Usar la búsqueda de UDM para investigar una entidad

Durante una investigación, puedes escribir una consulta de búsqueda de UDM para mostrar detalles de una o más entidades (por ejemplo, una dirección IP, un usuario o un recurso), además de los eventos y las alertas que coincidan con los términos de la búsqueda.

En los sistemas que usan el RBAC de datos, solo puedes ver los datos que coincidan con tus permisos. Para obtener más información, consulta Impacto del RBAC de datos en la Búsqueda.

Cuando una búsqueda incluye una condición que identifica una entidad específica (por ejemplo, principal.ip="10.0.31.20"), los resultados de la búsqueda incluyen detalles sobre la entidad (si está presente en tu empresa), además de los eventos de UDM que coinciden con toda la búsqueda.

El panel de resultados de la búsqueda incluye las siguientes pestañas:

  • Descripción general: Detalles sobre una o más entidades específicas.
  • Eventos: Resultados de la búsqueda que coinciden con toda la búsqueda y el intervalo de tiempo de búsqueda.
  • Alertas: alertas generadas por eventos que coinciden con toda la búsqueda.

Las condiciones de la búsqueda de UDM pueden incluir campos de UDM (principal.hostname="alice") y campos agrupados (hostname="alice").

La consulta de búsqueda de UDM puede incluir varias condiciones, cada una de las cuales especifica un identificador de entidad diferente. Estos son algunos ejemplos de consultas:

  • principal.hostname="alicehost" and user="alice"
  • principal.hostname="alicehost" and (user="kai" or user="alice")
  • principal.hostname="alicehost" and target.hostname="altostrat.com"
  • principal.hostname="alicehost" and hash="40a80612aaa8a8a36aa82a1278aaa02a"
  • hostname="alicehost" and domain=/altostrat.com/ nocase
  • user="alice" and domain=/altostrat.com/ nocase

En la siguiente tabla, se incluyen ejemplos de búsquedas de UDM para una o más entidades, así como el tipo de información que se muestra:

Tipo de información Ejemplos de búsquedas de UDM
Recurso
  • hostname="laptop-kai"
  • principal.hostname="laptop-kai"
  • principal.ip="10.0.0.76" //(private IP address)
  • principal.mac="c5:0c:9c:aa:bb:c4"
  • principal.hostname="laptop-kai" and metadata.event_type = "NETWORK_CONNECTION"
  • hostname="laptop-kai" or hostname="desktop-kai"
Dominio
  • domain="example.com"
  • target.hostname="example.com"
Archivo
  • hash="44a88612faa8a8f36ae82a1278aaa02a"
  • principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a"
interna
  • ip="8.8.8.8"
  • target.ip="203.0.113.204" //(public IP address)
Usuario
  • user="alice"
  • target.user.email_address="smitha@example.com"
  • principal.user.userid="alice" or target.user.userid = "smitha"
  • email="john@altostrat.com" or email="alice@example.com"
  • principal.user.userid="smitha"

Pestaña Overview (Descripción general)

En la pestaña Descripción general, se muestra la información de la entidad en uno de los siguientes tipos de información predefinidos. La información presentada varía según el tipo de información.

Detalles del recurso

Cuando la búsqueda de UDM incluye una condición que muestra un recurso específico, por ejemplo, principal.hostname="laptop-will" o principal.ip="10.0.0.76", la pestaña Descripción general muestra la vista de recursos con información en los siguientes paneles:

  • Resumen de la Búsqueda: Muestra la siguiente información:
    • Detalles sobre la entidad, incluida la dirección IP y la dirección MAC asociadas con el recurso durante el intervalo de tiempo de búsqueda. La dirección IP y la MAC también se pueden usar para identificar una entidad y se puede hacer clic en ella para mostrar información adicional en el visor de entidades. También muestra la primera vez que el recurso se vio en tu empresa y cuándo se vio por última vez (la última vez). Puedes hacer clic en cualquiera de las marcas de tiempo (la primera o la última) para ejecutar una búsqueda nueva con esa hora.
    • Detalles sobre las alertas, incluido un gráfico que muestra la cantidad de alertas que involucraron a la entidad dentro del intervalo de tiempo de búsqueda El panel también enumera un subconjunto de reglas con la mayor cantidad de alertas.
    • Haz clic en Abrir IOC y alertas para ver todas las alertas generadas durante el mismo intervalo de tiempo de búsqueda.
    • Haz clic en Ver en la pestaña Alertas para cambiar a la pestaña Alertas en esta página y comenzar una nueva búsqueda contra la entidad seleccionada.
    • Haz clic en una de las barras del gráfico para cambiar a la pestaña Alertas en esta página y comenzar una nueva búsqueda en la entidad seleccionada con el intervalo de tiempo de la barra en la que se hizo clic.
    • Haz clic en el vínculo Ver más para abrir la vista Campos de la entidad y mostrar todos los campos de entidad asociados con el recurso. Para copiar un campo de entidad en el portapapeles, haz clic en la casilla de verificación junto al campo de entidad, haz clic en Ver acciones y, luego, en Copiar entidad. Haz clic en la casilla de verificación en la parte superior para seleccionar todas las entidades.
  • IOC relevantes: Muestra los IOC asociados con el activo. Los IOC asignados con una gravedad más alta se muestran primero. Si haces clic en el nombre del IOC, se abrirá el visualizador de entidades a la derecha.
  • Entidades asociadas: Muestra otras entidades con las que está relacionado este recurso, como los usuarios que accedieron al recurso. El panel muestra el tipo de entidad, cuándo se vio por primera vez en el entorno y cuándo se vio por última vez (la última vez). También muestra los espacios de nombres asociados con un recurso. Haz clic en una entidad para abrir el panel Contexto de la entidad (Entity context). Haz clic en Mostrar todo el período para mostrar las entidades asociadas durante todo el período disponible en lugar del rango especificado en la búsqueda de UDM.
  • Contexto de la entidad: muestra detalles sobre la entidad que seleccionaste en el panel Entidades asociadas. Este panel muestra información diferente según el tipo de entidad que hayas seleccionado en el panel Entidades asociadas (por ejemplo, usuario o dominio).
  • Ir a la vista heredada: navega a la vista de investigación de recursos heredada. Para obtener más información, consulta Cómo investigar un activo.

Detalles del dominio

Cuando la búsqueda de UDM incluye una condición que especifica un dominio específico, por ejemplo, target.hostname="example.com", la pestaña Overview muestra los detalles del Domain con información en los siguientes paneles:

  • Resumen de la Búsqueda: Muestra la siguiente información:
    • Detalles sobre el dominio, incluida la información de WHOIS asociada con el dominio registrado, la primera vez que se vio en la empresa y la última vez que se vio (la última vez) Haz clic en VT Context para ver información sobre el dominio de VirusTotal.
    • Detalles sobre las alertas, incluido un gráfico que muestra la cantidad de alertas que involucraron a la entidad dentro del intervalo de tiempo de búsqueda El panel también enumera un subconjunto de reglas con la mayor cantidad de alertas.
    • Haz clic en Abrir IOC y alertas para ver todas las alertas generadas durante el mismo intervalo de tiempo de búsqueda.
    • Haz clic en Ver en la pestaña Alertas para cambiar a la pestaña Alertas en esta página y comenzar una nueva búsqueda contra la entidad seleccionada.
    • Haz clic en una de las barras del gráfico para cambiar a la pestaña Alertas en esta página y comenzar una nueva búsqueda en la entidad seleccionada con el intervalo de tiempo de la barra en la que se hizo clic.
    • Haz clic en el vínculo Ver más para abrir la vista Campos de la entidad y mostrar todos los campos de entidad asociados con el dominio. Para copiar un campo de entidad en el portapapeles, haz clic en la casilla de verificación junto al campo de entidad, haz clic en Ver acciones y, luego, en Copiar entidad. Haz clic en la casilla de verificación en la parte superior para seleccionar todas las entidades.
  • IP resueltas: muestra todas las direcciones IP resueltas que se vieron en tu empresa para el nombre de dominio completamente calificado (FQDN). Por ejemplo, si buscas target.hostname="test.altostrat.com", los resultados de la búsqueda pueden mostrar dos direcciones IP resueltas (198.51.100.81 y 203.0.113.81).
  • Subdominios y dominios del mismo nivel: muestra todos los subdominios asociados que se vieron en tu empresa para un FQDN determinado. Muchos adversarios usan el mismo dominio y subdominio para sus ataques. Por ejemplo, si buscas target.hostname="sandbox.altostrat.com", en este panel se muestran dos subdominios, test.sandbox.altostrat.com y staging.sandbox.altostrat.com.
  • Prevalencia de recursos: Muestra la cantidad de recursos en tu empresa que se conectaron al dominio durante todo el período de los datos almacenados en tu cuenta de Google Security Operations. Cada barra del gráfico representa la cantidad de recursos únicos en tu empresa que se conectaron al dominio en un día UTC. Cuando colocas el cursor sobre una barra, se muestran las entidades relacionadas en el día UTC representadas por la barra. Haz clic en el nombre de la entidad para ver el resumen y la descripción general en el panel de contexto de la entidad que se muestra a la derecha. Haz clic en Ver eventos para ver los eventos relacionados con la entidad seleccionada en la pestaña de eventos de búsqueda.
  • Entidades asociadas: Muestra otras entidades con las que está relacionado este dominio, como los recursos que se comunicaron con este dominio. La lista incluye el tipo de entidad, cuándo se vio por primera vez en tu empresa y cuándo se vio por última vez (la última vez). Haz clic en una entidad para abrir el panel Contexto de la entidad (EntityContext).
  • Contexto de la entidad: muestra detalles sobre la entidad que seleccionaste en el panel Entidades asociadas. Este panel muestra información diferente según el tipo de entidad que seleccionaste en el panel Entidades asociadas (por ejemplo, dirección IP o dominio).
  • Ir a la vista heredada: Navega a la vista de investigación heredada de Dominio. Para obtener más información, consulta Investiga un dominio.

