Utilizzare la ricerca UDM per esaminare un'entità

Supportato in:

Durante un'indagine, puoi scrivere una query di ricerca UDM per visualizzare i dettagli su uno o più entità (ad esempio, un indirizzo IP, un utente o un asset) oltre agli eventi e e avvisi che corrispondono ai termini della query di ricerca.

Sui sistemi che utilizzano RBAC dei dati, puoi vedere solo i dati che corrispondono ambiti. Per ulteriori informazioni, consulta l'articolo sull'impatto dei dati RBAC sulla Ricerca.

Quando una query di ricerca include una condizione che identifica una specifica entità (ad ad esempio principal.ip="10.0.31.20"), i risultati di ricerca includono dettagli su all'entità (se presente nella tua azienda) oltre agli eventi UDM corrispondenti l'intera query di ricerca.

Il riquadro dei risultati di ricerca include le seguenti schede:

  • Panoramica: dettagli su uno o più elementi specifici. le entità.
  • Eventi: risultati di ricerca che corrispondono all'intera ricerca della query e dell'intervallo di tempo della ricerca.
  • Avvisi: avvisi generati da eventi che corrispondono alla l'intera query di ricerca.

Le condizioni delle query di ricerca UDM possono includere sia UDM campi (principal.hostname="alice") e raggruppati campi (hostname="alice").

La query di ricerca UDM può includere più condizioni, ciascuna delle quali specifica un identificatore entità diverso. Ecco alcuni esempi di query:

  • principal.hostname="alicehost" and user="alice"
  • principal.hostname="alicehost" and (user="kai" or user="alice")
  • principal.hostname="alicehost" and target.hostname="altostrat.com"
  • principal.hostname="alicehost" and hash="40a80612aaa8a8a36aa82a1278aaa02a"
  • hostname="alicehost" and domain=/altostrat.com/ nocase
  • user="alice" and domain=/altostrat.com/ nocase

La tabella seguente include esempi di query di ricerca UDM per una o più entità e il tipo di informazioni visualizzate:

Tipo di informazioni Esempi di query di ricerca UDM
Asset
  • hostname="laptop-kai"
  • principal.hostname="laptop-kai"
  • principal.ip="10.0.0.76" //(private IP address)
  • principal.mac="c5:0c:9c:aa:bb:c4"
  • principal.hostname="laptop-kai" and metadata.event_type = "NETWORK_CONNECTION"
  • hostname="laptop-kai" or hostname="desktop-kai"
Dominio
  • domain="example.com"
  • target.hostname="example.com"
File
  • hash="44a88612faa8a8f36ae82a1278aaa02a"
  • principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a"
IP
  • ip="8.8.8.8"
  • target.ip="203.0.113.204" //(public IP address)
Utente
  • user="alice"
  • target.user.email_address="smitha@example.com"
  • principal.user.userid="alice" or target.user.userid = "smitha"
  • email="john@altostrat.com" or email="alice@example.com"
  • principal.user.userid="smitha"

Scheda Panoramica

La scheda Panoramica mostra le informazioni sulle entità in uno dei seguenti tipi di informazioni predefinite. Le informazioni presentate variano a seconda tipo di informazioni.

Dettagli asset

Quando la query di ricerca UDM include una condizione che restituisce un asset specifico, ad esempio principal.hostname="laptop-will" o principal.ip="10.0.0.76", il La scheda Panoramica mostra la Vista asset con informazioni nel seguente modo riquadri:

  • Riepilogo ricerca: mostra le seguenti informazioni:
    • Dettagli sull'entità, inclusi l'indirizzo IP e l'indirizzo MAC. associate all'asset durante l'intervallo di tempo della ricerca. L'indirizzo IP e MAC possono essere usati anche per identificare un'entità e possono selezionati per visualizzare ulteriori informazioni nel visualizzatore delle entità. Inoltre, mostra la prima volta che l'asset è stato visto nella tua azienda e quando è stato l'ultimo (più di recente) rilevato. Puoi fare clic su un timestamp (primo o meno) per eseguire una nuova ricerca utilizzando quell'ora.
    • Dettagli sugli avvisi, incluso un grafico che mostra il numero di avvisi che ha coinvolto l'entità nell'intervallo di tempo della ricerca. Inoltre, il panel un sottoinsieme di regole con il maggior numero di avvisi.
    • Fai clic su Apri avvisi e indicatori di compromissione per visualizzare tutti gli avvisi generati nello stesso intervallo di tempo di ricerca.
    • Fai clic su Visualizza nella scheda Avvisi per passare alla scheda Avvisi su questo e avvia una nuova ricerca per l'entità selezionata.
    • Fai clic su una delle barre del grafico per passare alla scheda Avvisi questa pagina e avvia una nuova ricerca rispetto all'entità selezionata, utilizzando dell'intervallo di tempo della barra selezionata.
    • Fai clic sul link Visualizza altro per aprire la visualizzazione Campi entità e visualizzare tutti i campi delle entità associati alla risorsa. Per copiare un campo dell'entità negli appunti, fai clic sulla casella di controllo accanto al campo dell'entità, fai clic su Visualizza azioni e poi su Copia entità. Fai clic sull' casella di controllo in alto per selezionare tutte le entità.
  • IOC pertinenti: mostra gli IOC associati all'asset. IOC a cui è assegnata una gravità più alta. Facendo clic sul nome IOC si apre il visualizzatore entità a destra.
  • Entità associate: mostra altre entità associate all'asset ad esempio gli utenti che hanno eseguito l'accesso alla risorsa. Il riquadro mostra il tipo di entità, la prima volta che è stata rilevata nell'ambiente e l'ultima volta (più di recente). Vengono visualizzati anche gli spazi dei nomi associati a una risorsa. Fai clic su un'entità per aprire il riquadro Contesto dell'entità. Fai clic su Mostra dall'inizio per visualizzare le entità associate per tutto il tempo disponibile rispetto all'intervallo specificato nella ricerca UDM.
  • Contesto dell'entità: mostra i dettagli dell'entità selezionata in il Riquadro Entità associate. Questo riquadro mostra informazioni diverse a seconda del tipo di entità selezionato in Entità associate (ad esempio utente o dominio).
  • Vai alla vista precedente: vai all'indagine Asset legacy. vista. Per ulteriori informazioni, consulta Effettuare un'indagine su una risorsa.

Dettagli del dominio

Quando la query di ricerca UDM include una condizione che specifica un dominio specifico, ad esempio target.hostname="example.com", la scheda Panoramica mostra Dettagli del dominio con informazioni nei seguenti riquadri:

  • Riepilogo ricerca: mostra le seguenti informazioni:
    • Dettagli sul dominio, tra cui WHOIS informazioni associate al dominio registrato, la prima volta registrato nella tua azienda e l'ultima volta (più recente) in cui è stato visualizzato. Fai clic su Contesto VT per visualizzare le informazioni sul dominio da VirusTotal.
    • Dettagli sugli avvisi, incluso un grafico che mostra il numero di avvisi che hanno coinvolto l'entità nell'intervallo di tempo di ricerca. Inoltre, il panel un sottoinsieme di regole con il maggior numero di avvisi.
    • Fai clic su Apri avvisi e indicatori di compromissione per visualizzare tutti gli avvisi generati nello stesso intervallo di tempo di ricerca.
    • Fai clic su Visualizza nella scheda Avvisi per passare alla scheda Avvisi su questo e avvia una nuova ricerca per l'entità selezionata.
    • Fai clic su una delle barre del grafico per passare alla scheda Avvisi questa pagina e avvia una nuova ricerca rispetto all'entità selezionata, utilizzando dell'intervallo di tempo della barra selezionata.
    • Fai clic sul link Visualizza altro per aprire la visualizzazione Campi entità e visualizza tutti i campi entità associati al dominio. Per copiare un campo entità negli appunti, fai clic sulla casella di controllo accanto all'entità fai clic su Visualizza azioni e poi su Copia entità. Fai clic sull' casella di controllo in alto per selezionare tutte le entità.
  • IP risolti: mostra tutti gli indirizzi IP risolti che sono stati visualizzato nella tua azienda per il nome di dominio completo (FQDN). Per ad esempio, se cerchi target.hostname="test.altostrat.com", i risultati di ricerca potrebbero mostrare due indirizzi IP risolti (198.51.100.81 e 203.0.113.81).
  • Sottodomini e domini di pari livello: mostra tutti i sottodomini associati visualizzati nella tua azienda per un determinato nome di dominio. Molti avversari usano lo stesso dominio e sottodominio per i loro attacchi. Ad esempio, se cerchi target.hostname="sandbox.altostrat.com", questo riquadro mostra due sottodomini, test.sandbox.altostrat.com e staging.sandbox.altostrat.com.
  • Prevalenza di asset: mostra il numero di asset nella tua azienda che si sono collegati al dominio per l'intero periodo di tempo dei dati memorizzati nel tuo account Google Security Operations. Ogni barra del grafico rappresenta il numero di asset unici nella tua azienda che sono collegati in un giorno UTC. Se passi il mouse sopra una barra, vengono visualizzate le entità correlate il giorno UTC rappresentato dalla barra. Fai clic sul nome dell'entità per visualizzarla riepilogo e panoramica nel riquadro contestuale dell'entità visualizzato a destra. Fai clic su Visualizza eventi per visualizzare gli eventi correlati all'entità selezionata in la scheda degli eventi di ricerca.
  • Entità associate: vengono visualizzate altre entità correlate a questo dominio, ad esempio le risorse che hanno contattato questo dominio. Elenco include il tipo di entità, quando è stata rilevata per la prima volta nella tua azienda, quando è stato rilevato l'ultima volta (più di recente). Fai clic su un'entità per aprire l'entità riquadro contestuale.
  • Contesto dell'entità: mostra i dettagli dell'entità selezionata in nel riquadro Entità associate. Questo riquadro mostra informazioni diverse a seconda del tipo di entità selezionato in Entità associate (ad esempio, indirizzo IP o dominio).
  • Vai alla vista precedente: vai all'indagine Dominio legacy vista. Per ulteriori informazioni, consulta Esaminare un dominio.

