Recherche UDM

La fonction de recherche UDM vous permet de rechercher des événements et des alertes de modèle de données unifié (UDM) dans votre instance Google Security Operations. La recherche UDM comprend diverses options de recherche qui vous aident à parcourir vos données UDM. Vous pouvez rechercher des événements UDM individuels et des groupes d'événements UDM associés à des termes de recherche partagés.

Sur les systèmes qui utilisent le contrôle des accès basé sur les données, vous ne pouvez voir que les données correspondant à vos champs d'application. Pour en savoir plus, consultez la section Impact du RBAC des données sur la recherche Google.

Pour les clients Google Security Operations, les alertes peuvent également être ingérées à partir de connectors et de webhooks. Vous pouvez également utiliser la recherche UDM pour trouver ces alertes.

Pour en savoir plus sur l'UDM, consultez Mettre en forme les données des journaux en tant que UDM et Liste des champs du modèle de données unifié.

Accéder à la recherche UDM

Pour accéder à la recherche UDM de Google Security Operations, cliquez sur Rechercher dans la barre de navigation. Vous pouvez également accéder à la recherche UDM en saisissant un champ UDM valide depuis n'importe quel champ de recherche dans Google Security Operations et en appuyant sur CTRL+Entrée.

Pour obtenir la liste de tous les champs UDM valides, consultez la liste des champs du modèle de données unifié.

Figure 1. Recherche UDM

Figure 2 Fenêtre de recherche UDM qui s'ouvre en appuyant sur CTRL+Entrée

Saisissez une recherche UDM

Pour saisir une recherche UDM dans le champ UDM Search (Recherche UDM), procédez comme suit : Une fois que vous avez saisi une recherche UDM, cliquez sur Run Search (Exécuter la recherche). L'interface utilisateur de Google Security Operations vous permet uniquement de saisir une expression de recherche UDM valide. Vous pouvez également ajuster la plage de données à rechercher en ouvrant la fenêtre correspondante.

Si votre recherche est trop large, Google Security Operations affiche un message d'avertissement indiquant qu'il ne peut pas afficher tous les résultats de recherche. Réduisez le champ d'application de la recherche et exécutez-la à nouveau. Lorsqu'une recherche est trop large, Google Security Operations renvoie les résultats les plus récents dans la limite de la recherche (un million d'événements et mille alertes). Il est possible qu'il y ait beaucoup plus d'événements et d'alertes qui correspondent, mais ne s'affichent pas pour le moment. Tenez-en compte lorsque vous analysez les résultats. Google recommande d'appliquer des filtres supplémentaires et d'exécuter la recherche d'origine jusqu'à ce que vous soyez en dessous de la limite. Appliquez plutôt des filtres supplémentaires et réexécutez la recherche d'origine jusqu'à ce que vous soyez en dessous de la limite.

Figure 3. Lancer la recherche

Les requêtes UDM sont basées sur des champs UDM, qui sont tous répertoriés dans la liste des champs du modèle de données unifié. Vous pouvez également afficher les champs UDM dans le contexte des recherches à l'aide de filtres ou de la recherche dans les journaux bruts.

1. Pour rechercher des événements, saisissez un nom de champ UDM dans le champ de recherche. L'interface utilisateur inclut la saisie semi-automatique et affiche des champs UDM valides en fonction de ce que vous avez saisi.

2. Une fois que vous avez saisi un champ UDM valide, sélectionnez un opérateur valide. L'interface utilisateur affiche les opérateurs valides disponibles en fonction du champ UDM que vous avez saisi. Les opérateurs suivants sont acceptés :

   • <, >
   • <=, >=
   • =, !=
   • nocase : accepté pour les chaînes

3. Une fois que vous avez saisi un champ et un opérateur UDM valides, saisissez les données de journal correspondantes que vous recherchez. Les types de données suivants sont acceptés:

   • Valeurs énumérées:l'interface utilisateur affiche une liste de valeurs énumérées valides pour un champ UDM donné.

     Par exemple (utilisez des guillemets doubles et tout en majuscules): metadata.event_type = "NETWORK_CONNECTION"

   • Valeurs supplémentaires:vous pouvez utiliser 'field[key] = value' pour rechercher d'autres champs ou libellés pour des événements.

     Par exemple : additional.fields["key"]="value"

   • Valeurs booléennes:vous pouvez utiliser true ou false (les caractères ne sont pas sensibles à la casse et le mot clé n'est pas placé entre guillemets).

     Par exemple : network.dns.response = true

   • Entiers

     Par exemple : target.port = 443

   • Flottants:pour les champs UDM de type float, saisissez une valeur à virgule flottante telle que 3.1. Vous pouvez également saisir un nombre entier, tel que 3, ce qui équivaut à saisir 3.0.

     Par exemple : security_result.about.asset.vulnerabilities.cvss_base_score = 3.1 ou security_result.about.asset.vulnerabilities.cvss_base_score = 3

   • Expressions régulières : (les expressions régulières doivent se trouver à l'intérieur des barres obliques (/)) :

     Par exemple : principal.ip = /10.*/

     Pour en savoir plus, consultez la page Expressions régulières.

