Usar a pesquisa do UDM para investigar uma entidade

Compatível com:

Durante uma investigação, você pode criar uma consulta de pesquisa UDM para mostrar detalhes um ou mais entidades (por exemplo, um endereço IP, usuário ou recurso), além dos eventos e e alertas que correspondem aos termos da consulta de pesquisa.

Nos sistemas que usam o controle de acesso baseado em função (RBAC), é possível ver apenas os dados que correspondem escopos. Para mais informações, consulte Impacto do RBAC de dados na Pesquisa.

Quando uma consulta de pesquisa inclui uma condição que identifica uma entidade específica (por exemplo, principal.ip="10.0.31.20"), os resultados da pesquisa incluem detalhes sobre a entidade (se presente na sua empresa) e eventos do UDM que correspondem a toda a consulta de pesquisa.

O painel de resultados da pesquisa inclui as seguintes guias:

  • Visão geral: detalhes sobre uma ou mais entidades específicas.
  • Eventos: resultados da pesquisa que correspondem a toda a pesquisa consulta e pesquisa.
  • Alertas: alertas gerados por eventos que correspondem a toda a consulta de pesquisa.

As condições da consulta de pesquisa do UDM podem incluir campos do UDM (principal.hostname="alice") e campos agrupados (hostname="alice").

A consulta de pesquisa UDM pode incluir várias condições, cada uma especificando um identificador de entidade diferente. Confira alguns exemplos de consultas:

  • principal.hostname="alicehost" and user="alice"
  • principal.hostname="alicehost" and (user="kai" or user="alice")
  • principal.hostname="alicehost" and target.hostname="altostrat.com"
  • principal.hostname="alicehost" and hash="40a80612aaa8a8a36aa82a1278aaa02a"
  • hostname="alicehost" and domain=/altostrat.com/ nocase
  • user="alice" and domain=/altostrat.com/ nocase

A tabela a seguir inclui exemplos de consultas de pesquisa do UDM para uma ou mais entidades e o tipo de informação exibida:

Tipo de informação Exemplos de consultas de pesquisa do UDM
Recurso
  • hostname="laptop-kai"
  • principal.hostname="laptop-kai"
  • principal.ip="10.0.0.76" //(private IP address)
  • principal.mac="c5:0c:9c:aa:bb:c4"
  • principal.hostname="laptop-kai" and metadata.event_type = "NETWORK_CONNECTION"
  • hostname="laptop-kai" or hostname="desktop-kai"
Domínio
  • domain="example.com"
  • target.hostname="example.com"
Arquivo
  • hash="44a88612faa8a8f36ae82a1278aaa02a"
  • principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a"
IP
  • ip="8.8.8.8"
  • target.ip="203.0.113.204" //(public IP address)
Usuário
  • user="alice"
  • target.user.email_address="smitha@example.com"
  • principal.user.userid="alice" or target.user.userid = "smitha"
  • email="john@altostrat.com" or email="alice@example.com"
  • principal.user.userid="smitha"

Guia "Overview"

A guia Visão geral mostra informações da entidade em um dos seguintes tipos de informações predefinidas. As informações apresentadas variam dependendo da tipo de informação.

Detalhes dos recursos

Quando a consulta de pesquisa UDM inclui uma condição que retorna um recurso específico, Por exemplo, principal.hostname="laptop-will" ou principal.ip="10.0.0.76". as A guia Visão geral mostra a Visualização de recursos com as seguintes informações: painéis:

