Utiliser la recherche UDM pour enquêter sur une entité

Compatible avec :

Lors d'une investigation, vous pouvez rédiger une requête de recherche UDM pour afficher les détails concernant un ou plusieurs entités (par exemple, une adresse IP, un utilisateur ou un élément) en plus des événements et des alertes qui correspondent aux termes de la requête de recherche.

Sur les systèmes qui utilisent le RBAC des données, vous ne pouvez voir que les données qui correspondent à vos champs d'application. Pour en savoir plus, consultez la section Impact du RBAC des données sur la recherche Google.

Lorsqu'une requête de recherche inclut une condition qui identifie une entité spécifique (par exemple, principal.ip="10.0.31.20"), les résultats de recherche incluent des informations sur l'entité (si elle existe dans votre entreprise), en plus des événements UDM qui correspondent l'ensemble de la requête de recherche.

Le volet des résultats de recherche comprend les onglets suivants :

  • Vue d'ensemble : informations sur une ou plusieurs entités spécifiques.
  • Événements : résultats de recherche correspondant à l'intégralité de la recherche de la requête et de la période de recherche.
  • Alertes : alertes générées par des événements correspondant à l'intégralité de la requête de recherche.

Les conditions de requête de recherche UDM peuvent inclure à la fois des champs UDM (principal.hostname="alice") et des champs groupés (hostname="alice").

La requête de recherche UDM peut inclure plusieurs conditions, chacune spécifiant un identifiant d'entité différent. Voici quelques exemples de requêtes:

  • principal.hostname="alicehost" and user="alice"
  • principal.hostname="alicehost" and (user="kai" or user="alice")
  • principal.hostname="alicehost" and target.hostname="altostrat.com"
  • principal.hostname="alicehost" and hash="40a80612aaa8a8a36aa82a1278aaa02a"
  • hostname="alicehost" and domain=/altostrat.com/ nocase
  • user="alice" and domain=/altostrat.com/ nocase

Le tableau suivant inclut des exemples de requêtes de recherche UDM pour une ou plusieurs entités et le type d'informations affichées:

Type d'information Exemples de requêtes de recherche UDM
Élément
  • hostname="laptop-kai"
  • principal.hostname="laptop-kai"
  • principal.ip="10.0.0.76" //(private IP address)
  • principal.mac="c5:0c:9c:aa:bb:c4"
  • principal.hostname="laptop-kai" and metadata.event_type = "NETWORK_CONNECTION"
  • hostname="laptop-kai" or hostname="desktop-kai"
Domaine
  • domain="example.com"
  • target.hostname="example.com"
Fichier
  • hash="44a88612faa8a8f36ae82a1278aaa02a"
  • principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a"
IP
  • ip="8.8.8.8"
  • target.ip="203.0.113.204" //(public IP address)
Utilisateur
  • user="alice"
  • target.user.email_address="smitha@example.com"
  • principal.user.userid="alice" or target.user.userid = "smitha"
  • email="john@altostrat.com" or email="alice@example.com"
  • principal.user.userid="smitha"

Onglet "Vue d'ensemble"

L'onglet Overview (Aperçu) affiche des informations sur les entités dans l'un des éléments suivants : types d'informations prédéfinis. Les informations présentées varient en fonction du type d'information.

Détails de l'élément

Lorsque la requête de recherche UDM inclut une condition qui renvoie un élément spécifique, par exemple principal.hostname="laptop-will" ou principal.ip="10.0.0.76", l'onglet Vue d'ensemble affiche la vue d'éléments avec des informations dans les panneaux suivants :