   • Chaînes

     Par exemple (vous devez utiliser des guillemets doubles): metadata.product_name = "Google Cloud VPC Flow Logs"

4. Vous pouvez utiliser l'opérateur nocase pour rechercher n'importe quelle combinaison de versions majuscules et minuscules d'une chaîne donnée:

   • principal.hostname != "http-server" nocase
   • principal.hostname = "JDoe" nocase
   • principal.hostname = /dns-server-[0-9]+/ nocase

5. Les barres obliques inverses et les guillemets doubles des chaînes doivent être échappés à l'aide d'une barre oblique inverse. Exemple :

   • principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
   • target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""

6. Vous pouvez utiliser des expressions booléennes pour affiner davantage la plage de données affichées. Les exemples suivants illustrent certains types d'expressions booléennes compatibles (vous pouvez utiliser les opérateurs booléens AND, OR et NOT):

   • A AND B
   • A OR B
   • (A OR B) AND (B OR C) AND (C OR NOT D)

   Les exemples suivants illustrent comment la syntaxe réelle peut se présenter:

   Événements de connexion au serveur financier :

   metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"

   Exemple d'utilisation d'une expression régulière pour rechercher l'exécution de l'outil psexec.exe sous Windows.

   target.process.command_line = /\bpsexec(.exe)?\b/ nocase

   Exemple d'utilisation de l'opérateur "plus de" (>) pour rechercher des connexions dans lesquelles plus de 10 Mo de données ont été envoyées.

   metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000

   Exemple utilisant plusieurs conditions pour rechercher Winword en lançant cmd.exe ou powershell.exe

       metadata.event_type = "PROCESS_LAUNCH" and
       principal.process.file.full_path = /winword/ and
       (target.process.file.full_path = /cmd.exe/ or
       target.process.file.full_path = /powershell.exe/)

7. Vous pouvez également utiliser la recherche UDM pour rechercher des paires clé-valeur spécifiques dans les champs "Additional" (Autres) et "Label".

   Les champs "supplémentaire" et "Libellé" sont utilisés comme des données d'événement qui ne correspondent pas à un champ UDM standard. Les champs supplémentaires peuvent contenir plusieurs paires clé-valeur. Les champs de libellé ne peuvent contenir qu'une seule paire clé-valeur. Cependant, chaque instance du champ ne contient qu'une seule clé et une seule valeur. La clé doit être placée entre crochets et la valeur doit se trouver à droite.

   Les exemples suivants montrent comment rechercher des événements contenant des paires clé/valeur spécifiées :

       additional.fields["pod_name"] = "kube-scheduler"
       metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"

   L'exemple suivant montre comment utiliser l'opérateur AND dans les recherches de paires clé/valeur :

       additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"

   Vous pouvez utiliser la syntaxe suivante pour rechercher tous les événements contenant la clé spécifiée (quelle que soit la valeur)

       additional.fields["pod_name"] != ""

   Vous pouvez également utiliser des expressions régulières et l'opérateur nocase :

       additional.fields["pod_name"] = /br/
       additional.fields["pod_name"] = bar nocase

8. Vous pouvez également utiliser des commentaires bloqués ou sur une seule ligne.

   L'exemple suivant montre comment utiliser un commentaire de bloc :

       additional.fields["pod_name"] = "kube-scheduler"
       /*
       Block comments can span
       multiple lines.
       */
       AND additional.fields["pod_name1"] = "kube-scheduler1"

   L'exemple suivant montre comment utiliser un commentaire sur une seule ligne :

       additional.fields["pod_name"] != "" // my single-line comment

9. Cliquez sur Run Search (Lancer la recherche) pour exécuter votre recherche UDM et afficher les résultats.

10. Les événements sont affichés sur la page Recherche UMD dans le tableau de la chronologie des événements. Vous pouvez affiner davantage les résultats en ajoutant des champs UDM supplémentaires manuellement ou à l'aide de l'interface.

Rechercher dans les champs groupés

Les champs groupés sont des alias de groupes de champs UDM associés. Vous pouvez les utiliser pour interroger plusieurs champs UDM en même temps sans avoir à les saisir individuellement.

L'exemple suivant montre comment saisir une requête pour faire correspondre les champs UDM courants pouvant contenir l'adresse IP spécifiée :

    ip = "1.2.3.4"

Vous pouvez faire correspondre un champ groupé à l'aide d'une expression régulière et de l'opérateur nocase. Les listes de référence sont également acceptées. Les champs groupés peuvent également être utilisés en combinaison avec des champs UDM standards, comme illustré dans l'exemple suivant :

    ip = "5.6.7.8" AND metadata.event_type = "NETWORK_CONNECTION"

Les champs groupés disposent d'une section distincte dans Quick Filters (Filtres rapides).