Detalles del archivo

Cuando la consulta de búsqueda de UDM incluye una condición que muestra un solo archivo, por ejemplo principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a", la pestaña Overview muestra los detalles de File con información en los siguientes paneles:

  • Resumen de la Búsqueda: Muestra la siguiente información:
    • Detalles sobre el archivo, incluidos los valores de hash, el tamaño del archivo, la primera vez que se vio en tu empresa y la última vez (la última vez) que se vio. Haz clic en VT Context para ver información sobre el archivo de VirusTotal.
    • Detalles sobre las alertas, incluido un gráfico que muestra la cantidad de alertas que involucraron a la entidad dentro del intervalo de tiempo de búsqueda El panel también enumera un subconjunto de reglas con la mayor cantidad de alertas.
    • Haz clic en Abrir IOC y alertas para ver todas las alertas generadas durante el mismo intervalo de tiempo de búsqueda.
    • Haz clic en Ver en la pestaña Alertas para cambiar a la pestaña Alertas en esta página y comenzar una nueva búsqueda contra la entidad seleccionada.
    • Haz clic en una de las barras del gráfico para cambiar a la pestaña Alertas en esta página y comenzar una nueva búsqueda en la entidad seleccionada con el intervalo de tiempo de la barra en la que se hizo clic.
    • Haz clic en el vínculo Ver más para abrir la vista Campos de la entidad y mostrar todos los campos de entidad asociados con el archivo. Para copiar un campo de entidad en el portapapeles, haz clic en la casilla de verificación junto al campo de entidad, haz clic en Ver acciones y, luego, en Copiar entidad. Haz clic en la casilla de verificación en la parte superior para seleccionar todas las entidades.
  • IOC relevantes: Muestra los IOC asociados con el archivo. Los IOC asignados con una gravedad más alta se muestran primero. Si haces clic en el nombre del IOC, se abrirá el visualizador de entidades a la derecha.
  • Prevalencia de recursos: muestra la cantidad de recursos en tu empresa asociados con el archivo para todo el período de los datos almacenados en tu cuenta de Google Security Operations.
  • Entidades asociadas: muestra otras entidades con las que está relacionado el archivo, como un recurso en el que se ejecutó este archivo o los usuarios que accedieron a él. La lista incluye el tipo de entidad, cuándo se vio por primera vez en la empresa y cuándo se vio por última vez (la última vez). Haz clic en una entidad para abrir el panel Contexto de la entidad (Entity context).
  • Propiedades y metadatos de VirusTotal: Muestra información sobre el archivo de la base de datos de VirusTotal. Haz clic en View more para abrir un diálogo de VirusTotal y mostrar información adicional sobre el archivo.
  • Entidades asociadas: muestra información diferente según el tipo de entidad que seleccionaste en el panel Entidades asociadas (por ejemplo, usuario o activo).
  • Contexto de la entidad: muestra detalles sobre la entidad que seleccionaste en el panel Entidades asociadas. Este panel muestra información diferente según el tipo de entidad que hayas seleccionado en el panel Entidades asociadas (por ejemplo, usuario o activo).
  • Ir a la vista heredada: navega a la vista de investigación Archivo heredada. Para obtener más información, consulta Cómo investigar un archivo.