  • Récapitulatif de recherche : affiche les informations suivantes :
    • Informations sur l'entité, y compris l'adresse IP et l'adresse MAC associées à l'élément au cours de la période de recherche. L'adresse IP et l'adresse MAC peuvent également être utilisées pour identifier une entité et peuvent en cliqué pour afficher des informations supplémentaires dans la visionneuse d'entités. Il y a aussi affiche la première fois que l'élément a été vu dans votre entreprise et quand il a été vu pour la dernière fois. Vous pouvez cliquer sur l'un des codes temporels ou dernier) pour lancer une nouvelle recherche avec ce délai.
    • Des détails sur les alertes, y compris un graphique montrant le nombre d'alertes impliquant l'entité dans la période de recherche. Le panneau liste également un sous-ensemble de règles ayant enregistré le plus grand nombre d'alertes.
    • Cliquez sur Ouvrir Alertes et IOC pour afficher toutes les alertes générées période de recherche.
    • Cliquez sur Afficher dans l'onglet Alertes pour passer à l'onglet Alertes de cette et lancez une nouvelle recherche sur l'entité sélectionnée.
    • Cliquez sur l'une des barres du graphique pour accéder à l'onglet Alertes de cette page et lancer une nouvelle recherche sur l'entité sélectionnée, en utilisant la période de la barre sur laquelle vous avez cliqué.
    • Cliquez sur le lien Afficher plus pour ouvrir la vue Champs d'entité et afficher tous les champs d'entité associés à l'élément. Pour copier un champ d'entité dans le presse-papiers, cochez la case à côté du champ d'entité, cliquez sur Afficher les actions, puis sur Copier l'entité. Cochez la case en haut pour sélectionner toutes les entités.
  • IOC pertinents : affiche les IOC associés à l'élément. IOC dont le niveau de gravité est supérieur sont affichés en premier. Cliquez sur le nom de l'IOC pour le lecteur de l'entité, à droite.
  • Entités associées : affiche les autres entités dont cet élément est liés, comme les utilisateurs qui se sont connectés à l'asset. Le panneau affiche les le type d'entité, la date à laquelle elle a été détectée pour la première fois dans l'environnement dernière connexion (la plus récente). Il affiche également tous les espaces de noms associés aux un élément. Cliquez sur une entité pour ouvrir le panneau Contexte de l'entité. Cliquez sur Afficher toute la période pour afficher les entités associées sur toute la période disponible et non à la plage spécifiée lors de la recherche UDM.
  • Contexte de l'entité : affiche des informations sur l'entité que vous avez sélectionnée dans le panneau Entités associées. Ce panneau affiche différentes informations en fonction du type d'entité que vous avez sélectionné dans la section Entités associées (utilisateur ou domaine, par exemple).
  • Accéder à l'ancienne vue : accédez à l'ancienne enquête Assets. vue. Pour en savoir plus, consultez Examiner un composant.

Détails du domaine

Lorsque la requête de recherche UDM inclut une condition spécifiant un domaine spécifique, par exemple target.hostname="example.com", l'onglet Vue d'ensemble affiche les détails du domaine avec des informations dans les panneaux suivants :

  • Récapitulatif de la recherche : affiche les informations suivantes :
    • Les informations sur le domaine, y compris le WHOIS des informations associées au domaine enregistré, la première fois dans votre entreprise, ainsi que la dernière fois qu'elle a été vue (la plus récente). Cliquez sur Contexte VT pour afficher des informations sur le domaine depuis VirusTotal.
    • Informations sur les alertes, y compris un graphique montrant le nombre d'alertes impliquant l'entité au cours de la période de recherche. Le panel a aussi liste un sous-ensemble de règles avec le plus grand nombre d'alertes.
    • Cliquez sur Ouvrir Alertes et IOC pour afficher toutes les alertes générées période de recherche.
    • Cliquez sur Afficher dans l'onglet Alertes pour passer à l'onglet Alertes de cette et lancez une nouvelle recherche sur l'entité sélectionnée.
    • Cliquez sur l'une des barres du graphique pour accéder à l'onglet Alertes. cette page et lancez une nouvelle recherche sur l'entité sélectionnée. période de la barre sur laquelle l'utilisateur a cliqué.
    • Cliquez sur le lien Afficher plus pour ouvrir la vue Champs d'entité et afficher tous les champs d'entité associés au domaine. Pour copier un champ d'entité dans le presse-papiers, cochez la case à côté du champ d'entité, cliquez sur Afficher les actions, puis sur Copier l'entité. Cliquez sur l'icône située en haut pour sélectionner toutes les entités.
  • Adresses IP résolues : affiche toutes les adresses IP résolues qui ont été dans votre entreprise pour le nom de domaine complet (FQDN). Pour Par exemple, si vous recherchez target.hostname="test.altostrat.com", le les résultats de recherche peuvent afficher deux adresses IP résolues (198.51.100.81 et 203.0.113.81).
  • Sous-domaines et domaines frères : affiche tous les sous-domaines associés observés dans votre entreprise pour un nom de domaine complet donné. De nombreux pirates informatiques utilisent le même domaine et le même sous-domaine pour leurs attaques. Par exemple, si vous recherchez target.hostname="sandbox.altostrat.com", ce panneau affiche deux sous-domaines, test.sandbox.altostrat.com et staging.sandbox.altostrat.com
  • Prévalence des composants : indique le nombre de composants de votre entreprise qui se sont connectés au domaine pendant toute la période de stockage des données dans votre compte Google Security Operations. Chaque barre du graphique représente le nombre d'éléments uniques de votre entreprise connectés au domaine un jour UTC. Passez la souris sur une barre pour afficher les entités associées dans le jour UTC représenté par la barre. Cliquez sur le nom de l'entité pour afficher son résumé et sa présentation dans le panneau contextuel de l'entité affiché à droite. Cliquez sur Afficher les événements pour afficher les événements liés à l'entité sélectionnée dans l'onglet "Événements de recherche".
  • Entités associées : affiche les autres entités associées à ce domaine concernant, par exemple, ceux qui ont contacté ce domaine. La liste le type d'entité, la date à laquelle elle a été détectée pour la première fois dans votre entreprise ; la dernière fois qu'il a été vu. Cliquez sur une entité pour ouvrir la page Entité le panneau contextuel.
  • Contexte de l'entité : affiche des informations sur l'entité que vous avez sélectionnée dans le panneau Entités associées. Ce panneau affiche différentes informations en fonction du type d'entité que vous avez sélectionné dans la section Entités associées (par exemple, adresse IP ou domaine).
  • Accéder à l'ancienne vue : accédez à l'ancienne investigation Domaine. vue. Pour plus d'informations, consultez la section Examiner un domaine.