  • Resumo da pesquisa: mostra as seguintes informações:
    • Detalhes sobre a entidade, incluindo o endereço IP e o endereço MAC associados ao recurso durante o período de pesquisa. O endereço IP e o endereço MAC também podem ser usados para identificar uma entidade e podem ser clicados para mostrar mais informações no visualizador de entidades. Ela também exibe a primeira vez que o recurso foi visto na sua empresa e quando ele foi visto pela última vez (mais recentemente). Clique em um dos carimbos de data/hora (primeiro ou último) para realizar uma nova pesquisa usando esse horário.
    • Detalhes sobre alertas, incluindo um gráfico mostrando o número de alertas que envolveram a entidade no período de pesquisa. O painel também lista um subconjunto de regras com o maior número de alertas.
    • Clique em Abrir alertas e IOCs para conferir todos os alertas gerados durante o mesmo período de pesquisa.
    • Clique em View In Alerts Tab para alternar para a guia Alerts nesta página e iniciar uma nova pesquisa na entidade selecionada.
    • Clique em uma das barras do gráfico para alternar para a guia Alerts nesta página e iniciar uma nova pesquisa com a entidade selecionada usando o período da barra clicada.
    • Clique no link Ver mais para abrir a visualização Campos de entidade e mostrar todos os campos de entidade associados ao recurso. Para copiar um campo de entidade para a área de transferência, clique na caixa de seleção ao lado do campo de entidade, em Ver ações e em Copiar entidade. Clique na caixa de seleção na parte de cima para selecionar todas as entidades.
  • IOCs relevantes: mostra os IOCs associados ao recurso. Os IOCs atribuídos a uma gravidade mais alta são mostrados primeiro. Clicar no nome do IOC abre o visualizador de entidades à direita.
  • Entidades associadas: mostra outras entidades que pertencem ao recurso. relacionadas, como usuários que fizeram login no recurso. O painel mostra o tipo de entidade, quando ela foi vista pela primeira vez no ambiente e quando foi vista pela última vez (mais recentemente). Ele também exibe todos os namespaces associados um recurso. Clique em uma entidade para abrir o painel Contexto da entidade. Clique em Mostrar todo o tempo para mostrar as entidades associadas durante todo o período disponível, em vez do intervalo especificado na pesquisa da UDM.
  • Contexto da entidade: mostra detalhes sobre a entidade selecionada em as Painel de entidades associadas. Esse painel mostra informações diferentes dependendo do tipo de entidade que você selecionou no painel Entidades associadas, por exemplo, usuário ou domínio.
  • Acessar a visualização legada: navegue até a visualização de investigação legada do Recurso. Para mais informações, consulte Investigar um recurso.

Detalhes do domínio

Quando a consulta de pesquisa UDM inclui uma condição que especifica um domínio específico, por exemplo target.hostname="example.com", a guia Visão geral exibirá as Detalhes do domínio com informações nos seguintes painéis:

  • Resumo da pesquisa: mostra as seguintes informações:
    • Detalhes sobre o domínio, incluindo as informações do WHOIS associadas ao domínio registrado, a primeira vez que ele foi encontrado na sua empresa e a última vez (mais recente) que ele foi encontrado. Clique em Contexto VT para ver informações sobre o domínio de o VirusTotal.
    • Detalhes sobre alertas, incluindo um gráfico mostrando o número de alertas que envolveram a entidade no período de pesquisa. O painel também lista um subconjunto de regras com o maior número de alertas.
    • Clique em Abrir alertas e IOCs para conferir todos os alertas gerados durante o mesmo período de pesquisa.
    • Clique em View In Alerts Tab para alternar para a guia Alerts nesta página e iniciar uma nova pesquisa na entidade selecionada.
    • Clique em uma das barras no gráfico para acessar a guia Alertas. página e iniciar uma nova pesquisa na entidade selecionada, usando o método período da barra clicada.
    • Clique no link Ver mais para abrir a visualização Campos de entidade e exibir todos os campos de entidade associados ao domínio. Para copiar um campo de entidade para a área de transferência, clique na caixa de seleção ao lado do campo de entidade, em Ver ações e em Copiar entidade. Clique no botão caixa de seleção na parte superior para selecionar todas as entidades.
  • Endereços IP resolvidos: mostra todos os endereços IP resolvidos que foram encontrados na sua empresa para o nome de domínio totalmente qualificado (FQDN). Por exemplo, se você pesquisar target.hostname="test.altostrat.com", os resultados da pesquisa poderão mostrar dois endereços IP resolvidos (198.51.100.81 e 203.0.113.81).
  • Subdomínios e domínios irmãos: mostra todos os subdomínios associados que foram encontrados na sua empresa para um determinado FQDN. Muitos adversários usam o mesmo domínio e subdomínio para os ataques. Por exemplo, se você pesquisar target.hostname="sandbox.altostrat.com", esse painel vai mostrar dois subdomínios, test.sandbox.altostrat.com e staging.sandbox.altostrat.com.
  • Prevalência de recursos: mostra o número de recursos na sua empresa que se conectaram ao domínio durante todo o período dos dados armazenados na sua conta do Google Security Operations. Cada barra do gráfico representa o número de ativos únicos em sua empresa conectados à em um dia UTC. Passar o cursor sobre uma barra exibe as entidades relacionadas em o dia UTC representado pela barra. Clique no nome da entidade para conferir o resumo e a visão geral dela no painel de contexto exibido à direita. Clique em Visualizar eventos para conferir os eventos relacionados à entidade selecionada na guia "Eventos de pesquisa".
  • Entidades associadas: mostra outras entidades relacionadas a este domínio, como recursos que entraram em contato com ele. A lista inclui o tipo de entidade, quando ela foi vista pela primeira vez na sua empresa; e quando ele foi visto pela última vez (mais recentemente). Clique em uma entidade para abrir a Entidade contexto.
  • Contexto da entidade: mostra detalhes sobre a entidade selecionada em painel Entidades associadas. Esse painel mostra informações diferentes dependendo do tipo de entidade que você selecionou no painel Entidades associadas, por exemplo, endereço IP ou domínio.
  • Acessar a visualização legada: navegue até a visualização de investigação legada do Domínio. Para mais informações, consulte Investigar um domínio.

