Utilizzare la ricerca UDM per esaminare un'entità

Supportato in:

Durante un'indagine, puoi scrivere una query di ricerca UDM per visualizzare i dettagli di una o più entità (ad esempio un indirizzo IP, un utente o una risorsa), oltre agli eventi e agli avvisi corrispondenti ai termini della query di ricerca.

Nei sistemi che utilizzano l'accesso in base al ruolo dei dati, puoi visualizzare solo i dati corrispondenti ai tuoi scopi. Per ulteriori informazioni, consulta l'impatto del RBAC dei dati sulla Ricerca.

Quando una query di ricerca include una condizione che identifica un'entità specifica (ad esempio principal.ip="10.0.31.20"), i risultati di ricerca includono i dettagli dell'entità (se presente nella tua azienda), oltre agli eventi UDM corrispondenti all'intera query di ricerca.

Il riquadro dei risultati di ricerca include le seguenti schede:

  • Panoramica: dettagli su uno o più elementi specifici. le entità.
  • Eventi: risultati di ricerca che corrispondono all'intera ricerca della query e dell'intervallo di tempo della ricerca.
  • Avvisi: avvisi generati da eventi che corrispondono alla l'intera query di ricerca.

Le condizioni delle query di ricerca UDM possono includere sia UDM campi (principal.hostname="alice") e raggruppati campi (hostname="alice").

La query di ricerca UDM può includere più condizioni, ciascuna che specifica un identificatore di entità diverso. Ecco alcuni esempi di query:

  • principal.hostname="alicehost" and user="alice"
  • principal.hostname="alicehost" and (user="kai" or user="alice")
  • principal.hostname="alicehost" and target.hostname="altostrat.com"
  • principal.hostname="alicehost" and hash="40a80612aaa8a8a36aa82a1278aaa02a"
  • hostname="alicehost" and domain=/altostrat.com/ nocase
  • user="alice" and domain=/altostrat.com/ nocase

La tabella seguente include esempi di query di ricerca UDM per una o più entità e il tipo di informazioni visualizzate:

Tipo di informazioni Esempi di query di ricerca UDM
Asset
  • hostname="laptop-kai"
  • principal.hostname="laptop-kai"
  • principal.ip="10.0.0.76" //(private IP address)
  • principal.mac="c5:0c:9c:aa:bb:c4"
  • principal.hostname="laptop-kai" and metadata.event_type = "NETWORK_CONNECTION"
  • hostname="laptop-kai" or hostname="desktop-kai"
Dominio
  • domain="example.com"
  • target.hostname="example.com"
File
  • hash="44a88612faa8a8f36ae82a1278aaa02a"
  • principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a"
IP
  • ip="8.8.8.8"
  • target.ip="203.0.113.204" //(public IP address)
Utente
  • user="alice"
  • target.user.email_address="smitha@example.com"
  • principal.user.userid="alice" or target.user.userid = "smitha"
  • email="john@altostrat.com" or email="alice@example.com"
  • principal.user.userid="smitha"

Scheda Panoramica

La scheda Panoramica mostra le informazioni sull'entità in uno dei seguenti modi: informazioni predefinite. Le informazioni presentate variano a seconda del tipo di informazione.

Dettagli asset

Quando la query di ricerca UDM include una condizione che restituisce un asset specifico, ad esempio principal.hostname="laptop-will" o principal.ip="10.0.0.76", la scheda Panoramica mostra la Visualizzazione asset con le informazioni nei seguenti riquadri:

  • Riepilogo ricerca: mostra le seguenti informazioni:
    • Dettagli sull'entità, inclusi l'indirizzo IP e l'indirizzo MAC. associate all'asset durante l'intervallo di tempo della ricerca. L'indirizzo IP e MAC possono essere usati anche per identificare un'entità e possono selezionati per visualizzare ulteriori informazioni nel visualizzatore delle entità. Inoltre, viene visualizzata la prima volta che la risorsa è stata rilevata nella tua azienda e l'ultima volta (più di recente). Puoi fare clic su un timestamp (primo o ultimo) per eseguire una nuova ricerca utilizzando quel momento.
    • Dettagli sugli avvisi, incluso un grafico che mostra il numero di avvisi che hanno coinvolto l'entità nell'intervallo di tempo di ricerca. Il riquadro elenca anche un sottoinsieme di regole con il maggior numero di avvisi.
    • Fai clic su Apri Avvisi e IOC per vedere tutti gli avvisi generati durante lo stesso dell'intervallo di tempo della ricerca.
    • Fai clic su Visualizza nella scheda Avvisi per passare alla scheda Avvisi su questo e avvia una nuova ricerca per l'entità selezionata.
    • Fai clic su una delle barre del grafico per passare alla scheda Avvisi questa pagina e avvia una nuova ricerca rispetto all'entità selezionata, utilizzando dell'intervallo di tempo della barra selezionata.
    • Fai clic sul link Visualizza altro per aprire la visualizzazione Campi entità e visualizzare tutti i campi entità associati alla risorsa. Per copiare un campo dell'entità negli appunti, fai clic sulla casella di controllo accanto al campo dell'entità, fai clic su Visualizza azioni e poi su Copia entità. Fai clic sull' casella di controllo in alto per selezionare tutte le entità.
  • IOC pertinenti: mostra gli IOC associati alla risorsa. IOC a cui è assegnata una gravità più alta. Se fai clic sul nome dell'IOC, si apre il visualizzatore delle entità a destra.
  • Entità associate: mostra altre entità associate all'asset ad esempio gli utenti che hanno eseguito l'accesso alla risorsa. Nel riquadro vengono visualizzati i tipo di entità, quando è stata rilevata per la prima volta nell'ambiente visto l'ultima volta (più di recente). Vengono visualizzati anche gli spazi dei nomi associati a una risorsa. Fai clic su un'entità per aprire il riquadro Contesto dell'entità. Fai clic su Mostra tutto il tempo per visualizzare le entità associate nell'intero periodo di tempo disponibile, anziché nell'intervallo specificato nella ricerca UDM.
  • Contesto dell'entità: mostra i dettagli dell'entità selezionata in il Riquadro Entità associate. Questo riquadro mostra informazioni diverse a seconda del tipo di entità selezionato nel riquadro Entità associate (ad esempio utente o dominio).
  • Vai alla visualizzazione legacy: vai alla visualizzazione dell'indagine Asset legacy. Per ulteriori informazioni, consulta Effettuare un'indagine su una risorsa.

Dettagli del dominio

Quando la query di ricerca UDM include una condizione che specifica un dominio specifico, ad esempio target.hostname="example.com", la scheda Panoramica mostra i dettagli del dominio con le informazioni nei seguenti riquadri:

  • Riepilogo ricerca: mostra le seguenti informazioni:
    • Dettagli sul dominio, tra cui le informazioni WHOIS associate al dominio registrato, la prima volta che è stato rilevato nella tua azienda e l'ultima volta (la più recente) che è stato rilevato. Fai clic su Contesto VT per visualizzare le informazioni sul dominio da VirusTotal.
    • Dettagli sugli avvisi, incluso un grafico che mostra il numero di avvisi che hanno coinvolto l'entità nell'intervallo di tempo di ricerca. Il riquadro elenca anche un sottoinsieme di regole con il maggior numero di avvisi.
    • Fai clic su Apri Avvisi e IOC per vedere tutti gli avvisi generati durante lo stesso dell'intervallo di tempo della ricerca.
    • Fai clic su Visualizza nella scheda Avvisi per passare alla scheda Avvisi su questo e avvia una nuova ricerca per l'entità selezionata.
    • Fai clic su una delle barre del grafico per passare alla scheda Avvisi questa pagina e avvia una nuova ricerca rispetto all'entità selezionata, utilizzando dell'intervallo di tempo della barra selezionata.
    • Fai clic sul link Visualizza altro per aprire la visualizzazione Campi entità e visualizza tutti i campi entità associati al dominio. Per copiare un campo dell'entità negli appunti, fai clic sulla casella di controllo accanto al campo dell'entità, fai clic su Visualizza azioni e poi su Copia entità. Fai clic sull' casella di controllo in alto per selezionare tutte le entità.
  • IP risolti: mostra tutti gli indirizzi IP risolti rilevati nella tua azienda per il nome di dominio completo (FQDN). Ad esempio, se cerchi target.hostname="test.altostrat.com", i risultati di ricerca potrebbero mostrare due indirizzi IP risolti (198.51.100.81 e 203.0.113.81).
  • Sottodomini e domini di pari livello: vengono visualizzati tutti i sottodomini associati rilevati nella tua azienda per un determinato FQDN. Molti avversari usano lo stesso dominio e sottodominio per i loro attacchi. Ad esempio, se cerchi target.hostname="sandbox.altostrat.com", questo riquadro mostra due sottodomini, test.sandbox.altostrat.com e staging.sandbox.altostrat.com.
  • Prevalenza delle risorse: mostra il numero di risorse della tua azienda che si sono collegate al dominio per l'intero periodo di tempo dei dati memorizzati nel tuo account Google Security Operations. Ogni barra del grafico rappresenta il numero di asset unici nella tua azienda che sono collegati in un giorno UTC. Se passi il mouse sopra una barra, vengono visualizzate le entità correlate il giorno UTC rappresentato dalla barra. Fai clic sul nome dell'entità per visualizzarne il riepilogo e la panoramica nel riquadro contestuale dell'entità visualizzato a destra. Fai clic su Visualizza eventi per visualizzare gli eventi relativi all'entità selezionata nella scheda Eventi di ricerca.
  • Entità associate: vengono visualizzate altre entità correlate a questo dominio, ad esempio le risorse che hanno contattato questo dominio. L'elenco include il tipo di entità, la prima volta che è stata rilevata nella tua azienda e l'ultima volta (più di recente). Fai clic su un'entità per aprire l'entità riquadro contestuale.
  • Contesto dell'entità: mostra i dettagli dell'entità selezionata in nel riquadro Entità associate. Questo riquadro mostra informazioni diverse in base al tipo di entità selezionata nel riquadro Entità associate (ad esempio indirizzo IP o dominio).
  • Vai alla vista precedente: vai all'indagine Dominio legacy vista. Per ulteriori informazioni, consulta Esaminare un dominio.