Détails du fichier

Lorsque la requête de recherche UDM inclut une condition qui renvoie un seul fichier, par exemple principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a", l'onglet Overview (Vue d'ensemble) affiche les détails du fichier avec les informations dans les panneaux suivants :

  • Récapitulatif de recherche : affiche les informations suivantes :
    • Informations sur le fichier, y compris les valeurs de hachage, la taille du fichier, la première fois qu'il a été vu dans votre entreprise et la dernière fois (la plus récente) qu'il a été vu. Cliquez sur Contexte VT pour afficher des informations sur le fichier provenant de VirusTotal.
    • Informations sur les alertes, y compris un graphique montrant le nombre d'alertes impliquant l'entité au cours de la période de recherche. Le panel a aussi liste un sous-ensemble de règles avec le plus grand nombre d'alertes.
    • Cliquez sur Ouvrir Alertes et IOC pour afficher toutes les alertes générées période de recherche.
    • Cliquez sur Afficher dans l'onglet Alertes pour passer à l'onglet Alertes de cette et lancez une nouvelle recherche sur l'entité sélectionnée.
    • Cliquez sur l'une des barres du graphique pour accéder à l'onglet Alertes de cette page et lancer une nouvelle recherche sur l'entité sélectionnée, en utilisant la période de la barre sur laquelle vous avez cliqué.
    • Cliquez sur le lien Afficher plus pour ouvrir la vue Champs d'entité et afficher tous les champs d'entité associés au fichier. Pour copier un entité dans le presse-papiers, cochez la case à côté de l'entité cliquez sur Afficher les actions, puis sur Copier l'entité. Cliquez sur l'icône située en haut pour sélectionner toutes les entités.
  • IOC pertinents : affiche les IOC associés au fichier. IOC dont le niveau de gravité est supérieur sont affichés en premier. Cliquez sur le nom de l'IOC pour le lecteur de l'entité, à droite.
  • Prévalence des composants : indique le nombre de composants de votre entreprise associés au fichier pour toute la période de stockage des données dans votre compte Google Security Operations.
  • Entités associées : affiche les autres entités correspondant à ce fichier. par exemple un élément à l'origine de l'exécution du fichier ou les utilisateurs ont accédé au fichier. Cette liste indique le type d'entité, c'est-à-dire lors de sa première dans votre entreprise et à quel moment ils ont été vus pour la dernière fois (le plus récemment). Cliquez sur une entité pour ouvrir le panneau Contexte de l'entité.
  • Propriétés et métadonnées VirusTotal : affiche des informations sur le fichier à partir de la base de données VirusTotal. Cliquez sur Afficher plus pour ouvrir une boîte de dialogue VirusTotal et afficher des informations supplémentaires sur le fichier.
  • Entités associées : affiche différentes informations en fonction de le type d'entité que vous avez sélectionné dans le panneau Entités associées (par (utilisateur ou élément, par exemple).
  • Contexte de l'entité : affiche des informations sur l'entité que vous avez sélectionnée dans le panneau Entités associées. Ce panneau affiche différentes informations en fonction du type d'entité que vous avez sélectionné dans la section Entités associées (utilisateur ou élément, par exemple).
  • Accéder à l'ancienne vue : accédez à l'ancienne enquête Fichier. vue. Pour en savoir plus, consultez Examiner un fichier.