Types de champs UDM groupés

Vous pouvez effectuer une recherche dans tous les champs UDM groupés suivants:

Nom de champ groupé	Champs UDM associés
domaine	about.administrative_domain about.asset.network_domain network.dns.questions.name network.dns_domain principal.administrative_domain principal.asset.network_domain target.administrative_domain target.asset.hostname target.asset.network_domain target.hostname
adresse e-mail	intermédiaire
file_path	principal.file.full_path principal.process.file.full_path principal.process.parent_process.file.full_path target.file.full_path target.process.file.full_path target.process.parent_process.file.full_path
hash	about.file.md5 about.file.sha1 about.file.sha256 principal.process.file.md5 principal.process.file.sha1 principal.process.file.sha256 security_result.about.file.sha256 target.file.sha256 target.file.process.sha1 process.sha1 target.file.sha1 process.sha1
nom d'hôte	intermediary.hostname observateur.hostname principal.asset.hostname principal.hostname src.asset.hostname src.hostname target.asset.hostname target.hostname
ip	intermediary.ip observer.ip principal.artifact.ip principal.asset.ip principal.ip src.artifact.ip src.asset.ip src.ip target.artifact.ip target.asset.ip target.ip
espace de noms	principal.namespace src.namespace target.namespace
process_id	principal.process.parent_process.pid principal.process.parent_process.product_specific_process_id principal.process.pid principal.process.product_specific_process_id target.process.parent_process.pid target.process.parent_process.product_specific_process_id target.process.pid target.process.pid
user	about.user.userid observer.user.userid principal.user.user_display_name principal.user.userid principal.user.windows_sid src.user.userid target.user.user_display_name target.user.userid target.user.windows_sid

Trouver un champ UDM pour la requête de recherche

Lorsque vous rédigez une requête de recherche UDM, vous ne savez peut-être pas quel champ UDM inclure. UDM Lookup vous permet de trouver rapidement un nom de champ UDM qui contient une chaîne de texte ou qui stocke une valeur de chaîne spécifique. Il n'est pas destiné à être utilisé pour rechercher d'autres types de données, tels que des octets, des valeurs booléennes ou des valeurs numériques. Vous sélectionnez un ou plusieurs résultats renvoyés par UDM Lookup comme point de départ d'une requête de recherche UDM.

Pour utiliser UDM Lookup, procédez comme suit:

1. Sur la page Recherche UDM, saisissez une chaîne de texte dans le champ Rechercher des champs UDM par valeur, puis cliquez sur Recherche UDM.

2. Dans la boîte de dialogue UDM Lookup (Recherche d'UDM), sélectionnez une ou plusieurs des options suivantes pour spécifier le champ d'application des données à rechercher:

   • UDM Fields: recherchez du texte dans les noms de champs UDM, par exemple network.dns.questions.name ou principal.ip.
   • Values (Valeurs) : recherchez du texte dans les valeurs attribuées aux champs UDM (par exemple, dns ou google.com).

3. Saisissez ou modifiez la chaîne dans le champ de recherche. À mesure que vous saisissez du texte, les résultats s'affichent dans la boîte de dialogue.

   Les résultats sont légèrement différents entre les recherches Champs UMD et Valeurs. Lorsque vous recherchez du texte dans la section Valeurs, les résultats s'affichent comme suit:

   • Si la chaîne se trouve au début ou à la fin de la valeur, elle est mise en surbrillance dans le résultat, avec le nom du champ UDM et l'heure à laquelle le journal a été ingéré.
   • Si la chaîne de texte se trouve ailleurs dans la valeur, le résultat affiche le nom du champ UDM et le texte Correspondance de valeur possible.

   

   Rechercher dans les valeurs dans UDM Lookup

   • Lorsque vous recherchez une chaîne de texte dans les noms de champs UDM, UDM Lookup renvoie une correspondance exacte trouvée à n'importe quel emplacement du nom.

   

   Rechercher dans les champs UDM dans la recherche UDM

4. Dans la liste des résultats, vous pouvez effectuer les opérations suivantes:

   • Cliquez sur le nom d'un champ UDM pour afficher sa description.

   • Sélectionnez un ou plusieurs résultats en cochant la case située à gauche de chaque nom de champ UDM.

   • Cliquez sur le bouton Réinitialiser pour désélectionner tous les champs sélectionnés dans la liste des résultats.

5. Pour ajouter les résultats sélectionnés au champ UDM Search (Recherche de l'UDM), cliquez sur le bouton Append to search (Ajouter à la recherche).

   Vous pouvez également copier le résultat sélectionné à l'aide du bouton Copy UDM (Copier l'UDM), puis fermer la boîte de dialogue UDM Lookup (Recherche UDM) et coller la chaîne de requête de recherche dans le champ UDM Search (Recherche UDM).

   Google Security Operations convertit le résultat sélectionné en chaîne de requête de recherche UDM en tant que nom de champ UDM ou en tant que paire nom/valeur. Si vous ajoutez plusieurs résultats, chaque résultat est ajouté à la fin d'une requête existante dans le champ de recherche UDM à l'aide de l'opérateur OR.