Dettagli file

Quando la query di ricerca UDM include una condizione che restituisce un singolo file, ad ad esempio principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a", La scheda Panoramica mostra i dettagli del File con informazioni nel seguente riquadri:

  • Riepilogo ricerca: mostra le seguenti informazioni:
    • Dettagli sul file, tra cui valori hash e dimensioni del file, la prima volta. visto nella tua azienda e l'ultima volta (più recente) visti. Fai clic su VT Context per visualizzare le informazioni sul file da VirusTotal.
    • Dettagli sugli avvisi, incluso un grafico che mostra il numero di avvisi che hanno coinvolto l'entità nell'intervallo di tempo di ricerca. Inoltre, il panel un sottoinsieme di regole con il maggior numero di avvisi.
    • Fai clic su Apri avvisi e indicatori di compromissione per visualizzare tutti gli avvisi generati nello stesso intervallo di tempo di ricerca.
    • Fai clic su Visualizza nella scheda Avvisi per passare alla scheda Avvisi su questo e avvia una nuova ricerca per l'entità selezionata.
    • Fai clic su una delle barre del grafico per passare alla scheda Avvisi questa pagina e avvia una nuova ricerca rispetto all'entità selezionata, utilizzando dell'intervallo di tempo della barra selezionata.
    • Fai clic sul link Visualizza altro per aprire la visualizzazione Campi entità e visualizza tutti i campi entità associati al file. Per copiare un campo entità negli appunti, fai clic sulla casella di controllo accanto all'entità fai clic su Visualizza azioni e poi su Copia entità. Fai clic sull' casella di controllo in alto per selezionare tutte le entità.
  • IOC pertinenti: mostra gli IOC associati al file. IOC a cui è assegnata una gravità più alta. Se fai clic sul nome dell'IOC, a destra si apre il visualizzatore delle entità.
  • Prevalenza delle risorse: mostra il numero di risorse della tua azienda associate al file per l'intero periodo di tempo dei dati memorizzati nel tuo account Google Security Operations.
  • Entità associate: mostra altre entità associate al file correlate, ad esempio una risorsa in cui è stato eseguito il file o gli utenti che eseguito l'accesso al file. L'elenco include il tipo di entità, quando è stata la prima rilevato nella tua azienda e la data dell'ultimo accesso (più di recente). Fai clic su un'entità per aprire il riquadro Contesto dell'entità.
  • Proprietà e metadati di VirusTotal: vengono visualizzate informazioni sul file dal database di VirusTotal. Fai clic su Visualizza altro per aprire un file VirusTotal e visualizzare informazioni aggiuntive sul file.
  • Entità associate: mostra informazioni diverse a seconda del tipo il tipo di entità selezionato nel riquadro Entità associate (ad ad esempio utente o asset).
  • Contesto dell'entità: mostra i dettagli dell'entità selezionata in nel riquadro Entità associate. Questo riquadro mostra informazioni diverse in base al tipo di entità selezionato nel riquadro Entità associate (ad esempio utente o risorsa).
  • Vai alla vista precedente: vai all'indagine File precedente vista. Per ulteriori informazioni, consulta Esaminare un file.

