使用 UDM 搜索来调查实体

支持以下语言:

在调查期间,除了与搜索查询字词匹配的事件和提醒之外,您还可以编写 UDM 搜索查询,以显示一个或多个实体(例如 IP 地址、用户或资产)的详细信息。

在使用数据 RBAC 的系统上,您只能查看与自己的 范围。如需了解详情,请参阅数据 RBAC 对 Google 搜索的影响

如果搜索查询包含用于标识特定实体(例如 principal.ip="10.0.31.20")的条件,则搜索结果除了包含与整个搜索查询匹配的 UDM 事件之外,还会包含实体详细信息(如果贵企业中有实体)。

搜索结果窗格包含以下标签页:

  • 概览 - 关于一个或多个 实体。
  • 事件 - 与整个搜索条件相匹配的搜索结果 查询和搜索时间范围。
  • 提醒 - 由符合以下过滤条件的事件生成的提醒: 整个搜索查询。

UDM 搜索查询条件可以同时包含 UDM 字段 (principal.hostname="alice") 和分组 字段 (hostname="alice").

UDM 搜索查询可以包含多个条件,每个条件指定一个 不同的实体标识符。示例查询包括:

  • principal.hostname="alicehost" and user="alice"
  • principal.hostname="alicehost" and (user="kai" or user="alice")
  • principal.hostname="alicehost" and target.hostname="altostrat.com"
  • principal.hostname="alicehost" and hash="40a80612aaa8a8a36aa82a1278aaa02a"
  • hostname="alicehost" and domain=/altostrat.com/ nocase
  • user="alice" and domain=/altostrat.com/ nocase

下表包含针对一个或多个实体的 UDM 搜索查询示例以及显示的信息类型:

信息类型 UDM 搜索查询示例
素材资源
  • hostname="laptop-kai"
  • principal.hostname="laptop-kai"
  • principal.ip="10.0.0.76" //(private IP address)
  • principal.mac="c5:0c:9c:aa:bb:c4"
  • principal.hostname="laptop-kai" and metadata.event_type = "NETWORK_CONNECTION"
  • hostname="laptop-kai" or hostname="desktop-kai"
网域
  • domain="example.com"
  • target.hostname="example.com"
文件
  • hash="44a88612faa8a8f36ae82a1278aaa02a"
  • principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a"
IP
  • ip="8.8.8.8"
  • target.ip="203.0.113.204" //(public IP address)
用户
  • user="alice"
  • target.user.email_address="smitha@example.com"
  • principal.user.userid="alice" or target.user.userid = "smitha"
  • email="john@altostrat.com" or email="alice@example.com"
  • principal.user.userid="smitha"

“概览”标签页

概览标签页会以下列某种方式显示实体信息: 预定义的信息类型。显示的信息因信息类型而异。

资源详情

如果 UDM 搜索查询包含返回特定资产的条件, 例如 principal.hostname="laptop-will"principal.ip="10.0.0.76", 该 概览标签页显示“资产”视图,其中包含以下信息 面板:

  • 搜索摘要:显示以下信息:
    • 实体的详细信息,包括在搜索时间范围内与资产关联的 IP 地址和 MAC 地址。IP 地址和 MAC 地址还可用于识别实体,点击这些地址即可在实体查看器中显示其他信息。它还会显示资产在贵企业中首次出现的时间,以及上次(最近一次)出现的时间。您可以点击时间戳(第一个 或最后一个),以便在该时间运行新的搜索。
    • 提醒的详细信息,包括一张图表,显示搜索时间范围内涉及相应实体的提醒数量。该面板还会列出发出警报次数最多的一组规则。
    • 点击打开提醒和IOC,以查看在同一时间段内生成的所有提醒 搜索时间范围。
    • 点击在提醒标签中可切换到此提醒标签 页面并开始针对所选实体的新搜索。
    • 点击图表上的某一条柱可切换到 Alerts 标签页, 并使用 所点击的条形的时间范围。
    • 点击查看更多链接,打开实体字段视图并 显示与资产相关联的所有实体字段。如需将实体字段复制到剪贴板,请点击实体字段旁边的复选框,点击查看操作,然后点击复制实体。点击 复选框以选择所有实体。
  • 相关 IOC - 显示与资产相关联的 IOC。IOC 具有较高严重级别的标签的广告会优先显示点击 IOC 名称可在右侧打开实体查看器。
  • 已关联的实体 - 显示此素材资源所属的其他实体 相关的用户,例如登录该资产的用户。该面板会显示 实体的类型、首次在环境中首次出现的时间以及 上次(最近)出现。它还会显示与 资源。点击实体以打开实体上下文面板。点击显示 所有时间,以显示整个可用时间内的关联实体 句点,而不是在 UDM 搜索中指定的范围。
  • 实体上下文 - 显示有关所选实体的详细信息 该 关联的实体面板。此面板显示的信息 具体取决于您在关联实体中选择的实体类型 (例如用户或网域)。
  • 前往旧版视图 - 前往旧版资产调查视图。如需更多信息 请参阅调查资产

