Usa el intervalo de tiempo de la Búsqueda de UDM y administra las consultas

Se admite en los siguientes países:

Google Security Operations te permite buscar hasta un año de los datos de la empresa almacenados en tu cuenta. También incluye una serie de herramientas que te permiten ejecutar varias consultas de búsqueda de la AUA y, luego, recuperar y compartir los resultados de esas consultas.

Usa la UDM para buscar hasta un año de datos

Puedes realizar una búsqueda de UDM en hasta un año de tus datos de UDM. Para ajustar el período de la búsqueda de la AUA, completa los siguientes pasos:

  1. Ve a Investigación > Búsqueda de SIEM.
  2. Haz clic en el campo del selector de hora para abrir el cuadro de diálogo del selector de hora.
  3. En la pestaña Intervalo (la pestaña predeterminada), selecciona cualquiera de las opciones desde Últimos 5 minutos hasta Último año para ajustar el intervalo de tiempo.
  4. Usa los campos Inicio y Fin para elegir un período más específico (por ejemplo, las dos primeras semanas de noviembre).
  5. Para ajustar los horarios, selecciona valores de inicio y finalización específicos, por ejemplo, 03:00 y 08:30.
  6. Haz clic en Aplicar y, luego, en Ejecutar búsqueda.

Ejecuta búsquedas simultáneas y administra las consultas de búsqueda

Las búsquedas simultáneas y los resultados almacenados requieren que la función de historial de búsqueda esté activa. Para asegurarte de que el historial de búsqueda esté activado, sigue estos pasos:

  1. Ve a Investigación > Búsqueda de SIEM.

  2. Haz clic en Historial. Si se muestra el mensaje El historial de búsqueda está inhabilitado, continúa con el siguiente paso. Si no ves este mensaje, significa que el Historial de búsqueda ya está habilitado en tu cuenta.

  3. Haz clic en more_vert y selecciona Habilitar el historial de búsqueda.

Administra las búsquedas

Puedes ejecutar varias búsquedas de la AUA, recuperar los resultados de búsquedas anteriores y compartir los resultados de tus búsquedas con otros miembros de tu equipo:

  • Ejecuta varias búsquedas de la AUA: Mientras se está ejecutando una búsqueda, puedes ejecutar búsquedas adicionales en el editor de consultas. Google Security Operations continúa ejecutando tus búsquedas anteriores y ejecuta las nuevas en paralelo.

  • Ver resultados de la consulta: Desplázate por el historial de consultas y selecciona los resultados de la búsqueda en un plazo de 24 horas después de ejecutar una consulta. Haz clic en Historial y selecciona una de tus consultas de la lista.

    Las búsquedas en curso se muestran con un ícono de estado circular. Las consultas completadas se muestran con un ícono de marca de verificación verde, junto con un contador que indica la cantidad de eventos que muestra la consulta. Haz clic en una consulta completada para mostrar los resultados. Estos resultados se almacenan en caché y solo incluyen los datos disponibles en el momento de la ejecución de la consulta. Sin embargo, puedes hacer clic en almacenado en caché Volver a ejecutar para ejecutar la consulta con los datos más recientes. Esta nueva ejecución se agrega al historial de búsqueda y los resultados están disponibles cuando se completa la búsqueda.

  • Compartir resultados de la búsqueda: Copia la URL de los resultados de la búsqueda para compartirlos con otros usuarios.

    Cuando se almacenan los resultados de la búsqueda, los permisos de RBAC del usuario que ejecutó la búsqueda se almacenan con ellos. Cuando otro usuario ve estos resultados, el permiso de RBAC del usuario se compara con los permisos almacenados. Si los permisos del usuario son más restrictivos, se mostrará un error y no podrá ver los resultados.

    Los resultados de la búsqueda almacenados vencen 24 horas después de que se ejecuta una consulta. Sin embargo, la consulta de búsqueda seguirá disponible en el panel Historial. Puedes volver a ejecutar tus búsquedas, y los resultados estarán disponibles durante hasta 24 horas después del tiempo de ejecución de la consulta.