使用 UDM 搜索功能调查实体

支持的平台:

在调查期间,除了与搜索查询字词匹配的事件和提醒之外,您还可以编写 UDM 搜索查询,以显示一个或多个实体(例如 IP 地址、用户或资产)的详细信息。

在使用数据 RBAC 的系统中,您只能看到与您的镜重一致的数据。如需了解详情,请参阅数据 RBAC 对搜索的影响

如果搜索查询包含用于标识特定实体(例如 principal.ip="10.0.31.20")的条件,则搜索结果中除了与整个搜索查询匹配的 UDM 事件之外,还会包含该实体的详细信息(如果贵企业中有此实体)。

搜索结果窗格包含以下标签页:

  • 概览 - 一个或多个特定实体的详细信息。
  • 事件 - 与整个搜索查询和搜索时间范围匹配的搜索结果。
  • 提醒 - 由与整个搜索查询匹配的事件生成的提醒。

UDM 搜索查询条件既可以包含 UDM 字段 (principal.hostname="alice"),也可以包含分组字段 (hostname="alice")。

UDM 搜索查询可以包含多个条件,每个条件指定一个不同的实体标识符。查询示例如下:

  • principal.hostname="alicehost" and user="alice"
  • principal.hostname="alicehost" and (user="kai" or user="alice")
  • principal.hostname="alicehost" and target.hostname="altostrat.com"
  • principal.hostname="alicehost" and hash="40a80612aaa8a8a36aa82a1278aaa02a"
  • hostname="alicehost" and domain=/altostrat.com/ nocase
  • user="alice" and domain=/altostrat.com/ nocase

下表包含针对一个或多个实体的 UDM 搜索查询示例以及显示的信息类型:

信息类型 UDM 搜索查询示例
素材资源
  • hostname="laptop-kai"
  • principal.hostname="laptop-kai"
  • principal.ip="10.0.0.76" //(private IP address)
  • principal.mac="c5:0c:9c:aa:bb:c4"
  • principal.hostname="laptop-kai" and metadata.event_type = "NETWORK_CONNECTION"
  • hostname="laptop-kai" or hostname="desktop-kai"
网域
  • domain="example.com"
  • target.hostname="example.com"
文件
  • hash="44a88612faa8a8f36ae82a1278aaa02a"
  • principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a"
IP
  • ip="8.8.8.8"
  • target.ip="203.0.113.204" //(public IP address)
用户
  • user="alice"
  • target.user.email_address="smitha@example.com"
  • principal.user.userid="alice" or target.user.userid = "smitha"
  • email="john@altostrat.com" or email="alice@example.com"
  • principal.user.userid="smitha"

“概览”标签页

概览标签页会以以下预定义信息类型之一显示实体信息。显示的信息因信息类型而异。

资源详情

如果 UDM 搜索查询包含用于返回特定素材资源(例如 principal.hostname="laptop-will"principal.ip="10.0.0.76")的条件,概览标签页会显示素材资源视图,并在以下面板中显示相关信息:

  • 搜索摘要 - 显示以下信息:
    • 实体的详细信息,包括在搜索时间范围内与资产关联的 IP 地址和 MAC 地址。IP 地址和 MAC 地址还可用于识别实体,点击这些地址即可在实体查看器中显示其他信息。它还会显示资产在贵企业中首次出现的时间,以及上次(最近一次)出现的时间。您可以点击任一时间戳(第一个或最后一个),以使用相应时间重新运行搜索。
    • 提醒的详细信息,包括一张图表,显示搜索时间范围内涉及相应实体的提醒数量。该面板还会列出发出警报次数最多的一组规则。
    • 点击打开提醒和入侵信号可查看同一搜索时间范围内生成的所有提醒。
    • 点击在“提醒”标签页中查看,切换到此页面上的提醒标签页,然后针对所选实体开始新的搜索。
    • 点击图表上的某个条柱,即可切换到此页面上的提醒标签页,并使用点击的条柱对所选实体进行新的搜索。
    • 点击展开链接可打开实体字段视图,并显示与相应素材资源关联的所有实体字段。如需将实体字段复制到剪贴板,请点击实体字段旁边的复选框,点击查看操作,然后点击复制实体。点击顶部的复选框,选择所有实体。
  • 相关 IOC:显示与资源关联的 IOC。系统会先显示被分配更高严重程度的 IOC。点击 IOC 名称可在右侧打开实体查看器。
  • 关联的实体 - 显示此素材资源关联的其他实体,例如登录了该素材资源的用户。该面板会显示实体的类型、在环境中首次出现的时间以及上次(最近一次)出现的时间。它还会显示与资产关联的所有命名空间。点击实体以打开实体上下文面板。点击显示全部时间可显示整个可用时间段(而非 UDM 搜索中指定的范围)内的关联实体。
  • 实体上下文 - 显示您在关联的实体面板中选择的实体的详细信息。此面板会显示不同的信息,具体取决于您在关联的实体面板中选择的实体类型(例如用户或网域)。
  • 前往旧版视图 - 前往旧版资产调查视图。如需了解详情,请参阅调查资产

