Menggunakan rentang waktu Penelusuran UDM dan mengelola kueri

Didukung di:

Google Security Operations memberi Anda kemampuan untuk menelusuri data perusahaan yang disimpan di akun Anda hingga satu tahun. Alat ini juga mencakup sejumlah alat yang memungkinkan Anda menjalankan beberapa kueri penelusuran UDM, lalu mengambil dan membagikan hasil kueri tersebut.

Menggunakan UDM untuk menelusuri data hingga satu tahun

Anda dapat melakukan penelusuran UDM pada data UDM hingga satu tahun. Untuk menyesuaikan periode waktu penelusuran UDM, selesaikan langkah-langkah berikut:

  1. Buka Investigasi > Penelusuran SIEM.
  2. Klik kolom pemilih waktu untuk membuka dialog pemilih waktu.
  3. Dari tab Rentang (tab default), sesuaikan rentang waktu dengan memilih salah satu opsi dari 5 menit terakhir hingga Tahun lalu.
  4. Gunakan kolom Mulai dan Akhir untuk memilih rentang tanggal yang lebih spesifik (misalnya, dua minggu pertama di bulan November).
  5. Sesuaikan waktu dengan memilih nilai awal dan akhir tertentu, misalnya, 03.00 dan 08.30.
  6. Klik Apply, lalu klik Run Search.

Menjalankan penelusuran serentak dan mengelola kueri penelusuran

Penelusuran serentak dan hasil yang disimpan memerlukan fitur histori penelusuran untuk aktif. Untuk memastikan histori penelusuran aktif, selesaikan langkah-langkah berikut:

  1. Buka Investigasi > Penelusuran SIEM.

  2. Klik Histori. Jika pesan Histori Penelusuran Dinonaktifkan ditampilkan, lanjutkan ke langkah berikutnya. Jika Anda tidak melihat pesan ini, berarti Histori Penelusuran sudah diaktifkan untuk akun Anda.

  3. Klik more_vert , lalu pilih Aktifkan histori penelusuran.

Mengelola kueri penelusuran

Anda dapat menjalankan beberapa penelusuran UDM, mengambil hasil penelusuran kueri sebelumnya, dan membagikan hasil kueri kepada anggota tim lainnya:

  • Menjalankan beberapa penelusuran UDM: Saat kueri penelusuran sedang berlangsung, Anda dapat menjalankan penelusuran tambahan di editor kueri. Google Security Operations terus menjalankan penelusuran Anda sebelumnya dan menjalankan penelusuran baru secara paralel.

  • Melihat hasil kueri: Scroll histori kueri dan pilih hasil penelusuran dalam waktu 24 jam setelah menjalankan kueri. Klik Histori, lalu pilih salah satu kueri dari daftar.

    Kueri yang sedang berlangsung ditampilkan dengan ikon status melingkar. Kueri yang telah selesai ditampilkan dengan ikon tanda centang hijau, beserta penghitung yang menunjukkan jumlah peristiwa yang ditampilkan oleh kueri. Klik kueri yang telah selesai untuk menampilkan hasilnya. Hasil ini disimpan dalam cache dan hanya menyertakan data yang tersedia pada waktu kueri berjalan. Namun, Anda dapat mengklik cached Run Again untuk menjalankan kueri terhadap data terbaru. Pengoperasian baru ini ditambahkan ke histori penelusuran dan hasilnya akan tersedia saat kueri selesai.

  • Bagikan hasil kueri: Salin URL hasil kueri untuk membagikannya kepada pengguna lain.

    Saat hasil penelusuran disimpan, cakupan RBAC pengguna yang menjalankan penelusuran juga disimpan. Saat hasil ini dilihat oleh pengguna lain, cakupan RBAC penampil akan dibandingkan dengan cakupan yang disimpan. Jika cakupan penonton lebih ketat, error akan ditampilkan dan mereka tidak akan dapat melihat hasilnya.

    Masa berlaku hasil penelusuran yang disimpan akan berakhir 24 jam setelah kueri dijalankan. Namun, kueri penelusuran Anda masih tersedia di panel Histori. Anda dapat menjalankan kembali penelusuran dan hasilnya akan tersedia hingga 24 jam setelah waktu eksekusi kueri.