网域详情

如果 UDM 搜索查询包含用于指定特定网域(例如 target.hostname="example.com")的条件,概览标签页会在以下面板中显示网域详细信息:

  • 搜索摘要 - 显示以下信息:
    • 域名详细信息,包括与注册域名相关联的 WHOIS 信息、该域名在贵企业中首次出现的时间,以及上次(最近一次)出现的时间。点击 VT Context(VT 上下文)可查看有关该网域的信息, VirusTotal。
    • 有关提醒的详细信息,包括显示提醒数量的图表 。该面板还会列出发出警报次数最多的一组规则。
    • 点击打开提醒和IOC,以查看在同一时间段内生成的所有提醒 搜索时间范围。
    • 点击在提醒标签中可切换到此提醒标签 页面并开始针对所选实体的新搜索。
    • 点击图表上的某一条柱可切换到 Alerts 标签页, 并使用 所点击的条形的时间范围。
    • 点击查看更多链接,打开实体字段视图并 显示与网域关联的所有实体字段。如需将实体字段复制到剪贴板,请点击实体字段旁边的复选框,点击查看操作,然后点击复制实体。点击 复选框以选择所有实体。
  • 已解析的 IP - 显示所有已被解析为已解析的 IP 地址 用于完全限定域名 (FQDN)。例如,如果您搜索 target.hostname="test.altostrat.com",搜索结果可能会显示两个解析的 IP 地址(198.51.100.81203.0.113.81)。
  • 子网域和同级网域:显示贵企业中采用给定 FQDN 的所有关联子网域。众多对手 使用相同的域名和子域名进行攻击。例如,如果您搜索 target.hostname="sandbox.altostrat.com",此面板会显示两个子网域:test.sandbox.altostrat.comstaging.sandbox.altostrat.com
  • 资产普及率:显示在 Google 安全运营账号中存储的数据的整个时间段内,贵企业中与该网域关联的资产数量。图表中的每个条柱代表企业在某个 UTC 日期与网域相关联的唯一资产数量。将鼠标悬停在条形图上即可显示 以柱形表示的世界协调时间 (UTC) 日期。点击实体名称即可查看该实体 实体上下文面板中显示摘要和概览。 点击查看事件可在以下位置查看与所选实体相关的事件: 找到“搜索事件”标签
  • Associated entity(关联的实体):显示此网域所属的其他实体 例如与此网域联系过的资产列表 包括实体类型、实体在您的企业中首次出现的时间,以及 上次(最近)发现的时间。点击实体以打开该实体 上下文面板中查看相关信息。
  • 实体上下文 - 显示有关所选实体的详细信息 关联实体面板中查看相关信息。此面板显示的信息 具体取决于您在关联实体中选择的实体类型 (例如 IP 地址或域名)。
  • 前往旧版视图 - 前往旧版网域调查视图。如需更多信息 请参阅调查网域

文件详细信息

当 UDM 搜索查询包含一个返回单个文件的条件时, 示例 principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a",则 Overview(概览)标签页显示文件详细信息,其中包含以下信息: 面板:

  • 搜索摘要:显示以下信息:
    • 文件的详细信息(包括哈希值、文件大小、首次上传时间) 它在您的企业中被发现,以及最近一次(最近) 。点击 VT Context 可查看 VirusTotal 中与文件相关的信息。
    • 提醒的详细信息,包括一张图表,显示搜索时间范围内涉及相应实体的提醒数量。该面板还 列出了一条提醒数量最多的规则。
    • 点击打开提醒和IOC,以查看在同一时间段内生成的所有提醒 搜索时间范围。
    • 点击在提醒标签中可切换到此提醒标签 页面并开始针对所选实体的新搜索。
    • 点击图表上的某一条柱可切换到 Alerts 标签页, 并使用 所点击的条形的时间范围。
    • 点击查看更多链接,打开实体字段视图并 显示与文件关联的所有实体字段。要复制 实体字段复制到剪贴板,请点击实体旁边的复选框 字段中,依次点击查看操作复制实体。点击顶部的复选框,选择所有实体。
  • 相关 IOC - 显示与文件关联的 IOC。IOC 具有较高严重级别的标签的广告会优先显示点击 IOC 名称会打开 实体查看器。
  • 资产普及率 - 显示您企业中的资产数量 所存储数据的整个时间段内与文件相关联 您的 Google Security Operations 账号。
  • 关联的实体 - 显示此文件关联的其他实体,例如此文件的执行位置或访问过此文件的用户。该列表包含实体类型, 以及上次(最近)发现的时间。点击 实体以打开实体上下文面板。
  • VirusTotal 媒体资源和metadata - 显示元数据的相关信息 文件。点击查看更多以打开 VirusTotal 对话框,并显示有关该文件的更多信息。
  • 关联的实体 - 根据不同的实体显示不同的信息, 您在 Associated entity(关联的实体)面板中选择的实体的类型( 例如用户或资产)。
  • 实体上下文 - 显示有关所选实体的详细信息 关联实体面板中查看相关信息。此面板显示的信息 具体取决于您在关联实体中选择的实体类型 (例如用户或素材资源)。
  • 前往旧版视图:前往旧版文件调查页面 视图。如需了解详情,请参阅调查文件

IP 详情

当 UDM 搜索查询包含用于返回特定外部 IP 地址(例如 target.ip="203.0.113.254")的条件时,Overview(概览)标签页会在以下面板中显示 IP 详细信息:

  • 搜索摘要:显示以下信息:
    • IP 地址的详细信息,包括首次在贵企业内出现的时间和上次(最近一次)出现的时间。点击 VT Context,以便从以下位置查看关于此 IP 地址的可用信息: VirusTotal。
    • 有关提醒的详细信息,包括显示提醒数量的图表 。该面板还会列出发出警报次数最多的一组规则。
    • 点击打开提醒和IOC,以查看在同一时间段内生成的所有提醒 搜索时间范围。
    • 点击在提醒标签中可切换到此提醒标签 页面并开始针对所选实体的新搜索。
    • 点击图表上的某一条柱可切换到 Alerts 标签页, 并使用 所点击的条形的时间范围。
    • 点击查看更多链接,打开实体字段视图并 显示与 IP 地址关联的所有实体字段。复制 将实体字段复制到剪贴板,请点击该实体旁边的复选框 字段中,依次点击查看操作复制实体。点击 复选框以选择所有实体。
  • 相关 IOC - 显示与 IP 地址关联的 IOC。IOC 具有较高严重级别的标签的广告会优先显示点击 IOC 名称会打开 实体查看器。
  • 资产普及率 - 显示您企业中的资产数量 在 UDM 搜索。
  • 关联的实体 - 显示使用此 IP 地址的其他实体 例如 IP 地址注册到的网域列表 包括实体类型、实体在您的企业中首次出现的时间,以及 上次(最近)发现的时间。点击某个实体以打开实体上下文面板。
  • 实体上下文 - 显示有关所选实体的详细信息 该 关联的实体面板。此面板显示的信息 具体取决于您在关联实体中选择的实体类型 面板(例如域名或素材资源)。如果显示了链接,请点击 VT Context,以查看 VirusTotal 中有关实体的信息。
  • 转到旧版视图 - 转到旧版 IP 地址调查 视图。如需了解详情,请参阅调查 IP 地址