Detalhes do arquivo

Quando a consulta de pesquisa UDM inclui uma condição que retorna um único arquivo, por exemplo principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a", o A guia Overview exibe os detalhes do File com as seguintes informações: painéis:

  • Resumo da pesquisa: mostra as seguintes informações:
    • Detalhes sobre o arquivo, incluindo valores de hash, tamanho do arquivo, a primeira vez que ele foi encontrado na sua empresa e a última vez (mais recente) em que ele foi encontrado. Clique em VT Context para ver informações sobre o arquivo em o VirusTotal.
    • Detalhes sobre alertas, incluindo um gráfico com o número de alertas que envolvia a entidade no período de pesquisa. O painel também lista um subconjunto de regras com o maior número de alertas.
    • Clique em Abrir alertas e IOCs para conferir todos os alertas gerados durante o mesmo período de pesquisa.
    • Clique em View In Alerts Tab para alternar para a guia Alerts nesta página e iniciar uma nova pesquisa na entidade selecionada.
    • Clique em uma das barras no gráfico para acessar a guia Alertas. página e iniciar uma nova pesquisa na entidade selecionada, usando o método período da barra clicada.
    • Clique no link Ver mais para abrir a visualização Campos de entidade e exibir todos os campos de entidade associados ao arquivo. Para copiar um campo de entidade para a área de transferência, clique na caixa de seleção ao lado da entidade clique em Ver ações e, depois, em Copiar entidade. Clique na caixa de seleção na parte de cima para selecionar todas as entidades.
  • IOCs relevantes: mostra os IOCs associados ao arquivo. Os IOCs atribuídos a uma gravidade mais alta são mostrados primeiro. Clicar no nome do IOC abre o visualizador de entidades à direita.
  • Prevalência de ativos: mostra o número de ativos na sua empresa associados ao arquivo durante todo o período dos dados armazenados na sua conta do Google Security Operations.
  • Entidades associadas: mostra outras entidades que pertencem ao arquivo. relacionadas, como um recurso em que esse arquivo foi executado ou usuários que acessou o arquivo. A lista inclui o tipo de entidade, quando ela foi vista pela primeira vez no seu empreendimento e quando foi vista pela última vez (mais recentemente). Clique em um entidade para abrir o painel Contexto da entidade.
  • Propriedades e metadados do VirusTotal: mostra informações sobre o arquivo do banco de dados do VirusTotal. Clique em Ver mais para abrir uma mensagem do VirusTotal. e exibe informações adicionais sobre o arquivo.
  • Entidades associadas: mostra informações diferentes dependendo do tipo de entidade selecionada no painel Entidades associadas (por exemplo, usuário ou recurso).
  • Contexto da entidade: mostra detalhes sobre a entidade selecionada no painel Entidades associadas. Esse painel mostra informações diferentes dependendo do tipo de entidade que você selecionou no painel Entidades associadas, por exemplo, usuário ou recurso.
  • Acessar a visualização legada: navegue até a visualização de investigação legada File. Para mais informações, consulte Investigar um arquivo.