   La chaîne de requête ajoutée varie en fonction du type de correspondance renvoyé par l'UDM Lookup.

   • Si le résultat correspond à une chaîne de texte d'un nom de champ UDM, le nom complet du champ UDM est ajouté à la requête. En voici un exemple :

     principal.artifact.network.dhcp.client_hostname

   • Si le résultat correspond à une chaîne de texte au début ou à la fin d'une valeur, la paire nom/valeur contient le nom du champ UDM et la valeur complète dans le résultat. Voici des exemples:

     metadata.log_type = "PCAP_DNS"

     network.dns.answers.name = "dns-A901F3j.hat.example.com"

   • Si le résultat inclut le texte Correspondance de valeur possible, la paire nom/valeur contient le nom du champ UDM et une expression régulière contenant le terme de recherche. En voici un exemple :

     principal.process.file.full_path = /google/ NOCASE

6. Modifiez la requête de recherche UDM en fonction de votre cas d'utilisation. La chaîne de requête générée par la recherche UDM constitue un point de départ pour rédiger une requête de recherche UDM complète.

Résumé du comportement de la recherche UDM

Cette section fournit plus d'informations sur les fonctionnalités de recherche UDM.

• Données de recherches UDM Lookup ingérées après le 10 août 2023. Les données ingérées avant cette date ne font pas l'objet d'une recherche. Elle renvoie les résultats trouvés dans les champs UDM non enrichis. Il ne renvoie pas de correspondances avec les champs enrichis. Pour en savoir plus sur les champs "Enrichi" et "Non enrichi", consultez Afficher des événements dans l'observateur d'événements.
• Les recherches UDM Lookup ne sont pas sensibles à la casse. Le terme hostname renvoie le même résultat que HostName.
• Les traits d'union (-) et les traits de soulignement (_) dans une chaîne de texte de requête sont ignorés lors de la recherche de Valeurs. Les chaînes de texte dns-l et dnsl renvoient toutes deux la valeur dns-l.

• Lors de la recherche de valeurs, UDM Lookup ne renvoie pas de correspondances dans les cas suivants:

  Correspondances dans les champs UDM suivants:	metadata.product_log_id network.session_id security_result.rule_id network.parent_session_id
  Correspondances dans les champs UDM avec un chemin d'accès complet se terminant par l'une des valeurs suivantes:	.pid Par exemple target.process.pid. .asset_id Par exemple principal.asset_id. .product_specific_process_id Par exemple principal.process.product_specific_process_id. .resource.id Par exemple principal.resource.id.

• Lors de la recherche de Values (Valeurs), UDM Lookup affiche le message Possible value match (Correspondance de valeur possible) dans le résultat lorsqu'une correspondance est trouvée dans les cas suivants:

  Correspondances dans les champs UDM suivants:	metadata.description security_result.description security_result.detection_fields.value security_result.summary network.http.user_agent
  Correspond aux champs dont le chemin d'accès complet se termine par l'une des valeurs suivantes:	.command_line Par exemple principal.process.command_line. .file.full_path Par exemple principal.process.file.full_path. .labels.value Par exemple src.labels.value. .registry.registry_key Par exemple principal.registry.registry_key. .url Par exemple principal.url.
  Correspond aux champs dont le chemin d'accès complet commence par les valeurs suivantes:	additional.fields.value. Par exemple additional.fields.value.null_value.

Afficher les alertes dans la recherche UDM

Pour afficher les alertes, cliquez sur l'onglet Alertes à droite de l'onglet Événements en haut à droite de la page de recherche de l'UDM.

Mode d'affichage des alertes

Google Security Operations compare les événements renvoyés lors de la recherche UDM aux événements qui existent pour les alertes dans l'environnement client. Lorsqu'un événement de requête de recherche correspond à un événement présent dans une alerte, il s'affiche dans la chronologie de l'alerte et dans le tableau des alertes qui en résulte.

Définition d'événements et d'alertes

Un événement est généré à partir d'une source de journal brute qui est ingéré dans Google Security Operations et traité par le processus d'ingestion et de normalisation de Google Security Operations. Plusieurs événements peuvent être générés à partir d'un seul enregistrement de source de journal brut. Un événement est un ensemble de points de données pertinents pour la sécurité générés à partir de ce journal brut.

Dans une recherche UDM, une alerte est définie comme une détection de règles YARA-L avec l'alerte activée. Pour en savoir plus, consultez la section Exécuter une règle concernant des données actives.

D'autres sources de données peuvent être ingérées dans Google Security Operations sous forme d'alertes telles que les alertes CrowdStrike Falcon. Ces alertes n'apparaissent pas dans la recherche UDM, sauf si elles sont traitées par le moteur de détection des opérations de sécurité Google en tant que règle YARA-L.

Les événements associés à une ou plusieurs alertes sont signalés par un chip d'alerte dans la chronologie des événements. Si plusieurs alertes sont associées à la chronologie, le chip affiche le nombre d'alertes associées.