用户详细信息

当 UDM 搜索查询包含返回特定用户的条件时, 例如 principal.user.userid="alice"概览标签页会显示 包含以下面板中信息的用户详细信息:

  • 搜索摘要 - 显示以下信息:
    • 实体详细信息,包括全名、在贵企业中首次出现的时间和最近一次出现的时间、职位和电子邮件地址。
    • 有关提醒的详细信息,包括显示提醒数量的图表 。该面板还会列出发出警报次数最多的一组规则。
    • 点击打开提醒和IOC,以查看在同一时间段内生成的所有提醒 搜索时间范围。
    • 点击在提醒标签中可切换到此提醒标签 页面并开始针对所选实体的新搜索。
    • 点击图表上的某一条柱可切换到 Alerts 标签页, 并使用 所点击的条形的时间范围。
    • 点击查看更多链接,打开实体字段视图并 显示与该用户关联的所有实体字段。要复制 实体字段复制到剪贴板,请点击实体旁边的复选框 字段中,依次点击查看操作复制实体。点击 复选框以选择所有实体。
  • Associated entity(关联的实体):显示与该用户相关的实体 例如用户联系过的网域或访问过的资源。列表 包括实体类型、实体在您的企业中首次出现的时间,以及 上次(最近)发现的时间。点击实体以打开该实体 上下文面板中查看相关信息。
  • 实体上下文 - 显示有关您在 关联的实体面板。此面板中的信息有所不同 具体取决于实体类型(例如资产或域名)。
  • 转到旧版视图:转到旧版用户调查 视图。如需更多信息 请参阅调查用户

“事件”标签页

事件标签页会显示在指定时间范围内与您的 UDM 搜索相关联的事件。这些事件列在“事件”表格中。点击 事件的时间戳会打开一个对话框,其中显示与以下内容相关的资产和文件: 事件。点击其中任一项可打开实体上下文面板 它提供了有关该实体的更多信息,包括 以及显示这些提醒发生频率的提醒图表 。

有关 UDM 事件的信息,请参阅 UDM 的结构 事件

使用数据透视选项以打开数据透视设置。借助这些设置,您可以使用表达式和函数对 UDM 搜索的结果进行事件分析。有关详情,请参阅使用数据透视表进行分析 事件

随时间变化的趋势图表

“一段时间内的趋势”图表会显示指定时间段内的事件 。提醒会以红色显示在图表下方。点击其中一个 该柱形会将“事件”标签页的显示范围缩小到相应时间段。通过 与相应时段关联的活动会显示在“活动”表格中。

网域普及率图表

“网域普及率”图表会显示与您搜索内容相关联的网域在贵企业中的普及率。将鼠标悬停在图表上的某个圆圈上,即可显示相应网域,并可将搜索范围缩小到仅与该网域相关联的事件。图表仅显示 。

提醒标签

提醒标签可显示有关提醒的详细信息 与您的 UDM 搜索相关联。

  • 图表 - 显示一段时间内每个时间段的提醒数量 (英文句点因搜索时长而异)。 通过 通过已过滤的提醒复选框,您可以查看或隐藏由 过滤条件选项。通过查询提醒复选框,您可以查看或隐藏 通过 UDM 搜索处理的所有警报。
  • 过滤条件:允许您根据列出的选项过滤提醒。对于 例如,您可以点击严重程度,然后点击对应的菜单选项。 然后选择仅显示。系统会重新加载图表和表格,以便仅显示 中等严重级别的提醒。
  • 提醒表格 - 显示与 UDM 搜索相关的提醒。 点击提醒会打开提醒查看器,其中显示了 信息。点击查看详细信息可打开提醒和 IOC 视图 (请参阅查看提醒和 IOC)。如果您点击图表中的特定过滤条件栏,系统只会显示与该栏关联的提醒。同样,如果您添加过滤条件,表 会重新加载并仅显示与您的选择相关的提醒。