网域详情

如果 UDM 搜索查询包含用于指定特定网域(例如 target.hostname="example.com")的条件,概览标签页会在以下面板中显示网域详细信息:

  • 搜索摘要 - 显示以下信息:
    • 域名详细信息,包括与注册域名相关联的 WHOIS 信息、该域名在贵企业中首次出现的时间,以及上次(最近一次)出现的时间。点击 VT Context(VT 情境),查看 VirusTotal 中与该网域相关的信息。
    • 提醒的详细信息,包括一张图表,显示在搜索时间范围内涉及相应实体的提醒数量。该面板还会列出发出警报次数最多的一组规则。
    • 点击打开提醒和入侵信号可查看同一搜索时间范围内生成的所有提醒。
    • 点击在“提醒”标签页中查看,切换到此页面上的提醒标签页,然后针对所选实体开始新的搜索。
    • 点击图表上的某个条柱,即可切换到此页面上的提醒标签页,并使用点击的条柱对所选实体进行新的搜索。
    • 点击查看更多链接可打开实体字段视图,并显示与该网域关联的所有实体字段。如需将实体字段复制到剪贴板,请点击实体字段旁边的复选框,点击查看操作,然后点击复制实体。点击顶部的复选框,选择所有实体。
  • 已解析的 IP 地址:显示贵企业中已知的完全限定域名 (FQDN) 的所有已解析 IP 地址。例如,如果您搜索 target.hostname="test.altostrat.com",搜索结果可能会显示两个解析的 IP 地址(198.51.100.81203.0.113.81)。
  • 子网域和同级网域:显示贵企业中采用给定 FQDN 的所有关联子网域。许多攻击者都使用同一网域和子网域进行攻击。例如,如果您搜索 target.hostname="sandbox.altostrat.com",此面板会显示两个子网域:test.sandbox.altostrat.comstaging.sandbox.altostrat.com
  • 资产普及率:显示在 Google 安全运营账号中存储的数据的整个时间段内,贵企业中与该网域关联的资产数量。图表中的每个条柱代表企业在某个 UTC 日期与网域相关联的唯一资产数量。将鼠标悬停在某个条形上,即可显示该条形所代表的 UTC 日期的相关实体。点击实体名称,即可在右侧显示的实体上下文面板中查看实体摘要和概览。点击查看事件,在“搜索事件”标签页中查看与所选实体相关的事件。
  • 关联的实体 - 显示此网域关联的其他实体,例如与此网域建立过联系的素材资源。该列表包含实体的类型、在贵企业中首次出现的时间,以及上次(最近一次)出现的时间。点击某个实体以打开实体上下文面板。
  • 实体上下文 - 显示您在关联的实体面板中选择的实体的详细信息。此面板会显示不同的信息,具体取决于您在关联的实体面板中选择的实体类型(例如 IP 地址或网域)。
  • 前往旧版视图 - 前往旧版网域调查视图。如需了解详情,请参阅调查网域

文件详情

如果 UDM 搜索查询包含会返回单个文件(例如 principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a")的条件,Overview(概览)标签页会在以下面板中显示文件详细信息:

  • 搜索摘要 - 显示以下信息:
    • 文件的详细信息,包括哈希值、文件大小、首次在贵企业中出现的时间,以及上次(最近一次)出现的时间。点击 VT Context 可查看 VirusTotal 中与该文件相关的信息。
    • 提醒的详细信息,包括一张图表,显示在搜索时间范围内涉及相应实体的提醒数量。该面板还会列出发出警报次数最多的一组规则。
    • 点击打开提醒和入侵信号可查看同一搜索时间范围内生成的所有提醒。
    • 点击在“提醒”标签页中查看,切换到此页面上的提醒标签页,然后针对所选实体开始新的搜索。
    • 点击图表上的某个条柱,即可切换到此页面上的提醒标签页,并使用点击的条柱对所选实体进行新的搜索。
    • 点击展开链接可打开实体字段视图,并显示与文件关联的所有实体字段。如需将实体字段复制到剪贴板,请点击实体字段旁边的复选框,点击查看操作,然后点击复制实体。点击顶部的复选框,选择所有实体。
  • 相关 IOC:显示与文件关联的 IOC。系统会先显示被分配更高严重程度的 IOC。点击 IOC 名称可在右侧打开实体查看器。
  • 资产的普遍性:显示在 Google 安全运营账号中存储数据的整个时间段内,贵企业中与该文件关联的资产数量。
  • 关联的实体 - 显示此文件关联的其他实体,例如此文件的执行位置或访问过此文件的用户。该列表包含实体类型、在贵企业中首次出现的时间以及上次(最近一次)出现的时间。点击某个实体以打开实体上下文面板。
  • VirusTotal 属性和元数据:显示 VirusTotal 数据库中与文件相关的信息。点击展开可打开 VirusTotal 对话框,并显示有关文件的更多信息。
  • 关联的实体 - 根据您在关联的实体面板中选择的实体类型(例如用户或素材资源)显示不同的信息。
  • 实体上下文 - 显示您在关联的实体面板中选择的实体的详细信息。此面板会显示不同的信息,具体取决于您在关联的实体面板中选择的实体类型(例如用户或素材资源)。
  • 前往旧版视图 - 前往旧版文件调查视图。如需了解详情,请参阅调查文件

IP 详细信息

当 UDM 搜索查询包含用于返回特定外部 IP 地址(例如 target.ip="203.0.113.254")的条件时,Overview(概览)标签页会在以下面板中显示 IP 详细信息:

  • 搜索摘要 - 显示以下信息:
    • IP 地址的详细信息,包括首次在贵企业内出现的时间和上次(最近一次)出现的时间。点击 VT 情境可查看 VirusTotal 提供的此 IP 地址的相关信息。
    • 提醒的详细信息,包括一张图表,显示搜索时间范围内涉及相应实体的提醒数量。该面板还会列出发出警报次数最多的一组规则。
    • 点击打开提醒和入侵信号可查看同一搜索时间范围内生成的所有提醒。
    • 点击在“提醒”标签页中查看,切换到此页面上的提醒标签页,然后针对所选实体开始新的搜索。
    • 点击图表上的某个条柱,即可切换到此页面上的提醒标签页,并使用点击的条柱对所选实体进行新的搜索。
    • 点击查看更多链接可打开实体字段视图,并显示与 IP 地址关联的所有实体字段。如需将实体字段复制到剪贴板,请点击实体字段旁边的复选框,点击查看操作,然后点击复制实体。点击顶部的复选框,选择所有实体。
  • 相关 IOC:显示与 IP 地址关联的 IOC。系统会先显示被分配更高严重程度的 IOC。点击 IOC 名称可在右侧打开实体查看器。
  • 资产普及率:显示企业在 UDM 搜索中指定的时间段内与 IP 地址关联的资产数量。
  • 关联的实体:显示此 IP 地址关联的其他实体,例如 IP 地址所注册的域名。该列表包含实体的类型、在贵企业中首次出现的时间,以及上次(最近一次)出现的时间。点击某个实体以打开实体上下文面板。
  • 实体上下文 - 显示您在关联的实体面板中选择的实体的详细信息。此面板会显示不同的信息,具体取决于您在关联的实体面板中选择的实体类型(例如网域或素材资源)。如果系统显示该链接,请点击 VT 情境以查看 VirusTotal 中与该实体相关的信息。
  • 前往旧版视图 - 前往旧版 IP 地址调查视图。如需了解详情,请参阅调查 IP 地址