La chronologie affiche les 1 000 alertes les plus récentes extraites des résultats de recherche. Lorsque cette limite est atteinte, plus aucune alerte n'est récupérée. Pour afficher tous les résultats pertinents, affinez votre recherche à l'aide de filtres.

Examiner une alerte

Pour découvrir comment utiliser le graphique d'alerte et les détails de l'alerte afin d'examiner une alerte, suivez les étapes décrites dans Examiner une alerte.

Utiliser des listes de référence dans les recherches UDM

Le processus d'application des listes de référence dans la section "Règles" peut également être utilisé dans la recherche. Une requête de recherche peut contenir jusqu'à sept listes. Tous les types de listes de référence (chaîne, expression régulière, CIDR) sont acceptés.

Vous pouvez créer des listes pour toutes les variables dont vous souhaitez effectuer le suivi. Par exemple, vous pouvez créer une liste d'adresses IP suspectes :

// Field value exists in reference list
principal.ip IN %suspicious_ips

Vous pouvez également utiliser plusieurs listes en utilisant AND ou OR:

// multiple lists can be used with AND or OR
principal.ip IN %suspicious_ips AND
principal.hostname IN %suspicious_hostnames

Affiner les résultats de recherche

Vous pouvez utiliser l'interface utilisateur de recherche UDM pour filtrer et affiner les résultats au lieu de modifier la recherche UDM et de la réexécuter.

Graphique chronologique

Le graphique chronologique fournit une représentation graphique du nombre d'événements et d'alertes qui se produisent chaque jour et qui sont identifiés par la recherche UDM en cours. Les événements et les alertes sont affichés dans le même graphique chronologique, disponible dans les onglets Événements et Alertes.

La largeur de chaque barre dépend de l'intervalle de temps recherché. Par exemple, chaque barre représente 10 minutes lorsque la recherche couvre 24 heures de données. Ce graphique est mis à jour de manière dynamique à mesure que vous modifiez la recherche UDM existante.

Ajustement de la période

Vous pouvez ajuster la période du graphique en déplaçant les curseurs blancs vers la gauche et vers la droite pour ajuster la période et vous concentrer sur la période qui vous intéresse. Lorsque vous ajustez la période, les tableaux "Champs", "Valeurs" et "Événements" sont mis à jour pour refléter la sélection actuelle. Vous pouvez également cliquer sur une barre du graphique pour consulter uniquement les événements de la période sélectionnée.

Une fois que vous avez modifié la période, les cases Événements filtrés et Événements de requête s'affichent, ce qui vous permet de limiter davantage les types d'événements affichés.

Figure 4. Graphique chronologique des événements avec sélecteurs de période

Modifier la recherche UDM avec des filtres rapides

Les filtres rapides vous permettent d'affiner davantage votre recherche UDM. Vous pouvez faire défiler la liste des champs UDM ou rechercher des champs ou des valeurs UDM spécifiques à l'aide du champ de recherche. Les champs UDM listés ici sont associés aux listes d'événements existantes générées par votre recherche UDM. Chaque champ UDM inclut le nombre d'événements de votre recherche UDM actuelle qui incluent également cet élément de données. La liste des champs UDM affiche le nombre unique total de valeurs dans un champ. Cette fonctionnalité vous permet de rechercher des types de données de journaux spécifiques qui pourraient vous intéresser.

Les champs UDM sont listés dans l'ordre suivant:

1. Champs comptant le plus grand nombre d'événements par rapport au plus petit nombre d'événements.
2. Les champs ne comportant qu'une seule valeur sont toujours placés en dernier.
3. Les champs présentant exactement le même nombre total d'événements sont classés par ordre alphabétique de A à Z.

Figure 5 Filtres rapides

Modifier un filtre rapide

Si vous sélectionnez une valeur de champ UDM dans la liste "Quick Filters" (Filtres rapides) et que vous cliquez sur l'icône de menu, vous avez la possibilité de n'afficher que les événements qui incluent également cette valeur de champ UDM ou d'exclure cette valeur du champ UDM. Si le champ UDM stocke des valeurs entières (par exemple, target.port), des options de filtrage par <,>,<=,>= s'afficheront également. Les options de filtrage permettent de raccourcir la liste des événements affichés.

Vous pouvez également épingler des champs (à l'aide de l'icône en forme de punaise) dans Filtre rapide afin de les enregistrer dans vos favoris. Ils apparaissent en haut de la liste "Filtres rapides".

Figure 6 Exemple: Sélectionnez "Afficher uniquement".

Ces filtres UDM supplémentaires sont également ajoutés au champ "Filtrer les événements". Le champ "Filtrer les événements" vous permet d'effectuer le suivi des champs UDM supplémentaires que vous avez ajoutés à la recherche UDM. Si nécessaire, vous pouvez également supprimer rapidement ces champs UDM supplémentaires.

Figure 7 Filtrer les événements

Si vous cliquez sur l'icône de menu "Filtrer les événements" ou sur Ajouter un filtre à gauche, une fenêtre s'ouvre pour vous permettre de sélectionner d'autres champs UDM.