Dettagli IP

Quando la query di ricerca UDM include una condizione che restituisce uno specifico l'indirizzo IP, ad esempio target.ip="203.0.113.254", La scheda Panoramica mostra i dettagli dell'IP con informazioni nel seguente riquadri:

  • Riepilogo ricerca: mostra le seguenti informazioni:
    • Dettagli sull'indirizzo IP, inclusa la prima volta in cui è stato visualizzato in la tua azienda e l'ultima volta che è stata visualizzata. Fai clic su VT Contesto per visualizzare le informazioni disponibili su questo indirizzo IP da VirusTotal.
    • Dettagli sugli avvisi, incluso un grafico che mostra il numero di avvisi che ha coinvolto l'entità nell'intervallo di tempo della ricerca. Il riquadro elenca anche un sottoinsieme di regole con il maggior numero di avvisi.
    • Fai clic su Apri avvisi e indicatori di compromissione per visualizzare tutti gli avvisi generati nello stesso intervallo di tempo di ricerca.
    • Fai clic su Visualizza nella scheda Avvisi per passare alla scheda Avvisi su questo e avvia una nuova ricerca per l'entità selezionata.
    • Fai clic su una delle barre del grafico per passare alla scheda Avvisi questa pagina e avvia una nuova ricerca rispetto all'entità selezionata, utilizzando dell'intervallo di tempo della barra selezionata.
    • Fai clic sul link Visualizza altro per aprire la visualizzazione Campi entità e visualizzare tutti i campi entità associati all'indirizzo IP. Per copiare un campo entità negli appunti, fai clic sulla casella di controllo accanto all'entità fai clic su Visualizza azioni e poi su Copia entità. Fai clic sulla casella di controllo in alto per selezionare tutte le entità.
  • IOC pertinenti: mostra gli IOC associati all'indirizzo IP. IOC a cui è assegnata una gravità più alta. Facendo clic sul nome IOC si apre il visualizzatore entità a destra.
  • Prevalenza di asset: mostra il numero di asset nella tua azienda che si sono collegati all'indirizzo IP nel periodo di tempo specificato in Ricerca UDM.
  • Entità associate: mostra altre entità a cui l'indirizzo IP specificato quali i domini in cui è registrato l'indirizzo IP. Elenco include il tipo di entità, quando è stata rilevata per la prima volta nella tua azienda, quando è stato rilevato l'ultima volta (più di recente). Fai clic su un'entità per aprire il riquadro Contesto entità.
  • Contesto dell'entità: mostra i dettagli dell'entità selezionata nel riquadro Entità associate. Questo riquadro mostra informazioni diverse a seconda del tipo di entità selezionato in Entità associate (ad esempio dominio o asset). Se il link viene visualizzato, fai clic su VT. Contesto per visualizzare le informazioni sull'entità da VirusTotal.
  • Vai alla visualizzazione legacy: vai alla visualizzazione dell'indagine Indirizzo IP legacy. Per ulteriori informazioni, consulta Esaminare un indirizzo IP.

Dettagli utente

Quando la query di ricerca UDM include una condizione che restituisce un utente specifico, per Ad esempio principal.user.userid="alice", la scheda Panoramica mostra le Dettagli dell'utente con informazioni nei seguenti riquadri:

  • Riepilogo della ricerca: vengono visualizzate le seguenti informazioni:
    • Dettagli sull'entità, incluso il nome completo, visualizzati per la prima volta in la tua azienda e l'ultima volta (più recente) visualizzazione, titolo ed email .
    • Dettagli sugli avvisi, incluso un grafico che mostra il numero di avvisi che ha coinvolto l'entità nell'intervallo di tempo della ricerca. Inoltre, il panel un sottoinsieme di regole con il maggior numero di avvisi.
    • Fai clic su Apri avvisi e indicatori di compromissione per visualizzare tutti gli avvisi generati nello stesso intervallo di tempo di ricerca.
    • Fai clic su Visualizza nella scheda Avvisi per passare alla scheda Avvisi su questo e avvia una nuova ricerca per l'entità selezionata.
    • Fai clic su una delle barre del grafico per passare alla scheda Avvisi in questa pagina e avviare una nuova ricerca per l'entità selezionata utilizzando l'intervallo di tempo della barra su cui hai fatto clic.
    • Fai clic sul link Visualizza altro per aprire la visualizzazione Campi entità e visualizza tutti i campi entità associati all'utente. Per copiare un campo entità negli appunti, fai clic sulla casella di controllo accanto all'entità fai clic su Visualizza azioni e poi su Copia entità. Fai clic sull' casella di controllo in alto per selezionare tutte le entità.
  • Entità associate: mostra le entità correlate all'utente. quali i domini contattati dall'utente o gli asset a cui l'utente ha eseguito l'accesso. Elenco include il tipo di entità, quando è stata rilevata per la prima volta nella tua azienda, quando è stato rilevato l'ultima volta (più di recente). Fai clic su un'entità per aprire l'entità riquadro contestuale.
  • Contesto entità: mostra i dettagli dell'entità selezionata nella Riquadro Entità associate. Le informazioni in questo riquadro sono diverse a seconda del tipo di entità (ad esempio asset o dominio).
  • Vai alla visualizzazione legacy: vai alla visualizzazione legacy dell'indagine Utente. Per ulteriori informazioni, consulta Effettuare un'indagine su un utente.

Scheda Eventi

La scheda Eventi mostra gli eventi collegati alla tua ricerca UDM negli in un determinato intervallo di tempo. Questi eventi sono elencati nella tabella Eventi. Facendo clic su il timestamp dell'evento apre una finestra di dialogo che mostra gli asset e i file associati l'evento. Se fai clic su uno di questi elementi, si apre il riquadro Contesto dell'entità che fornisce ulteriori informazioni sulla persona giuridica, incluso un elenco di eventuali avvisi associati e un grafico degli avvisi che mostra la frequenza di questi avvisi nel tempo.

Per informazioni sugli eventi UDM, consulta Struttura di una tecnologia UDM. Evento.

Utilizza l'opzione Pivot per aprire le Impostazioni pivot. Queste impostazioni ti consentono analizzare gli eventi utilizzando espressioni e funzioni rispetto ai risultati dell'UDM Cerca. Per ulteriori informazioni, vedi Utilizzare la tabella pivot per analizzare gli eventi.

Grafico della tendenza nel tempo

Il grafico Tendenza nel tempo mostra gli eventi nel periodo di tempo specificato. nella ricerca UDM. Gli avvisi vengono visualizzati in rosso sotto il grafico. Facendo clic su una delle delle barre restringe l'obiettivo della scheda Eventi a quel periodo di tempo. La gli eventi associati a quella fascia oraria vengono visualizzati nella tabella Eventi.

Grafico della diffusione del dominio

Il grafico Prevalenza del dominio mostra la prevalenza dei domini associati alla tua ricerca nella tua azienda. Quando passi il mouse su uno dei cerchi sul grafico mostrano il dominio specifico e ti consentono di restringere cercare solo gli eventi associati a quel dominio. Il grafico viene visualizzato solo se la ricerca UDM include un dominio.

Scheda avvisi

La scheda Avvisi ti consente di visualizzare informazioni dettagliate sugli avvisi. collegato alla ricerca UDM.

  • Grafico: mostra il numero di avvisi per periodo nel tempo. specificato nella ricerca UDM (il periodo varia in base alla lunghezza della ricerca). La La casella di controllo Avvisi filtrati ti consente di visualizzare o nascondere gli avvisi elaborati le opzioni Filtri. La casella di controllo Avvisi sulle query ti consente di visualizzare o nascondere tutti gli avvisi elaborati dalla ricerca UDM.
  • Filtri: consente di filtrare gli avvisi in base alle opzioni elencate. Per Ad esempio, puoi fare clic su Gravità, poi sull'opzione di menu Media, e seleziona Mostra solo. Il grafico e la tabella vengono ricaricati per visualizzare solo gli avvisi con gravità media.
  • Tabella Avvisi: mostra gli avvisi associati alla ricerca UDM. Se fai clic su un avviso, si apre il visualizzatore avvisi, che mostra informazioni. Se fai clic su Visualizza dettagli, si apre la vista Avvisi e IOC. (consulta Visualizzare avvisi e IOC). Se fai clic su una specifica barra dei filtri nel grafico, solo gli avvisi associati con quella barra. Analogamente, se aggiungi filtri, la tabella ricarica e mostra solo gli avvisi correlati alle tue selezioni.