Detalles de IP

Cuando la consulta de búsqueda de UDM incluye una condición que muestra una dirección IP externa específica, por ejemplo, target.ip="203.0.113.254", la pestaña Descripción general muestra los detalles de IP con información en los siguientes paneles:

  • Resumen de la Búsqueda: Muestra la siguiente información:
    • Detalles sobre la dirección IP, incluida la primera vez que se vio en tu empresa y la última vez (más reciente) que se vio. Haz clic en Contexto de VT para ver la información disponible sobre esta dirección IP de VirusTotal.
    • Detalles sobre las alertas, incluido un gráfico que muestra la cantidad de alertas que involucraron a la entidad dentro del intervalo de tiempo de búsqueda El panel también enumera un subconjunto de reglas con la mayor cantidad de alertas.
    • Haz clic en Abrir IOC y alertas para ver todas las alertas generadas durante el mismo intervalo de tiempo de búsqueda.
    • Haz clic en Ver en la pestaña Alertas para cambiar a la pestaña Alertas en esta página y comenzar una nueva búsqueda contra la entidad seleccionada.
    • Haz clic en una de las barras del gráfico para cambiar a la pestaña Alertas en esta página y comenzar una nueva búsqueda en la entidad seleccionada con el intervalo de tiempo de la barra en la que se hizo clic.
    • Haz clic en el vínculo Ver más para abrir la vista Campos de la entidad y mostrar todos los campos de entidad asociados con la dirección IP. Para copiar un campo de entidad en el portapapeles, haz clic en la casilla de verificación junto al campo de entidad, haz clic en Ver acciones y, luego, en Copiar entidad. Haz clic en la casilla de verificación en la parte superior para seleccionar todas las entidades.
  • IOC relevantes: Muestra los IOC asociados con la dirección IP. Los IOC asignados con una gravedad más alta se muestran primero. Si haces clic en el nombre del IOC, se abrirá el visualizador de entidades a la derecha.
  • Prevalencia de recursos: muestra la cantidad de recursos en tu empresa que se conectaron a la dirección IP durante el período especificado en la búsqueda de UDM.
  • Entidades asociadas: muestra otras entidades con las que está relacionada esta dirección IP, como los dominios en los que está registrada la dirección IP. La lista incluye el tipo de entidad, cuándo se vio por primera vez en tu empresa y cuándo se vio por última vez (la última vez). Haz clic en una entidad para abrir el panel Contexto de la entidad (Entity context).
  • Contexto de la entidad: muestra detalles sobre la entidad que seleccionaste en el panel Entidades asociadas. Este panel muestra información diferente según el tipo de entidad que hayas seleccionado en el panel Entidades asociadas (por ejemplo, dominio o activo). Si se muestra el vínculo, haz clic en VTContext para ver información sobre la entidad de VirusTotal.
  • Ir a la vista heredada: navega a la vista de investigación heredada de Dirección IP. Para obtener más información, consulta Cómo investigar una dirección IP.

Detalles del usuario

Cuando la búsqueda de UDM incluye una condición que muestra un usuario específico, por ejemplo, principal.user.userid="alice", la pestaña Overview muestra los detalles del User con información en los siguientes paneles:

  • Resumen de la Búsqueda: Muestra la siguiente información:
    • Detalles sobre la entidad, incluido el nombre completo, la primera vez que se vio en tu empresa y la última vez (más reciente) la visualización, el título y la dirección de correo electrónico.
    • Detalles sobre las alertas, incluido un gráfico que muestra la cantidad de alertas que involucraron a la entidad dentro del intervalo de tiempo de búsqueda El panel también enumera un subconjunto de reglas con la mayor cantidad de alertas.
    • Haz clic en Abrir IOC y alertas para ver todas las alertas generadas durante el mismo intervalo de tiempo de búsqueda.
    • Haz clic en Ver en la pestaña Alertas para cambiar a la pestaña Alertas en esta página y comenzar una nueva búsqueda contra la entidad seleccionada.
    • Haz clic en una de las barras del gráfico para cambiar a la pestaña Alertas en esta página y comenzar una nueva búsqueda en la entidad seleccionada con el intervalo de tiempo de la barra en la que se hizo clic.
    • Haz clic en el vínculo Ver más para abrir la vista Campos de la entidad y mostrar todos los campos de entidad asociados con el usuario. Para copiar un campo de entidad en el portapapeles, haz clic en la casilla de verificación junto al campo de entidad, haz clic en Ver acciones y, luego, en Copiar entidad. Haz clic en la casilla de verificación en la parte superior para seleccionar todas las entidades.
  • Entidades asociadas: Muestra las entidades con las que está relacionado el usuario, como los dominios con los que se contactó el usuario o los recursos a los que accedió. La lista incluye el tipo de entidad, cuándo se vio por primera vez en tu empresa y cuándo se vio por última vez (la última vez). Haz clic en una entidad para abrir el panel Contexto de la entidad (EntityContext).
  • Contexto de la entidad: Muestra detalles sobre la entidad que seleccionas en el panel Entidades asociadas. La información de este panel es diferente según el tipo de entidad (por ejemplo, activo o dominio).
  • Ir a la vista heredada: navega a la vista de investigación de Usuarios heredada. Para obtener más información, consulta Cómo investigar un usuario.

Pestaña Eventos

En la pestaña Events, se muestran los eventos conectados a tu búsqueda de UDM durante un período determinado. Estos eventos se enumeran en la tabla Eventos. Si haces clic en la marca de tiempo de un evento, se abrirá un diálogo que muestra los recursos y los archivos asociados a ese evento. Si haces clic en cualquiera de estos elementos, se abrirá el panel Contexto de la entidad, que proporciona información adicional sobre la entidad, incluida una lista de cualquier alerta asociada y un gráfico de alerta que muestra la frecuencia de esas alertas a lo largo del tiempo.

Para obtener información sobre los eventos de UDM, consulta la estructura de un evento de UDM.

Usa la opción Tabla dinámica para abrir la Configuración de Tabla dinámica. Esta configuración te permite analizar eventos mediante expresiones y funciones con respecto a los resultados de la búsqueda de UDM. Si deseas obtener más información, consulta Cómo usar la tabla dinámica para analizar eventos.

Gráfico de tendencias en el tiempo

El gráfico Tendencia a lo largo del tiempo muestra los eventos durante el período especificado en la búsqueda de UDM. Las alertas se muestran en rojo debajo del gráfico. Cuando haces clic en una de las barras, el enfoque de la pestaña Eventos se reduce a ese período. Los eventos asociados con ese horario se muestran en la tabla Eventos.

Gráfico de prevalencia de dominios

El gráfico Prevalencia del dominio muestra la prevalencia de los dominios asociados con tu búsqueda dentro de tu empresa. Si colocas el cursor sobre uno de los círculos del gráfico, se mostrará el dominio específico y podrás limitar tu búsqueda solo a los eventos asociados con ese dominio. El gráfico solo se muestra si tu búsqueda de UDM incluye un dominio.

Pestaña Alertas

La pestaña Alerts te permite mostrar información detallada sobre las alertas conectadas a tu búsqueda de UDM.

  • Gráfico: Muestra la cantidad de alertas por período durante el tiempo especificado en la búsqueda de UDM (el período varía según la duración de la búsqueda). La casilla de verificación Alertas filtradas (Filtered alerts) te permite ocultar o ver las alertas procesadas por las opciones de Filtros (Filters). La casilla de verificación Consultar alertas te permite ocultar o ver todas las alertas procesadas por la búsqueda de UDM.
  • Filtros: Te permiten filtrar alertas según las opciones que aparecen. Por ejemplo, puedes hacer clic en Gravedad, en la opción de menú para Media y seleccionar Mostrar solo. El gráfico y la tabla se vuelven a cargar para mostrar solo las alertas con gravedad media.
  • Tabla Alertas: Muestra las alertas asociadas con la búsqueda de UDM. Si haces clic en una alerta, se abrirá el Visor de alertas para mostrar información adicional. Si haces clic en Ver detalles, se abrirá la vista IOC y alertas (consulta Ver IOC y alertas). Si haces clic en una barra de filtro específica del gráfico, solo se muestran las alertas asociadas con esa barra. Del mismo modo, si agregas filtros, la tabla se vuelve a cargar y muestra solo las alertas vinculadas a tus selecciones.