis mit einem Textstring in einem UDM-Feldnamen übereinstimmt, wird der vollständige UDM-Feldname an die Abfrage angehängt. Hier ein Beispiel:

     principal.artifact.network.dhcp.client_hostname

   • Wenn das Ergebnis mit einem Textstring am Anfang oder Ende eines Werts übereinstimmt, enthält das Name/Wert-Paar den UDM-Feldnamen und den vollständigen Wert im Ergebnis. Hier einige Beispiele:

     metadata.log_type = "PCAP_DNS"

     network.dns.answers.name = "dns-A901F3j.hat.example.com"

   • Wenn das Ergebnis den Text Mögliche Wertübereinstimmung enthält, enthält das Name/Wert-Paar den UDM-Feldnamen und einen regulären Ausdruck mit dem Suchbegriff. Hier ein Beispiel:

     principal.process.file.full_path = /google/ NOCASE

6. Bearbeiten Sie die UDM-Suchabfrage entsprechend Ihrem Anwendungsfall. Der von UDM-Lookup generierte Abfragestring ist ein Ausgangspunkt für das Schreiben einer vollständigen UDM-Suchabfrage.

Zusammenfassung des UDM-Lookup-Verhaltens

In diesem Abschnitt finden Sie weitere Informationen zu den UDM-Lookup-Funktionen.

• Daten zu UDM Lookup-Suchanfragen, die nach dem 10. August 2023 aufgenommen wurden. Daten, die vor diesem Datum aufgenommen wurden, werden nicht durchsucht. Sie gibt Ergebnisse aus nicht angereicherten UDM-Feldern zurück. Es werden keine Übereinstimmungen mit angereicherten Feldern zurückgegeben. Informationen zu angereicherten und nicht angereicherten Feldern finden Sie unter Ereignisse in der Ereignisanzeige ansehen.
• Bei Suchen mit UDM Lookup wird die Groß-/Kleinschreibung nicht berücksichtigt. Der Begriff hostname gibt das gleiche Ergebnis zurück wie HostName.
• Bindestriche (-) und Unterstriche (_) in einem Abfragetextstring werden bei der Suche nach Werten ignoriert. Der Textstring dns-l und dnsl geben beide den Wert dns-l zurück.

• Bei der Suche nach Werten gibt die UDM-Suche in den folgenden Fällen keine Übereinstimmungen zurück:

  Übereinstimmungen in den folgenden UDM-Feldern:	metadata.product_log_id network.session_id security_result.rule_id network.parent_session_id
  Übereinstimmungen in UDM-Feldern mit einem vollständigen Pfad, der mit einem der folgenden Werte endet:	.pid Beispiel: target.process.pid. .asset_id Beispiel: principal.asset_id. .product_specific_process_id Beispiel: principal.process.product_specific_process_id. .resource.id Beispiel: principal.resource.id.

• Bei der Suche nach Werten zeigt UDM Lookup die Meldung Mögliche Wertübereinstimmung im Ergebnis an, wenn in den folgenden Fällen eine Übereinstimmung gefunden wird:

  Übereinstimmungen in den folgenden UDM-Feldern:	metadata.description security_result.description security_result.detection_fields.value security_result.summary network.http.user_agent
  Übereinstimmung mit Feldern mit einem vollständigen Pfad, der mit einem der folgenden Werte endet:	.command_line Beispiel: principal.process.command_line. .file.full_path Beispiel: principal.process.file.full_path. .labels.value Beispiel: src.labels.value. .registry.registry_key Beispiel: principal.registry.registry_key. .url Beispiel: principal.url.
  Übereinstimmung mit Feldern mit einem vollständigen Pfad, der mit den folgenden Werten beginnt:	additional.fields.value. Beispiel: additional.fields.value.null_value.

Benachrichtigungen in der UDM-Suche ansehen

Klicken Sie zum Ansehen der Benachrichtigungen auf der Seite UDM-Suche rechts neben dem Tab Ereignisse auf den Tab Benachrichtigungen.