Figure 8 Fenêtre "Filtrer les événements"

Lorsque vous cliquez sur APPLIQUER à la recherche et à l'exécution, les champs UDM sont ajoutés au champ "Filtrer les événements", et les événements affichés sont filtrés en fonction de ces filtres supplémentaires. Vous pouvez également cliquer sur Appliquer à la recherche et à l'exécution pour les ajouter au champ principal de recherche UDM en haut de la page. La recherche est automatiquement exécutée à nouveau avec les mêmes paramètres de date et d'heure. Google vous recommande d'affiner au maximum votre recherche avant de cliquer sur APPLIQUER à la recherche et à l'exécution. Cela permet d'améliorer la précision et de réduire les temps de recherche.

Afficher les événements dans le tableau "Événements"

Tous ces filtres et commandes permettent de mettre à jour la liste des événements affichés dans le tableau "Événements". Cliquez sur l'un des événements de la liste pour ouvrir la visionneuse de journaux, où vous pouvez examiner le journal brut et l'enregistrement UDM correspondant à cet événement. Si vous cliquez sur le code temporel d'un événement, vous pouvez également accéder à la vue "Élément", "Adresse IP", "Domaine", "Hachage" ou "Utilisateur" associée. Vous pouvez également utiliser le champ de recherche en haut du tableau pour rechercher un événement spécifique.

Afficher les alertes dans le tableau des alertes

Pour afficher les alertes, cliquez sur l'onglet Alertes à droite de l'onglet Événements. Vous pouvez utiliser les filtres rapides pour trier les alertes en fonction des critères suivants:

• Cas
• Nom
• Priorité
• Gravité
• État
• Évaluation

Vous pouvez ainsi vous concentrer sur les alertes les plus importantes pour vous.

Les alertes sont affichées à la même période que les événements dans l'onglet "Événements". Vous pouvez ainsi voir le lien entre les événements et les alertes.

Si vous souhaitez en savoir plus sur une alerte spécifique, cliquez dessus. Une page contenant des informations plus détaillées s'ouvre alors.

Afficher les événements dans l'Observateur d'événements

Si vous maintenez le pointeur de la souris sur un événement dans le tableau "Événements", l'icône Ouvrir la visionneuse d'événements s'affiche à droite de l'événement en surbrillance. Cliquez dessus pour ouvrir l'Observateur d'événements.

La fenêtre "Journal brut" affiche le signe brut d'origine dans l'un des formats suivants:

• Données
• JSON
• XML
• CSV
• Code hexadécimal/ASCII

La fenêtre UDM affiche l'enregistrement UDM structuré. Vous pouvez maintenir le pointeur sur n'importe quel champ UDM pour afficher la définition correspondante. En cochant la case des champs UDM, vous obtenez des options supplémentaires:

• Vous pouvez copier l'enregistrement UDM. Sélectionnez un ou plusieurs champs UDM, puis sélectionnez l'option Copy UDM (Copier l'UDM) dans le menu déroulant View Actions (Afficher les actions). Les champs et valeurs UDM sont copiés dans le presse-papiers du système.

• Vous pouvez ajouter les champs UDM sous forme de colonnes dans la table "Événements" en sélectionnant l'option Ajouter des colonnes dans le menu déroulant Afficher les actions.

Chaque champ UDM est associé à une icône indiquant s'il contient des données enrichies ou non. Les libellés d'icône sont les suivants:

• U: les champs non enrichis contiennent des valeurs renseignées lors du processus de normalisation à l'aide des données du journal brut d'origine.

• E: Les champs "surenrichis" contiennent des valeurs que Google Security Operations renseigne pour fournir un contexte supplémentaire sur les artefacts dans un environnement client. Pour en savoir plus, consultez Comment Google Security Operations enrichit les données d'événement et d'entité.

  

Figure 9 Champs UDM dans l'observateur d'événements

Utiliser l'option "Colonnes" pour la recherche UDM

Utilisez l'option Colonnes pour définir les colonnes d'informations à afficher dans le tableau "Événements". Le menu "Colonnes" s'affiche. Les options disponibles varient en fonction des types d'événements renvoyés par la recherche UDM.

Si vous le souhaitez, vous pouvez enregistrer l'ensemble de colonnes que vous avez sélectionné ici en cliquant sur Enregistrer. Attribuez un nom à l'ensemble de colonnes sélectionnées, puis cliquez à nouveau sur Enregistrer. Pour charger un ensemble de colonnes enregistrées, cliquez sur Charger, puis sélectionnez l'ensemble de colonnes enregistrées dans la liste.

Vous pouvez également télécharger les événements affichés en cliquant sur le menu à trois points, puis en sélectionnant Télécharger au format CSV. Tous les résultats de recherche seront téléchargés (jusqu'à un million d'événements). L'interface utilisateur indique le nombre d'événements qu'elle va télécharger.