Détails de l'adresse IP

Lorsque la requête de recherche UDM inclut une condition qui renvoie une adresse IP externe spécifique, par exemple target.ip="203.0.113.254", l'onglet Overview (Vue d'ensemble) affiche les détails de l'adresse IP avec des informations dans les panneaux suivants :

  • Récapitulatif de recherche : affiche les informations suivantes :
    • Informations sur l'adresse IP, y compris la première fois qu'elle a été détectée dans votre entreprise et la dernière fois (la plus récente). Cliquez sur Contexte VT pour afficher les informations disponibles sur cette adresse IP depuis VirusTotal.
    • Des détails sur les alertes, y compris un graphique montrant le nombre d'alertes impliquant l'entité dans la période de recherche. Le panel a aussi liste un sous-ensemble de règles avec le plus grand nombre d'alertes.
    • Cliquez sur Ouvrir Alertes et IOC pour afficher toutes les alertes générées période de recherche.
    • Cliquez sur Afficher dans l'onglet Alertes pour passer à l'onglet Alertes de cette et lancez une nouvelle recherche sur l'entité sélectionnée.
    • Cliquez sur l'une des barres du graphique pour accéder à l'onglet Alertes. cette page et lancez une nouvelle recherche sur l'entité sélectionnée. période de la barre sur laquelle l'utilisateur a cliqué.
    • Cliquez sur le lien Afficher plus pour ouvrir la vue Champs d'entité. affiche tous les champs d'entité associés à l'adresse IP. Copier un champ d'entité dans le presse-papiers, cochez la case à côté de l'entité cliquez sur Afficher les actions, puis sur Copier l'entité. Cliquez sur l'icône située en haut pour sélectionner toutes les entités.
  • IOC pertinents : affiche les IOC associés à l'adresse IP. Les IOC associés à une gravité plus élevée sont affichés en premier. Cliquez sur le nom de l'IOC pour le lecteur de l'entité, à droite.
  • Prévalence des composants : indique le nombre d'assets dans votre entreprise qui se sont connectés à l'adresse IP au cours de la période spécifiée dans le Recherche UDM.
  • Entités associées : affiche les autres entités auxquelles cette adresse IP est associée, telles que les domaines auxquels elle est enregistrée. La liste le type d'entité, la date à laquelle elle a été détectée pour la première fois dans votre entreprise ; la dernière fois qu'il a été vu. Cliquez sur une entité pour ouvrir la Panneau Contexte de l'entité
  • Contexte de l'entité : affiche des détails sur l'entité que vous avez sélectionnée. la Panneau Entités associées Ce panneau affiche différentes informations en fonction du type d'entité que vous avez sélectionné dans le panneau Entités associées (par exemple, domaine ou composant). Si le lien s'affiche, cliquez sur Contexte VT pour afficher des informations sur l'entité provenant de VirusTotal.
  • Accéder à l'ancienne vue : accédez à l'ancienne vue d'investigation Adresse IP. Pour en savoir plus, consultez Examiner une adresse IP.

Détails relatifs à l'utilisateur

Lorsque la requête de recherche UDM inclut une condition qui renvoie un utilisateur spécifique, par exemple principal.user.userid="alice", l'onglet Vue d'ensemble affiche les détails de l'utilisateur avec des informations dans les panneaux suivants :