Anzeige von Benachrichtigungen

Google Security Operations wertet die bei der UDM-Suche zurückgegebenen Ereignisse anhand von Ereignissen aus, die für Benachrichtigungen in der Kundenumgebung vorhanden sind. Wenn ein Suchanfrageereignis mit einem in einer Benachrichtigung vorhandenen Ereignis übereinstimmt, wird es auf der Zeitachse der Benachrichtigungen und in der entsprechenden Benachrichtigungstabelle angezeigt.

Definition von Ereignissen und Benachrichtigungen

Ein Ereignis wird aus einer Rohprotokollquelle generiert, die in Google Security Operations aufgenommen und im Rahmen des Aufnahme- und Normalisierungsprozesses von Google Security Operations verarbeitet wird. Aus einem einzelnen Rohprotokollquelleintrag können mehrere Ereignisse generiert werden. Ein Ereignis ist eine Reihe von sicherheitsrelevanten Datenpunkten, die aus diesem Rohprotokoll generiert werden.

Bei einer UDM-Suche wird eine Benachrichtigung als YARA-L-Regelerkennung mit aktivierter Benachrichtigung definiert. Weitere Informationen finden Sie unter Regel für Livedaten ausführen.

Andere Datenquellen können in Google Security Operations als Benachrichtigungen aufgenommen werden, z. B. Crowdstrike Falcon Alerts. Diese Benachrichtigungen werden in der UDM-Suche nur angezeigt, wenn sie von der Google Security Operations Detection Engine als YARA-L-Regel verarbeitet werden.

Ereignisse, die mit einer oder mehreren Benachrichtigungen verknüpft sind, sind auf der Ereigniszeitachse mit einem Benachrichtigungs-Chip gekennzeichnet. Wenn der Zeitachse mehrere Benachrichtigungen zugeordnet sind, zeigt der Chip die Anzahl der zugehörigen Benachrichtigungen an.

Auf der Zeitachse werden die 1.000 zuletzt aus den Suchergebnissen abgerufenen Benachrichtigungen angezeigt. Wenn das Limit von 1.000 erreicht ist, werden keine Benachrichtigungen mehr abgerufen. Damit du alle für deine Suche relevanten Ergebnisse siehst, kannst du deine Suche mit Filtern verfeinern.

So prüfen Sie eine Benachrichtigung

Wie Sie eine Benachrichtigung mithilfe der Benachrichtigungsgrafik und Benachrichtigungsdetails untersuchen können, wird unter Benachrichtigungen untersuchen beschrieben.

Referenzlisten in UDM-Suchen verwenden

Das Verfahren zum Anwenden von Referenzlisten in Regeln kann auch bei der Suche angewendet werden. Eine einzelne Suchanfrage kann bis zu sieben Listen enthalten. Alle Arten von Referenzlisten (String, regulärer Ausdruck, CIDR) werden unterstützt.

Sie können Listen aller Variablen erstellen, die Sie erfassen möchten. Sie könnten beispielsweise eine Liste mit verdächtigen IP-Adressen erstellen:

// Field value exists in reference list
principal.ip IN %suspicious_ips

Mit AND oder OR können Sie mehrere Listen verwenden:

// multiple lists can be used with AND or OR
principal.ip IN %suspicious_ips AND
principal.hostname IN %suspicious_hostnames

Suchergebnisse verfeinern

Sie können die Benutzeroberfläche für die UDM-Suche verwenden, um Ergebnisse zu filtern und zu verfeinern, anstatt die UDM-Suche zu ändern und die Suche noch einmal auszuführen.

Zeitachsendiagramm

Das Zeitachsendiagramm bietet eine grafische Darstellung der Anzahl der an jedem Tag auftretenden Ereignisse und Benachrichtigungen, die bei der aktuellen UDM-Suche angezeigt werden. Ereignisse und Benachrichtigungen werden im selben Zeitachsendiagramm angezeigt, das sowohl auf dem Tab Ereignisse als auch auf dem Tab Benachrichtigungen verfügbar ist.

Die Breite jedes Balkens hängt vom Zeitintervall der Suche ab. Beispielsweise steht jeder Balken für 10 Minuten, wenn die Suche Daten aus 24 Stunden umfasst. Dieses Diagramm wird dynamisch aktualisiert, wenn Sie die vorhandene UDM-Suche ändern.