Figure 10 Colonnes de recherche UDM

Utiliser le tableau croisé dynamique pour analyser des événements

Le tableau croisé dynamique vous permet d'analyser des événements à l'aide d'expressions et de fonctions par rapport aux résultats de la recherche UDM.

Pour ouvrir et configurer le tableau croisé dynamique, procédez comme suit:

1. Exécutez une recherche UDM.

2. Cliquez sur l'onglet Tableau croisé dynamique pour ouvrir le tableau croisé dynamique.

3. Spécifiez une valeur Grouper par pour regrouper les événements selon un champ UDM spécifique. Vous pouvez afficher les résultats en utilisant la casse par défaut ou en sélectionnant minuscules dans le menu. Cette option n'est disponible que pour les champs de chaîne. Vous pouvez spécifier jusqu'à cinq valeurs Grouper par en cliquant sur Ajouter un champ.

   Si la valeur Grouper par correspond à l'un des champs de nom d'hôte, vous disposez d'options de transformation supplémentaires:

   • Domaine de premier niveau (N) : sélectionnez le niveau du domaine à afficher. Par exemple, la valeur 1 permet d'afficher uniquement le domaine de premier niveau (tel que com, gov ou edu). La valeur 3 permet d'afficher les deux niveaux suivants de noms de domaine (par exemple, google.co.uk).
   • Obtenir le domaine enregistré : affiche uniquement le nom de domaine enregistré (par exemple, google.com, nytimes.com et youtube.com).

   Si la valeur Grouper par est l'un des champs IP, vous disposez d'options de transformation supplémentaires:

   • Longueur du préfixe CIDR(IP) en bits : vous pouvez spécifier une valeur comprise entre 1 et 32 pour les adresses IPv4. Pour les adresses IPv6, vous pouvez spécifier des valeurs jusqu'à 128.

   Si la valeur Group By (Grouper par) inclut un code temporel, vous disposez d'options de transformation supplémentaires:

   • (Durée) Résolution en millisecondes
   • (Durée) Résolution en secondes
   • (Durée) Résolution en quelques minutes
   • (Durée) Résolution en heures
   • (Délai) Résolution en quelques jours

4. Spécifiez une valeur pour votre tableau croisé dynamique dans la liste des champs de vos résultats. Vous pouvez spécifier jusqu'à cinq valeurs. Après avoir spécifié un champ, vous devez sélectionner une option Résumer. Vous pouvez effectuer un résumé à l'aide des options suivantes:

   • pondérée
   • count
   • COUNT_DISTINCT
   • moyen
   • stddev
   • min
   • max

   Spécifiez la valeur Nombre d'événements pour renvoyer simplement le nombre d'événements identifiés pour cette recherche UDM et ce tableau croisé dynamique spécifiques.

   Les options Résumer ne sont pas universellement compatibles avec les champs Grouper par. Par exemple, les options sum, average, stddev, min et max ne peuvent être appliquées qu'aux champs numériques. Si vous tentez d'associer une option Résumer incompatible à un champ Grouper par, vous recevez un message d'erreur.

5. Spécifiez un ou plusieurs champs UDM et sélectionnez un ou plusieurs tris à l'aide de l'option Order by (Trier par).

6. Cliquez sur Appliquer lorsque vous êtes prêt. Les résultats sont affichés dans le tableau croisé dynamique.

7. (Facultatif) Pour télécharger le tableau croisé dynamique, cliquez sur more_vert, puis sélectionnez Télécharger au format CSV. Si vous n'avez pas sélectionné de tableau croisé dynamique, cette option est désactivée.

Effectuer une recherche dans les recherches rapides

1. Cliquez sur Recherches rapides pour ouvrir la fenêtre correspondante. Cette fenêtre affiche vos recherches enregistrées et l'historique des recherches.

2. Cliquez sur l'une des recherches listées pour la charger dans le champ de recherche UDM.

3. Cliquez sur Exécuter la recherche lorsque vous êtes prêt.

Les recherches listées sont enregistrées dans votre compte Google Security Operations. Pour modifier l'une de vos recherches enregistrées (par exemple, renommer une recherche existante), ou supprimer des recherches enregistrées ou des recherches de votre historique, ouvrez le Gestionnaire de recherche en cliquant sur Afficher toutes les recherches.

Présentation des recherches enregistrées et de l'historique des recherches

Utilisez le Gestionnaire de recherche pour récupérer les recherches enregistrées et afficher l'historique des recherches en cliquant sur Gestionnaire de recherche. Les recherches enregistrées et l'historique des recherches sont tous deux stockés dans votre compte Google Security Operations. Les recherches enregistrées et l'historique des recherches ne sont visibles et accessibles que par un utilisateur individuel, sauf si vous utilisez la fonctionnalité Partager une recherche pour partager votre recherche avec votre organisation. Sélectionnez une recherche enregistrée pour afficher des informations supplémentaires, y compris le titre et la description.