  • Récapitulatif de la recherche : affiche les informations suivantes :
    • Informations sur l'entité, y compris le nom complet, la première fois qu'elle a été détectée dans votre entreprise et la dernière fois (la plus récente), le titre et l'adresse e-mail.
    • Des détails sur les alertes, y compris un graphique montrant le nombre d'alertes impliquant l'entité dans la période de recherche. Le panneau liste également un sous-ensemble de règles ayant enregistré le plus grand nombre d'alertes.
    • Cliquez sur Ouvrir Alertes et IOC pour afficher toutes les alertes générées période de recherche.
    • Cliquez sur Afficher dans l'onglet Alertes pour passer à l'onglet Alertes de cette et lancez une nouvelle recherche sur l'entité sélectionnée.
    • Cliquez sur l'une des barres du graphique pour accéder à l'onglet Alertes. cette page et lancez une nouvelle recherche sur l'entité sélectionnée. période de la barre sur laquelle l'utilisateur a cliqué.
    • Cliquez sur le lien Afficher plus pour ouvrir la vue Champs d'entité. affiche tous les champs d'entité associés à l'utilisateur. Pour copier un champ d'entité dans le presse-papiers, cochez la case à côté du champ d'entité, cliquez sur Afficher les actions, puis sur Copier l'entité. Cliquez sur l'icône située en haut pour sélectionner toutes les entités.
  • Entités associées : affiche les entités auxquelles cet utilisateur est lié. tels que les domaines contactés ou les éléments auxquels il a accédé. La liste inclut le type d'entité, la date de sa première apparition dans votre entreprise et la date de sa dernière apparition (la plus récente). Cliquez sur une entité pour ouvrir le panneau Contexte de l'entité.
  • Contexte de l'entité : affiche des informations sur l'entité que vous sélectionnez dans le Panneau Entités associées Les informations de ce panneau varient en fonction du type d'entité (par exemple, un composant ou un domaine).
  • Accéder à l'ancienne vue : accédez à l'ancienne enquête Utilisateur. vue. Pour plus d'informations, consultez la section Examiner un utilisateur.

Onglet "Événements"

L'onglet Événements affiche les événements associés à votre recherche UDM sur le pour une période donnée. Ces événements sont listés dans le tableau Événements. En cliquant sur un le code temporel de l'événement ouvre une boîte de dialogue affichant les éléments et les fichiers associés l'événement. Cliquez sur l'un de ces éléments pour ouvrir le panneau Contexte de l'entité, qui fournit des informations supplémentaires sur l'entité, y compris une liste des alertes associées et un graphique d'alertes montrant la fréquence de ces alertes au fil du temps.

Pour en savoir plus sur les événements UDM, consultez la section Structure d'une UDM. Événement.

Utilisez l'option Tableau croisé dynamique pour ouvrir les paramètres du tableau croisé dynamique. Ces paramètres vous permettent analyser des événements à l'aide d'expressions et de fonctions par rapport aux résultats de l'UDM Rechercher. Pour en savoir plus, consultez la page Utiliser le tableau croisé dynamique pour effectuer des analyses événements.

Graphique des tendances au fil du temps

Le graphique Tendance au fil du temps affiche les événements sur la période spécifiée dans la recherche UDM. Les alertes sont affichées en rouge sous le graphique. Cliquez sur l'une des barres pour affiner l'onglet Événements sur cette période. La les événements associés à ce créneau s'affichent dans le tableau Événements.

Graphique de prévalence du domaine

Le graphique Prévalence des domaines indique la prévalence des domaines associés à votre recherche au sein de votre entreprise. Passez la souris sur l'une des du graphique affichent le domaine concerné et vous permettent la recherche ne porte que sur les événements associés à ce domaine. Le graphique ne s'affiche que si votre recherche UDM inclut un domaine.

Onglet "Alerts" (Alertes)

L'onglet Alertes vous permet d'afficher des informations détaillées sur les alertes associées à votre recherche UDM.

  • Graphique : affiche le nombre d'alertes par période au cours de la période spécifiée dans la recherche UDM (la période varie en fonction de la durée de la recherche). La La case à cocher Alertes filtrées vous permet d'afficher ou de masquer les alertes traitées par les options Filtres. La case à cocher Alertes de requête vous permet d'afficher ou de masquer toutes les alertes traitées par la recherche UDM.
  • Filtres : vous permet de filtrer les alertes en fonction des options répertoriées. Par exemple, vous pouvez cliquer sur Gravité, sur l'option de menu Moyenne, puis sélectionner Afficher uniquement. Le graphique et le tableau sont actualisés pour n'afficher que les les alertes de gravité moyenne.
  • Tableau Alerts (Alertes) : affiche les alertes associées à la recherche UDM. Cliquez sur une alerte pour ouvrir la visionneuse des alertes des informations. Cliquez sur Afficher les détails pour ouvrir la vue Alertes et IOC. (voir Afficher les alertes et les IOC). Si vous cliquez sur une barre de filtre spécifique dans le graphique, seules les alertes associées avec cette barre s'affichent. De même, si vous ajoutez des filtres, le tableau se recharge et n'affiche que les alertes associées à vos sélections.