Zeitraumanpassung

Sie können den Zeitraum für das Diagramm anpassen, indem Sie die weißen Schieberegler nach links und rechts bewegen, um den Zeitraum anzupassen und den gewünschten Zeitraum auszuwählen. Wenn Sie den Zeitraum anpassen, werden die Tabellen mit den UDM-Feldern, -Werten und -Ereignissen entsprechend der aktuellen Auswahl aktualisiert. Sie können auch auf einen Balken in der Grafik klicken, um nur die Ereignisse in diesem Zeitraum anzuzeigen.

Nachdem Sie den Zeitraum angepasst haben, erscheinen die Kästchen Gefilterte Ereignisse und Anfrageereignisse, mit denen Sie die Arten der angezeigten Ereignisse weiter einschränken können.

Abbildung 4: Zeitachsendiagramm für Ereignisse mit Zeitraumsteuerung

UDM-Suche mit Schnellfiltern ändern

Mit Schnellfiltern können Sie Ihre UDM-Suche weiter eingrenzen. Sie können entweder durch die Liste der UDM-Felder scrollen oder mithilfe des Suchfelds nach bestimmten UDM-Feldern oder -Werten suchen. Die hier aufgeführten UDM-Felder sind mit den vorhandenen Ereignislisten verknüpft, die durch Ihre UDM-Suche generiert wurden. Jedes UDM-Feld enthält die Anzahl der Ereignisse in Ihrer aktuellen UDM-Suche, die diese Daten ebenfalls enthalten. In der Liste der UDM-Felder wird die Gesamtzahl der eindeutigen Werte in einem Feld angezeigt. Mit dieser Funktion können Sie nach bestimmten Arten von Protokolldaten suchen, die für Sie von Interesse sein könnten.

Die UDM-Felder sind in der folgenden Reihenfolge aufgeführt:

1. Die Felder mit den höchsten Ereignissen werden bis zur niedrigsten Ereignisanzahl gezählt.
2. Felder mit nur einem Wert sind immer an letzter Stelle.
3. Felder mit derselben Gesamtzahl an Ereignissen sind alphabetisch von A bis Z sortiert.

Abbildung 5: Schnellfilter

Schnellfilter ändern

Wenn Sie in der Schnellfilter-Liste einen UDM-Feldwert auswählen und auf das Menüsymbol klicken, haben Sie die Wahl zwischen Show only-Ereignisse, die auch diesen UDM-Feldwert enthalten, oder Filter out dieses UDM-Feldwerts. Wenn das UDM-Feld Ganzzahlwerte enthält (Beispiel: target.port), werden auch Optionen zum Filtern nach <,>,<=,>= angezeigt. Mit Filteroptionen wird die Liste der angezeigten Ereignisse verkürzt.

Sie können Felder auch über das Stecknadelsymbol im Schnellfilter anpinnen, um sie als Favorit zu speichern. Sie werden oben in der Schnellfilterliste angezeigt.

Abbildung 6: Beispiel: „Nur anzeigen“ auswählen

Diese zusätzlichen UDM-Filter werden auch dem Feld „Filterereignisse“ hinzugefügt. Im Feld „Ereignisse filtern“ sehen Sie die zusätzlichen UDM-Felder, die Sie der UDM-Suche hinzugefügt haben. Sie können diese zusätzlichen UDM-Felder bei Bedarf auch schnell entfernen.

Abbildung 7: Ereignisse filtern

Wenn Sie links auf das Menüsymbol „Ereignisse filtern“ oder links auf Filter hinzufügen klicken, wird ein Fenster geöffnet, in dem Sie weitere UDM-Felder auswählen können.

Abbildung 8: Fenster zum Filtern von Ereignissen

Wenn Sie auf Auf die Suche und Ausführung anwenden klicken, werden die UDM-Felder zum Feld „Ereignisse filtern“ hinzugefügt und die angezeigten Ereignisse werden anhand dieser zusätzlichen Filter gefiltert. Sie können auch auf Auf Search and Run anwenden klicken, um diese Elemente dem UDM-Hauptfeld für die Suche oben auf der Seite hinzuzufügen. Die Suche wird automatisch noch einmal mit denselben Parametern für Datum und Uhrzeit ausgeführt. Google empfiehlt, die Suche so weit wie möglich einzugrenzen, bevor Sie auf Auf die Google Suche und Google Suche anwenden klicken. Das verbessert die Genauigkeit und verkürzt die Suchzeiten.