Detalhes do IP

Quando a consulta de pesquisa do UDM inclui uma condição que retorna um endereço IP externo específico, por exemplo, target.ip="203.0.113.254", a guia Visão geral mostra os detalhes do IP com informações nos seguintes painéis:

  • Resumo da pesquisa: mostra as seguintes informações:
    • Detalhes sobre o endereço IP, incluindo a primeira vez que ele foi visto no sua empresa e a última vez (mais recente) que ele foi visto. Clique em VT Context para conferir as informações disponíveis sobre esse endereço IP no VirusTotal.
    • Detalhes sobre alertas, incluindo um gráfico mostrando o número de alertas que envolveram a entidade no período de pesquisa. O painel também lista um subconjunto de regras com o maior número de alertas.
    • Clique em Abrir alertas e IOCs para conferir todos os alertas gerados durante o mesmo período de pesquisa.
    • Clique em View In Alerts Tab para alternar para a guia Alerts nesta página e iniciar uma nova pesquisa na entidade selecionada.
    • Clique em uma das barras do gráfico para alternar para a guia Alerts nesta página e iniciar uma nova pesquisa com a entidade selecionada usando o período da barra clicada.
    • Clique no link Ver mais para abrir a visualização Campos de entidade e exibir todos os campos de entidade associados ao endereço IP. Para copiar um campo de entidade para a área de transferência, clique na caixa de seleção ao lado da entidade clique em Ver ações e, depois, em Copiar entidade. Clique no botão caixa de seleção na parte superior para selecionar todas as entidades.
  • IOCs relevantes: mostra os IOCs associados ao endereço IP. IOCs com maior gravidade aparecem primeiro. Clicar no nome do IOC abre o visualizador de entidades à direita.
  • Prevalência dos recursos: mostra o número de recursos na sua empresa. que se conectaram ao endereço IP durante o período especificado no Pesquisa UDM.
  • Entidades associadas: mostra outras entidades desse endereço IP. está relacionado, como domínios em que o endereço IP está registrado. A lista inclui o tipo de entidade, quando ela foi vista pela primeira vez na sua empresa e quando foi vista pela última vez (mais recentemente). Clique em uma entidade para abrir o Painel Contexto da entidade.
  • Contexto da entidade: mostra detalhes sobre a entidade selecionada no painel Entidades associadas. Este painel exibe informações diferentes dependendo do tipo de entidade selecionado em Entidades associadas (por exemplo, domínio ou recurso). Se o link aparecer, clique em VT Context para conferir informações sobre a entidade no VirusTotal.
  • Acessar a visualização legada: navegue até a visualização de investigação de endereço IP legada. Para mais informações, consulte Investigar um endereço IP.

Detalhes do usuário

Quando a consulta de pesquisa da UDM inclui uma condição que retorna um usuário específico, por exemplo, principal.user.userid="alice", a guia Visão geral mostra os detalhes do Usuário com informações nos seguintes painéis:

  • Resumo da pesquisa: mostra as seguintes informações:
    • Detalhes sobre a entidade, incluindo o nome completo, a primeira vez que ela foi encontrada na sua empresa, a última vez (mais recente) que ela foi encontrada, o cargo e o endereço de e-mail.
    • Detalhes sobre alertas, incluindo um gráfico mostrando o número de alertas que envolveram a entidade no período de pesquisa. O painel também lista um subconjunto de regras com o maior número de alertas.
    • Clique em Abrir alertas e IOCs para conferir todos os alertas gerados durante o mesmo período de pesquisa.
    • Clique em View In Alerts Tab para alternar para a guia Alerts nesta página e iniciar uma nova pesquisa na entidade selecionada.
    • Clique em uma das barras do gráfico para alternar para a guia Alerts nesta página e iniciar uma nova pesquisa com a entidade selecionada usando o período da barra clicada.
    • Clique no link Ver mais para abrir a visualização Campos de entidade e exibe todos os campos de entidade associados ao usuário. Para copiar um campo de entidade para a área de transferência, clique na caixa de seleção ao lado do campo de entidade, em Ver ações e em Copiar entidade. Clique no botão caixa de seleção na parte superior para selecionar todas as entidades.
  • Entidades associadas: mostra entidades relacionadas a esse usuário, como domínios que ele contatou ou recursos que ele acessou. A lista inclui o tipo de entidade, quando ela foi vista pela primeira vez na sua empresa e quando foi vista pela última vez (mais recentemente). Clique em uma entidade para abrir o painel Contexto da entidade.
  • Contexto da entidade: mostra detalhes sobre a entidade selecionada no painel Entidades associadas. As informações neste painel são diferentes dependendo do tipo de entidade (por exemplo, recurso ou domínio).
  • Acessar a visualização legada: navegue até a visualização de investigação legada do Usuário. Para mais informações, consulte Investigar um usuário.

Guia "Eventos"

A guia Eventos mostra os eventos conectados à sua pesquisa da UDM no período especificado. Esses eventos estão listados na tabela Eventos. Clicar no carimbo de data/hora de um evento abre uma caixa de diálogo que mostra os recursos e arquivos associados a ele. Clique em qualquer um desses itens para abrir o painel Contexto da entidade. que fornece informações adicionais sobre a entidade, incluindo uma lista de quaisquer alertas associados e um gráfico de alerta que mostra a frequência desses alertas ao longo tempo de resposta.

Para informações sobre eventos do UDM, consulte Estrutura de um evento do UDM.

Use a opção Pivot para abrir as Configurações de pivot. Essas configurações permitem que você analisar eventos usando expressões e funções em relação aos resultados do UDM Pesquisar. Para mais informações, consulte Usar a tabela dinâmica para analisar eventos.

Gráfico de tendência ao longo do tempo

O gráfico Tendência ao longo do tempo exibe os eventos no período especificado. na pesquisa UDM. Os alertas aparecem em vermelho abaixo do gráfico. Clicar em uma das barras restringe o foco da guia Eventos a esse período. O eventos associados a esse horário são exibidos na tabela Eventos.

Gráfico de prevalência do domínio

O gráfico Prevalência de domínio mostra a prevalência dos domínios associados à sua pesquisa na empresa. Passar o cursor sobre um dos círculos no gráfico mostra o domínio específico e permite restringir sua pesquisa apenas aos eventos associados a esse domínio. O gráfico só é exibido caso sua pesquisa de UDM inclua um domínio.

Guia Alertas

A guia Alertas mostra informações detalhadas sobre os alertas. conectado à sua pesquisa UDM.

  • Gráfico: mostra o número de alertas por período ao longo do tempo. especificado na pesquisa UDM (o período varia de acordo com a duração da pesquisa). O A caixa de seleção Alertas filtrados permite que você visualize ou oculte os alertas processados por as opções Filtros. A caixa de seleção Alertas de consulta permite exibir ou ocultar todos os alertas processados pela pesquisa do UDM.
  • Filtros: permite filtrar os alertas com base nas opções listadas. Por exemplo, você pode clicar em Gravidade, na opção de menu Médio e selecionar Mostrar apenas. O gráfico e a tabela são atualizados para exibir somente os e alertas de gravidade média.
  • Tabela Alerts: mostra os alertas associados à pesquisa da UDM. Clicar em um alerta abre o Visualizador de alertas para exibir outros informações imprecisas ou inadequadas. Clicar em Visualizar detalhes abre a visualização Alertas e IOCs (consulte Visualizar alertas e IOCs). Se você clicar em uma barra de filtro específica no gráfico, apenas os alertas associados a essa barra serão exibidos. Da mesma forma, se você adicionar filtros, a tabela é atualizado e exibe apenas os alertas associados às suas seleções.