Dettagli file

Quando la query di ricerca UDM include una condizione che restituisce un singolo file, ad esempio principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a", la scheda Panoramica mostra i dettagli del file con le informazioni nei seguenti pannelli:

  • Riepilogo della ricerca: vengono visualizzate le seguenti informazioni:
    • Dettagli sul file, tra cui valori hash e dimensioni del file, la prima volta. visto nella tua azienda e l'ultima volta (più recente) visti. Fai clic su Contesto VT per visualizzare le informazioni sul file da VirusTotal.
    • Dettagli sugli avvisi, incluso un grafico che mostra il numero di avvisi che ha coinvolto l'entità nell'intervallo di tempo della ricerca. Il riquadro elenca anche un sottoinsieme di regole con il maggior numero di avvisi.
    • Fai clic su Apri Avvisi e IOC per vedere tutti gli avvisi generati durante lo stesso dell'intervallo di tempo della ricerca.
    • Fai clic su Visualizza nella scheda Avvisi per passare alla scheda Avvisi su questo e avvia una nuova ricerca per l'entità selezionata.
    • Fai clic su una delle barre del grafico per passare alla scheda Avvisi in questa pagina e avviare una nuova ricerca per l'entità selezionata utilizzando l'intervallo di tempo della barra su cui hai fatto clic.
    • Fai clic sul link Visualizza altro per aprire la visualizzazione Campi entità e visualizzare tutti i campi entità associati al file. Per copiare un campo dell'entità negli appunti, fai clic sulla casella di controllo accanto al campo dell'entità, fai clic su Visualizza azioni e poi su Copia entità. Fai clic sulla casella di controllo in alto per selezionare tutte le entità.
  • IOC pertinenti: mostra gli IOC associati al file. IOC a cui è assegnata una gravità più alta. Facendo clic sul nome IOC si apre il visualizzatore entità a destra.
  • Prevalenza di asset: mostra il numero di asset nella tua azienda associate al file per l'intero periodo di tempo dei dati archiviati del tuo account Google Security Operations.
  • Entità associate: mostra altre entità correlate a questo file, ad esempio una risorsa in cui è stato eseguito il file o gli utenti che hanno avuto accesso al file. L'elenco include il tipo di entità, la prima volta che è stata rilevata nella tua azienda e l'ultima volta (più di recente). Fai clic su per aprire il riquadro Contesto dell'entità.
  • Proprietà di VirusTotal e Metadata: mostra informazioni sull'elemento del database di VirusTotal. Fai clic su Visualizza altro per aprire un file VirusTotal e visualizzare informazioni aggiuntive sul file.
  • Entità associate: mostra informazioni diverse a seconda del tipo il tipo di entità selezionato nel riquadro Entità associate (ad ad esempio utente o asset).
  • Contesto dell'entità: mostra i dettagli dell'entità selezionata in nel riquadro Entità associate. Questo riquadro mostra informazioni diverse in base al tipo di entità selezionato nel riquadro Entità associate (ad esempio utente o risorsa).
  • Vai alla vista precedente: vai all'indagine File precedente vista. Per ulteriori informazioni, consulta Esaminare un file.