Ereignisse in der Ereignistabelle ansehen

Mit all diesen Filtern und Steuerelementen wird die Liste der Ereignisse in der Tabelle „Ereignisse“ aktualisiert. Klicken Sie auf eines der aufgeführten Ereignisse, um die Loganzeige zu öffnen. Dort können Sie das Rohprotokoll und den UDM-Eintrag für dieses Ereignis überprüfen. Wenn du auf den Zeitstempel eines Ereignisses klickst, kannst du auch die zugehörige Asset-, IP-Adresse-, Domain-, Hash- oder Nutzeransicht aufrufen. Sie können auch über das Suchfeld oben in der Tabelle nach einem bestimmten Ereignis suchen.

Benachrichtigungen in der Benachrichtigungstabelle ansehen

Sie können Benachrichtigungen aufrufen, indem Sie rechts neben dem Tab Ereignisse auf den Tab Benachrichtigungen klicken. Sie können Schnellfilter verwenden, um Benachrichtigungen nach folgenden Kriterien zu sortieren:

• Fall
• Name
• Priorität
• Schweregrad
• Status
• Einstufung

So können Sie sich auf die Benachrichtigungen konzentrieren, die für Sie am wichtigsten sind.

Benachrichtigungen werden am selben Zeitraum wie die Ereignisse auf dem Tab „Ereignisse“ angezeigt. So können Sie den Zusammenhang zwischen Ereignissen und Benachrichtigungen leichter erkennen.

Wenn Sie mehr über eine bestimmte Benachrichtigung erfahren möchten, klicken Sie auf die Benachrichtigung. Daraufhin wird eine Seite mit ausführlichen Informationen zu dieser Benachrichtigung geöffnet.

Ereignisse in der Ereignisanzeige ansehen

Wenn Sie den Mauszeiger auf ein Ereignis in der Ereignistabelle bewegen, wird rechts neben dem markierten Ereignis das Symbol zum Öffnen der Ereignisanzeige angezeigt. Klicken Sie darauf, um die Ereignisanzeige zu öffnen.

Im Fenster „Raw Log“ wird das ursprüngliche Rohprotokoll in einem der folgenden Formate angezeigt:

• Roh
• JSON
• XML
• CSV
• Hex/ASCII

Das UDM-Fenster zeigt den strukturierten UDM-Eintrag an. Wenn Sie den Mauszeiger über ein beliebiges UDM-Feld halten, wird die UDM-Definition angezeigt. Wenn Sie das Kästchen für die UDM-Felder anklicken, werden zusätzliche Optionen angezeigt:

• Sie können den UDM-Eintrag kopieren. Wählen Sie ein oder mehrere UDM-Felder und dann im Drop-down-Menü Ansichtsaktionen die Option UDM kopieren aus. Die UDM-Felder und UDM-Werte werden in die Systemzwischenablage kopiert.

• Sie können die UDM-Felder als Spalten in der Ereignistabelle hinzufügen, indem Sie im Drop-down-Menü Ansichtsaktionen die Option Spalten hinzufügen auswählen.

Jedes UDM-Feld ist mit einem Symbol gekennzeichnet, das angibt, ob das Feld angereicherte oder nicht angereicherte Daten enthält. Die Symbolbeschriftungen sind:

• U: Nicht angereicherte Felder enthalten Werte, die während des Normalisierungsprozesses mit Daten aus dem ursprünglichen Rohlog ausgefüllt werden.

• E: Angereicherte Felder enthalten Werte, die von Google Security Operations ausgefüllt werden, um zusätzlichen Kontext zu Artefakten in einer Kundenumgebung bereitzustellen. Weitere Informationen finden Sie unter Wie Google Security Operations Ereignis- und Entitätsdaten anreichert.

  

Abbildung 9: UDM-Felder in der Ereignisanzeige

Option „Spalten“ für die UDM-Suche verwenden

Mit der Option Spalten können Sie festlegen, welche Informationsspalten in der Ereignistabelle angezeigt werden. Das Menü Spalten wird angezeigt. Die verfügbaren Optionen variieren je nach Ereignistypen, die von der UDM-Suche zurückgegeben werden.