Enregistrer une recherche

Pour enregistrer une recherche:

1. Sur la page de recherche UDM, cliquez sur Save (Enregistrer) pour enregistrer votre recherche UDM afin de la réutiliser ultérieurement. Le Gestionnaire de recherche s'ouvre. Google vous recommande de donner un nom explicite à votre recherche enregistrée et d'y inclure une description en texte brut de ce que vous recherchez. Vous pouvez également créer une recherche UDM depuis le Search Manager en cliquant sur add. Les outils standards d'édition et de complétion UDM sont également disponibles ici.

2. (Facultatif) Spécifiez les variables d'espace réservé au format ${<variable name>} en utilisant le même format que celui utilisé pour les variables dans YARA-L. Si vous ajoutez une variable à une recherche UDM, vous devez également inclure une invite pour aider l'utilisateur à comprendre quelles informations il doit saisir avant d'effectuer la recherche. Toutes les variables doivent être renseignées avec des valeurs avant l'exécution d'une recherche.

   Par exemple, vous pouvez ajouter metadata.vendor_name = ${vendor_name} à votre recherche UDM. Pour ${vendor_name}, vous devez ajouter une invite pour les futurs utilisateurs, par exemple "Saisissez le nom du fournisseur pour votre recherche". À chaque fois qu'un utilisateur chargera cette recherche, il sera invité à saisir le nom du fournisseur avant de pouvoir exécuter la recherche.

3. Cliquez sur Enregistrer les modifications lorsque vous avez terminé.

4. Pour afficher les recherches enregistrées, cliquez sur Gestionnaire de recherche, puis sur l'onglet Enregistrés.

Récupérer une recherche enregistrée

Pour récupérer et exécuter une recherche enregistrée:

1. Dans le Gestionnaire de recherche, cliquez sur l'onglet Enregistrés.

2. Sélectionnez une recherche enregistrée dans la liste. Ces recherches sont enregistrées dans votre compte Google Security Operations. Pour supprimer une recherche, cliquez sur more_horiz, puis sélectionnez Supprimer la recherche.

3. Vous pouvez modifier le nom de la recherche et la description. Cliquez sur Enregistrer les modifications lorsque vous avez terminé.

4. Cliquez sur Charger la recherche. La recherche est chargée dans le champ principal de recherche UDM.

5. Cliquez sur Exécuter la recherche pour afficher les événements associés à cette recherche.

Récupérer une recherche à partir de votre historique des recherches

Pour extraire et lancer une recherche à partir de votre historique des recherches:

1. Dans le Gestionnaire de recherche, cliquez sur Historique.

2. Sélectionnez une recherche dans votre historique des recherches. L'historique des recherches est enregistré dans votre compte Google Security Operations. Vous pouvez supprimer une recherche en cliquant sur delete

3. Cliquez sur Charger la recherche. La recherche est chargée dans le champ principal de recherche UDM.

4. Cliquez sur Exécuter la recherche pour afficher les événements associés à cette recherche.

Effacer, désactiver ou activer l'historique des recherches

Pour effacer, désactiver ou activer l'historique des recherches:

1. Dans le Gestionnaire de recherche, cliquez sur l'onglet Historique.

2. Cliquez sur more_vert.

3. Sélectionnez Effacer l'historique pour effacer l'historique des recherches.

4. Cliquez sur Désactiver l'historique pour désactiver l'historique des recherches. Vous pouvez:

   • Désactiver uniquement : désactive l'historique des recherches.

   • Désactiver et effacer : désactiver l'historique des recherches et supprimer l'historique des recherches enregistrées.

5. Si vous avez désactivé l'historique des recherches, vous pouvez le réactiver en cliquant sur Activer l'historique des recherches.

6. Cliquez sur Fermer pour quitter le Gestionnaire de recherche.

Partager une recherche

Les recherches partagées vous permettent de partager des recherches avec le reste de votre équipe. Dans l'onglet Enregistrées, vous pouvez partager ou supprimer des recherches. Vous pouvez également filtrer vos recherches en cliquant sur l'icône de filtre à côté de la barre de recherche et les trier par Tout afficher, Définition Google SecOps, Auteurs par moi ou Partagés.

Vous ne pouvez pas modifier une recherche partagée qui ne vous appartient pas.

1. Cliquez sur Enregistrés.
2. Cliquez sur la recherche que vous souhaitez partager.
3. Cliquez sur more_horiz à droite de la recherche. Une boîte de dialogue vous proposant de partager votre recherche s'affiche.
4. Cliquez sur Partager avec votre organisation.
5. Une boîte de dialogue indique que le partage de votre recherche sera visible par les membres de votre organisation. Voulez-vous vraiment partager ces éléments ? Cliquez sur Partager,

Si vous souhaitez que vous seul puissiez voir la recherche, cliquez sur more_horiz, puis sur Arrêter le partage. Si vous arrêtez le partage, vous seul pourrez utiliser cette recherche.

Étapes suivantes

Pour savoir comment utiliser les données enrichies en contexte dans la recherche UDM, consultez Utiliser des données enrichies en contexte dans la recherche UDM.