用户详细信息

当 UDM 搜索查询包含用于返回特定用户(例如 principal.user.userid="alice")的条件时,概览标签页会在以下面板中显示用户详细信息:

  • 搜索摘要 - 显示以下信息:
    • 实体详细信息,包括全名、在贵企业中首次出现的时间和最近一次出现的时间、职位和电子邮件地址。
    • 提醒的详细信息,包括一张图表,显示在搜索时间范围内涉及相应实体的提醒数量。该面板还会列出发出警报次数最多的一组规则。
    • 点击打开提醒和入侵信号可查看同一搜索时间范围内生成的所有提醒。
    • 点击在“提醒”标签页中查看,切换到此页面上的提醒标签页,然后针对所选实体开始新的搜索。
    • 点击图表上的某个条柱,即可切换到此页面上的提醒标签页,并使用点击的条柱对所选实体进行新的搜索。
    • 点击展开链接可打开实体字段视图,并显示与用户关联的所有实体字段。如需将实体字段复制到剪贴板,请点击实体字段旁边的复选框,点击查看操作,然后点击复制实体。点击顶部的复选框,选择所有实体。
  • 关联的实体 - 显示此用户关联的实体,例如用户联系过的网域或用户访问过的资源。该列表包含实体的类型、在贵企业中首次出现的时间,以及上次(最近一次)出现的时间。点击某个实体以打开实体上下文面板。
  • 实体上下文 - 在关联的实体面板中显示您选择的实体的详细信息。此面板中的信息因实体类型(例如资产或网域)而异。
  • 前往旧版视图 - 前往旧版用户调查视图。如需了解详情,请参阅调查用户

“事件”标签页

事件标签页会显示在指定时间范围内与您的 UDM 搜索相关联的事件。这些事件列在事件表格中。点击事件的时间戳会打开一个对话框,其中会显示与该事件关联的资源和文件。点击其中任何一项都会打开实体情境面板,其中提供了有关实体的其他信息,包括所有关联提醒的列表,以及显示这些提醒随时间推移的频率的提醒图表。

如需了解 UDM 事件,请参阅 UDM 事件的结构

使用数据透视选项打开数据透视设置。借助这些设置,您可以使用表达式和函数对 UDM 搜索的结果进行事件分析。如需了解详情,请参阅使用数据透视表分析事件

趋势随时间的变化情况图表

一段时间内的趋势图表会显示 UDM 搜索中指定时间段内的事件。提醒会以红色显示在图表下方。点击其中一个条状图,即可将活动标签页的重点缩小到该时间段。与该时间段关联的事件会显示在事件表中。

网域普及率图表

网域普及率图表会显示与您搜索内容相关联的网域在贵企业中的普及率。将鼠标悬停在图表上的某个圆圈上,即可显示相应网域,并可将搜索范围缩小到仅与该网域相关的事件。只有当您的 UDM 搜索包含网域时,系统才会显示此图表。

提醒标签

提醒标签页中,您可以显示与 UDM 搜索相关的提醒的详细信息。

  • 图表 - 显示 UDM 搜索中指定时间段内每个时间段内的提醒数量(时间段因搜索时长而异)。通过已过滤的提醒复选框,您可以查看或隐藏通过过滤条件选项处理的提醒。通过查询提醒复选框,您可以查看或隐藏 UDM 搜索处理的所有提醒。
  • 过滤器 - 可让您根据所列选项过滤提醒。例如,您可以点击严重程度,点击的菜单选项,然后选择仅显示。图表和表格会重新加载,以便仅显示严重程度为中度的提醒。
  • 提醒表格 - 显示与 UDM 搜索相关的提醒。 点击提醒即可打开提醒查看器,以显示更多信息。点击查看详情会打开提醒和 IOC 视图(请参阅查看提醒和 IOC)。如果您点击图表中的特定过滤条件栏,系统只会显示与该栏关联的提醒。同样,如果您添加过滤条件,表格会重新加载,并仅显示与您的选择相关的提醒。

需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。