Optional können Sie den hier ausgewählten Satz von Spalten speichern, indem Sie auf Speichern klicken. Geben Sie der Gruppe der ausgewählten Spalten einen Namen und klicken Sie noch einmal auf Speichern. Sie können einen Satz gespeicherter Spalten laden, indem Sie auf Laden klicken und den Satz gespeicherter Spalten aus der Liste auswählen.

Sie können die angezeigten Ereignisse auch herunterladen, indem Sie auf das Dreipunkt-Menü klicken und Als CSV-Datei herunterladen auswählen. Dadurch werden alle Suchergebnisse bis zu einer Million Ereignissen heruntergeladen. Auf der Benutzeroberfläche wird die Anzahl der heruntergeladenen Ereignisse angezeigt.

Abbildung 10: UDM-Suchspalten

Ereignisse mithilfe der Pivot-Tabelle analysieren

Mit der Pivot-Tabelle können Sie Ereignisse mithilfe von Ausdrücken und Funktionen anhand der Ergebnisse der UDM-Suche analysieren.

Führen Sie die folgenden Schritte aus, um die Pivot-Tabelle zu öffnen und zu konfigurieren:

1. Führen Sie eine UDM-Suche aus.

2. Klicken Sie auf den Tab Pivot, um die Pivot-Tabelle zu öffnen.

3. Geben Sie einen Wert für Gruppieren nach an, um die Ereignisse nach einem bestimmten UDM-Feld zu gruppieren. Sie können die Ergebnisse mit der Standard-Großschreibung oder nur mit Kleinbuchstaben anzeigen lassen. Wählen Sie dazu kleinbuchstaben aus dem Menü aus. Diese Option ist nur für Stringfelder verfügbar. Sie können bis zu fünf Werte unter Gruppieren nach angeben. Klicken Sie dazu auf Feld hinzufügen.

   Wenn Ihr Wert unter Gruppieren nach eines der Hostnamenfelder ist, stehen zusätzliche Transformationsoptionen zur Verfügung:

   • Top-N-Level-Domain: Sie können auswählen, welche Ebene der Domain angezeigt werden soll. Wenn Sie beispielsweise den Wert 1 festlegen, wird nur die Top-Level-Domain angezeigt, z. B. com, gov oder edu. Wenn Sie den Wert 3 festlegen, werden die nächsten beiden Ebenen der Domainnamen angezeigt, z. B. google.co.uk.
   • Get Registered Domain (Registrierte Domain abrufen): Nur der registrierte Domainname wird angezeigt, z. B. google.com, nytimes.com und youtube.com.

   Wenn Ihr Wert von Gruppieren nach eines der IP-Felder ist, stehen Ihnen zusätzliche Transformationsoptionen zur Verfügung:

   • (IP)-CIDR-Präfixlänge in Bit: Sie können für IPv4-Adressen einen Wert von 1 bis 32 angeben. Für IPv6-Adressen können Sie Werte bis zu 128 angeben.

   Wenn Ihr Wert von Gruppieren nach einen Zeitstempel enthält, stehen Ihnen zusätzliche Transformationsoptionen zur Verfügung:

   • (Zeit) Auflösung in Millisekunden
   • (Zeit) Auflösung in Sekunden
   • (Zeit) Auflösung in Minuten
   • (Zeit) Lösung in Stunden
   • (Zeit) Lösung in Tagen

4. Geben Sie einen Wert für das Pivoting aus der Liste der Felder in Ihren Ergebnissen an. Sie können bis zu fünf Werte angeben. Nachdem Sie ein Feld angegeben haben, müssen Sie die Option Zusammenfassen auswählen. Folgende Optionen sind verfügbar:

   • sum
   • count
   • Einzeln zählen
   • Durchschnitt
   • stddev
   • Min.
   • Max

   Geben Sie den Wert Ereignisanzahl an, um einfach die Anzahl der Ereignisse zurückzugeben, die für diese bestimmte UDM-Suche und Pivot-Tabelle identifiziert wurden.