Dettagli IP

Quando la query di ricerca UDM include una condizione che restituisce uno specifico Indirizzo IP, ad esempio target.ip="203.0.113.254", La scheda Panoramica mostra i dettagli dell'IP con informazioni nel seguente riquadri:

  • Riepilogo della ricerca: vengono visualizzate le seguenti informazioni:
    • Dettagli sull'indirizzo IP, inclusa la prima volta in cui è stato visualizzato in la tua azienda e l'ultima volta che è stata visualizzata. Fai clic su VT Contesto per visualizzare le informazioni disponibili su questo indirizzo IP da VirusTotal.
    • Dettagli sugli avvisi, incluso un grafico che mostra il numero di avvisi che hanno coinvolto l'entità nell'intervallo di tempo di ricerca. Il riquadro elenca anche un sottoinsieme di regole con il maggior numero di avvisi.
    • Fai clic su Apri Avvisi e IOC per vedere tutti gli avvisi generati durante lo stesso dell'intervallo di tempo della ricerca.
    • Fai clic su Visualizza nella scheda Avvisi per passare alla scheda Avvisi su questo e avvia una nuova ricerca per l'entità selezionata.
    • Fai clic su una delle barre del grafico per passare alla scheda Avvisi in questa pagina e avviare una nuova ricerca per l'entità selezionata utilizzando l'intervallo di tempo della barra su cui hai fatto clic.
    • Fai clic sul link Visualizza altro per aprire la visualizzazione Campi entità e visualizza tutti i campi entità associati all'indirizzo IP. Per copiare un campo entità negli appunti, fai clic sulla casella di controllo accanto all'entità fai clic su Visualizza azioni e poi su Copia entità. Fai clic sull' casella di controllo in alto per selezionare tutte le entità.
  • IOC pertinenti: mostra gli IOC associati all'indirizzo IP. Gli indicatori di compromissione assegnati a una gravità più elevata vengono visualizzati per primi. Facendo clic sul nome IOC si apre il visualizzatore entità a destra.
  • Prevalenza di asset: mostra il numero di asset nella tua azienda che si sono collegati all'indirizzo IP nel periodo di tempo specificato in Ricerca UDM.
  • Entità associate: mostra altre entità a cui l'indirizzo IP specificato quali i domini in cui è registrato l'indirizzo IP. Elenco include il tipo di entità, quando è stata rilevata per la prima volta nella tua azienda, quando è stato rilevato l'ultima volta (più di recente). Fai clic su un'entità per aprire Riquadro Contesto dell'entità.
  • Contesto dell'entità: mostra i dettagli dell'entità selezionata nel riquadro Entità associate. Questo riquadro mostra informazioni diverse a seconda del tipo di entità selezionato in Entità associate (ad esempio dominio o asset). Se il link viene visualizzato, fai clic su VT. Contesto per visualizzare le informazioni sull'entità da VirusTotal.
  • Vai alla vista precedente: vai all'indagine sull'indirizzo IP precedente. vista. Per ulteriori informazioni, consulta Esaminare un indirizzo IP.

Dettagli utente

Quando la query di ricerca UDM include una condizione che restituisce un utente specifico, per Ad esempio principal.user.userid="alice", la scheda Panoramica mostra le Dettagli dell'utente con informazioni nei seguenti riquadri:

  • Riepilogo della ricerca: vengono visualizzate le seguenti informazioni:
    • Dettagli sull'entità, tra cui il nome completo, la prima volta che è stata rilevata nella tua azienda e l'ultima volta (più recente) che è stata rilevata, il titolo e l'indirizzo email.
    • Dettagli sugli avvisi, incluso un grafico che mostra il numero di avvisi che hanno coinvolto l'entità nell'intervallo di tempo di ricerca. Il riquadro elenca anche un sottoinsieme di regole con il maggior numero di avvisi.
    • Fai clic su Apri Avvisi e IOC per vedere tutti gli avvisi generati durante lo stesso dell'intervallo di tempo della ricerca.
    • Fai clic su Visualizza nella scheda Avvisi per passare alla scheda Avvisi su questo e avvia una nuova ricerca per l'entità selezionata.
    • Fai clic su una delle barre del grafico per passare alla scheda Avvisi in questa pagina e avviare una nuova ricerca per l'entità selezionata utilizzando l'intervallo di tempo della barra su cui hai fatto clic.
    • Fai clic sul link Visualizza altro per aprire la visualizzazione Campi entità e visualizzare tutti i campi entità associati all'utente. Per copiare un campo dell'entità negli appunti, fai clic sulla casella di controllo accanto al campo dell'entità, fai clic su Visualizza azioni e poi su Copia entità. Fai clic sull' casella di controllo in alto per selezionare tutte le entità.
  • Entità associate: mostra le entità a cui è associato questo utente, ad esempio i domini che ha contattato o gli asset a cui ha eseguito l'accesso. L'elenco include il tipo di entità, la prima volta che è stata rilevata nella tua azienda e l'ultima volta (più di recente). Fai clic su un'entità per aprire l'entità riquadro contestuale.
  • Contesto entità: mostra i dettagli dell'entità selezionata nella Riquadro Entità associate. Le informazioni in questo riquadro sono diverse a seconda del tipo di entità (ad esempio asset o dominio).
  • Vai alla vista precedente: vai all'indagine Utente precedente. vista. Per ulteriori informazioni, consulta Esaminare un utente.

Scheda Eventi

La scheda Eventi mostra gli eventi collegati alla tua ricerca UDM negli in un determinato intervallo di tempo. Questi eventi sono elencati nella tabella Eventi. Facendo clic su il timestamp dell'evento apre una finestra di dialogo che mostra gli asset e i file associati l'evento. Se fai clic su uno di questi elementi, si apre il riquadro Contesto dell'entità che fornisce ulteriori informazioni sulla persona giuridica, incluso un elenco di eventuali avvisi associati e un grafico degli avvisi che mostra la frequenza di questi avvisi nel tempo.

Per informazioni sugli eventi UDM, consulta Struttura di un evento UDM.

Utilizza l'opzione Pivot per aprire le impostazioni del pivot. Queste impostazioni ti consentono di analizzare gli eventi utilizzando espressioni e funzioni in base ai risultati della ricerca UDM. Per ulteriori informazioni, vedi Utilizzare la tabella pivot per analizzare gli eventi.

Grafico della tendenza nel tempo

Il grafico Tendenza nel tempo mostra gli eventi nel periodo di tempo specificato nella ricerca UDM. Gli avvisi vengono visualizzati in rosso sotto il grafico. Facendo clic su una delle delle barre restringe l'obiettivo della scheda Eventi a quel periodo di tempo. Gli eventi associati a questa fascia oraria vengono visualizzati nella tabella Eventi.

Grafico della diffusione del dominio

Il grafico Prevalenza dei domini mostra la prevalenza dei domini associati alla tua ricerca all'interno della tua azienda. Quando passi il mouse sopra uno dei cerchi sul grafico mostrano il dominio specifico e ti consentono di restringere cercare solo gli eventi associati a quel dominio. Il grafico viene visualizzato solo se la ricerca UDM include un dominio.

Scheda avvisi

La scheda Avvisi ti consente di visualizzare informazioni dettagliate sugli avvisi collegati alla tua ricerca UDM.

  • Grafico: mostra il numero di avvisi per periodo nel tempo specificato nella ricerca UDM (il periodo varia a seconda della durata della ricerca). La La casella di controllo Avvisi filtrati ti consente di visualizzare o nascondere gli avvisi elaborati le opzioni Filtri. La casella di controllo Avvisi sulle query ti consente di visualizzare o nascondere tutti gli avvisi elaborati dalla ricerca UDM.
  • Filtri: consente di filtrare gli avvisi in base alle opzioni elencate. Ad esempio, puoi fare clic su Gravità, selezionare l'opzione di menu Media e selezionare Mostra solo. Il grafico e la tabella vengono ricaricati per visualizzare solo avvisi con gravità media.
  • Tabella Avvisi: mostra gli avvisi associati alla ricerca UDM. Se fai clic su un avviso, si apre il visualizzatore avvisi, che mostra informazioni. Se fai clic su Visualizza dettagli, si apre la visualizzazione Avvisi e indicatori di compromissione (vedi Visualizzare avvisi e indicatori di compromissione). Se fai clic su una barra dei filtri specifica nel grafico, vengono visualizzati solo gli avvisi associati a quella barra. Analogamente, se aggiungi filtri, la tabella ricarica e mostra solo gli avvisi correlati alle tue selezioni.