   Die Optionen vom Typ Zusammenfassen sind nicht universell mit den Feldern Gruppieren nach kompatibel. Die Optionen sum, average, stddev, min und max können beispielsweise nur auf numerische Felder angewendet werden. Wenn Sie versuchen, eine inkompatible Option Zusammenfassen mit dem Feld Gruppieren nach zu verknüpfen, erhalten Sie eine Fehlermeldung.

5. Geben Sie ein oder mehrere UDM-Felder an und wählen Sie mit der Option Order By (Sortieren nach) mindestens eine Sortierung aus.

6. Klicken Sie abschließend auf Übernehmen. Die Ergebnisse werden in der Pivot-Tabelle angezeigt.

7. Optional: Wenn Sie die Pivot-Tabelle herunterladen möchten, klicken Sie auf more_vert und wählen Sie Als CSV-Datei herunterladen aus. Wenn Sie keinen Pivot ausgewählt haben, ist diese Option deaktiviert.

Schnellsuche durchführen

1. Klicken Sie auf Schnellsuche, um das Fenster zu öffnen. In diesem Fenster werden deine gespeicherten Suchanfragen und dein Suchverlauf angezeigt.

2. Klicken Sie auf eine der aufgeführten Suchanfragen, um sie in das UDM-Suchfeld zu laden.

3. Klicken Sie abschließend auf Suche ausführen.

Die aufgeführten Suchanfragen werden in Ihrem Google Security Operations-Konto gespeichert. Wenn Sie eine Ihrer gespeicherten Suchanfragen ändern, beispielsweise eine vorhandene Suche umbenennen, gespeicherte Suchanfragen oder Suchanfragen aus Ihrem Suchverlauf löschen möchten, öffnen Sie den Suchmanager, indem Sie auf Alle Suchanfragen ansehen klicken.

Übersicht über gespeicherte Suchanfragen und den Suchverlauf

Klicke auf Suchmanager, um gespeicherte Suchanfragen abzurufen und deinen Suchverlauf anzusehen. Gespeicherte Suchanfragen und der Suchverlauf werden in Ihrem Google Security Operations-Konto gespeichert. Gespeicherte Suchanfragen und der Suchverlauf sind nur für den jeweiligen Nutzer sichtbar und zugänglich, es sei denn, Sie verwenden die Funktion Suche freigeben, um Ihre Suche für Ihre Organisation freizugeben. Wählen Sie eine gespeicherte Suchanfrage aus, um zusätzliche Informationen wie Titel und Beschreibung zu sehen.

Suchanfrage speichern

So speichern Sie eine Suchanfrage:

1. Klicken Sie auf der UDM-Suchseite auf Speichern, um Ihre UDM-Suche für später zu speichern. Der Suchmanager wird geöffnet. Google empfiehlt, der gespeicherten Suche einen aussagekräftigen Namen und eine Klartextbeschreibung des Suchbegriffs zu geben. Sie können auch im Suchmanager eine neue UDM-Suche erstellen, indem Sie auf add klicken. Die standardmäßigen UDM-Tools zur Bearbeitung und Vervollständigung sind hier ebenfalls verfügbar.

2. Optional: Geben Sie Platzhaltervariablen im Format ${<variable name>} an. Verwenden Sie dabei dasselbe Format wie für Variablen in YARA-L. Wenn Sie einer UDM-Suche eine Variable hinzufügen, müssen Sie auch eine Eingabeaufforderung einfügen, damit der Nutzer weiß, welche Informationen er vor dem Ausführen der Suche eingeben muss. Alle Variablen müssen vor der Durchführung einer Suche mit Werten gefüllt werden.

   Beispielsweise können Sie Ihrer UDM-Suche metadata.vendor_name = ${vendor_name} hinzufügen. Für ${vendor_name} müssen Sie eine Aufforderung für zukünftige Nutzer hinzufügen, z. B. „Geben Sie den Namen des Anbieters für Ihre Suche ein“. Künftig wird ein Nutzer jedes Mal, wenn er diese Suche lädt, zur Eingabe des Anbieternamens aufgefordert, bevor er die Suche ausführen kann.

3. Klicken Sie abschließend auf Änderungen speichern.

4. Klicken Sie zum Aufrufen gespeicherter Suchanfragen auf Suchmanager und dann auf den Tab Gespeichert.

Gespeicherte Suchanfrage abrufen

So rufen Sie eine gespeicherte Suche ab und führen sie aus:

1. Klicken Sie im Suchmanager auf den Tab Gespeichert.

2. Wählen Sie eine gespeicherte Suchanfrage aus der Liste aus. Diese gespeicherten Suchanfragen werden in Ihrem Google Security Operations-Konto gespeichert. Sie können eine Suchanfrage löschen, indem Sie auf more_horiz klicken und Suche löschen auswählen.

3. Sie können den Namen der Suchanfrage und die Beschreibung ändern. Klicken Sie abschließend auf Änderungen speichern.

4. Klicken Sie auf Suche laden. Die Suche wird in das UDM-Hauptsuchfeld geladen.

5. Klicken Sie auf Suche ausführen, um die mit dieser Suche verknüpften Ereignisse zu sehen.

Suchanfrage aus dem Suchverlauf abrufen

So rufen Sie eine Suche aus Ihrem Suchverlauf ab und führen sie aus:

1. Klicken Sie im Suchmanager auf Verlauf.

2. Wähle eine Suchanfrage aus deinem Suchverlauf aus. Ihr Suchverlauf wird in Ihrem Google Security Operations-Konto gespeichert. Sie können eine Suchanfrage löschen, indem Sie auf delete klicken.

3. Klicken Sie auf Suche laden. Die Suche wird in das UDM-Hauptsuchfeld geladen.

4. Klicken Sie auf Suche ausführen, um die mit dieser Suche verknüpften Ereignisse zu sehen.

Suchverlauf löschen, deaktivieren oder aktivieren

So löschen, deaktivieren oder aktivieren Sie den Suchverlauf:

1. Klicken Sie im Search Manager auf den Tab Verlauf.

2. Klicken Sie auf more_vert.

3. Wähle Verlauf löschen aus, um den Suchverlauf zu löschen.

4. Klicke auf Verlauf deaktivieren, um den Suchverlauf zu deaktivieren. Sie haben folgende Möglichkeiten:

   • Nur deaktivieren: Der Suchverlauf wird deaktiviert.

   • Deaktivieren und löschen: Der Suchverlauf wird deaktiviert und der gespeicherte Suchverlauf wird gelöscht.

5. Wenn du den Suchverlauf zuvor deaktiviert hast, kannst du ihn wieder aktivieren, indem du auf Suchverlauf aktivieren klickst.

6. Klicken Sie auf Schließen, um den Search Manager zu beenden.

Suche teilen

Über diese Funktion können Sie Ihre Suchanfragen mit dem Rest Ihres Teams teilen. Auf dem Tab Gespeichert können Sie Suchanfragen teilen oder löschen. Sie können die Suchergebnisse auch filtern, indem Sie auf das Filtersymbol neben der Suchleiste klicken und die Ergebnisse nach Alle anzeigen, Von Google SecOps definiert, Von mir erstellt oder Freigegeben sortieren.

Sie können nur eine freigegebene Suche bearbeiten, die Ihnen gehört.

1. Klicken Sie auf Gespeichert.
2. Klicken Sie auf die Suchanfrage, die Sie teilen möchten.
3. Klicken Sie rechts neben der Suche auf more_horiz. Ein Dialogfeld mit der Option zum Teilen Ihrer Suche wird angezeigt.
4. Klicken Sie auf Für meine Organisation freigeben.
5. Daraufhin wird ein Dialogfeld angezeigt, in dem Sie darüber informiert werden, dass Ihre Suche für Personen in Ihrer Organisation freigegeben ist. Möchten Sie das Dokument wirklich teilen? Klicken Sie auf Freigeben.

Wenn die Suchanfrage nur für dich sichtbar sein soll, klicke auf more_horiz und dann auf Teilen beenden. Wenn du die Freigabe beendest, kannst nur du diese Suche verwenden.

Nächste Schritte

Informationen zur Verwendung kontextangereicherter Daten in der UDM-Suche finden Sie unter Kontextangereicherte Daten in der UDM-Suche verwenden.