Utiliser la recherche UDM pour examiner une entité

Compatible avec:

Lors d'une investigation, vous pouvez écrire une requête de recherche UDM pour afficher des informations sur une ou plusieurs entités (par exemple, une adresse IP, un utilisateur ou un composant) en plus des événements et des alertes correspondant aux termes de la requête de recherche.

Sur les systèmes qui utilisent le RBAC de données, vous ne pouvez voir que les données qui correspondent à vos champs d'application. Pour en savoir plus, consultez Impact du RBAC sur les données dans la recherche.

Lorsqu'une requête de recherche inclut une condition qui identifie une entité spécifique (par exemple, principal.ip="10.0.31.20"), les résultats de recherche incluent des informations sur l'entité (si elle est présente dans votre entreprise) en plus des événements UDM correspondant à l'ensemble de la requête de recherche.

Le volet des résultats de recherche comprend les onglets suivants:

  • Vue d'ensemble : informations sur une ou plusieurs entités spécifiques.
  • Événements : résultats de recherche correspondant à l'intégralité de la requête de recherche et à la période de recherche.
  • Alertes : alertes générées par des événements correspondant à l'intégralité de la requête de recherche.

Les conditions de requête de recherche UDM peuvent inclure à la fois des champs UDM (principal.hostname="alice") et des champs groupés (hostname="alice").

La requête de recherche UDM peut inclure plusieurs conditions, chacune spécifiant un identifiant d'entité différent. Voici quelques exemples de requêtes:

  • principal.hostname="alicehost" and user="alice"
  • principal.hostname="alicehost" and (user="kai" or user="alice")
  • principal.hostname="alicehost" and target.hostname="altostrat.com"
  • principal.hostname="alicehost" and hash="40a80612aaa8a8a36aa82a1278aaa02a"
  • hostname="alicehost" and domain=/altostrat.com/ nocase
  • user="alice" and domain=/altostrat.com/ nocase

Le tableau suivant inclut des exemples de requêtes de recherche UDM pour une ou plusieurs entités, ainsi que le type d'informations affichées:

Type d'information Exemples de requêtes de recherche UDM
Élément
  • hostname="laptop-kai"
  • principal.hostname="laptop-kai"
  • principal.ip="10.0.0.76" //(private IP address)
  • principal.mac="c5:0c:9c:aa:bb:c4"
  • principal.hostname="laptop-kai" and metadata.event_type = "NETWORK_CONNECTION"
  • hostname="laptop-kai" or hostname="desktop-kai"
Domaine
  • domain="example.com"
  • target.hostname="example.com"
Fichier
  • hash="44a88612faa8a8f36ae82a1278aaa02a"
  • principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a"
IP
  • ip="8.8.8.8"
  • target.ip="203.0.113.204" //(public IP address)
Utilisateur
  • user="alice"
  • target.user.email_address="smitha@example.com"
  • principal.user.userid="alice" or target.user.userid = "smitha"
  • email="john@altostrat.com" or email="alice@example.com"
  • principal.user.userid="smitha"

Onglet "Vue d'ensemble"

L'onglet Aperçu affiche les informations sur l'entité dans l'un des types d'informations prédéfinis suivants. Les informations présentées varient selon le type d'informations.

Détails de l'élément

Lorsque la requête de recherche UDM inclut une condition qui renvoie un élément spécifique, par exemple principal.hostname="laptop-will" ou principal.ip="10.0.0.76", l'onglet Vue d'ensemble affiche la vue d'éléments avec des informations dans les panneaux suivants:

  • Récapitulatif de la recherche : affiche les informations suivantes :
    • Informations sur l'entité, y compris l'adresse IP et l'adresse MAC associées à l'élément au cours de la période de recherche. L'adresse IP et l'adresse MAC peuvent également être utilisées pour identifier une entité. Vous pouvez cliquer dessus pour afficher des informations supplémentaires dans l'outil d'affichage des entités. Il indique également la première fois que l'élément a été détecté dans votre entreprise et la dernière fois (la plus récente). Vous pouvez cliquer sur l'un des codes temporels (premier ou dernier) pour effectuer une nouvelle recherche à l'aide de cette heure.
    • Informations sur les alertes, y compris un graphique montrant le nombre d'alertes impliquant l'entité au cours de la période de recherche. Le panneau liste également un sous-ensemble de règles ayant enregistré le plus grand nombre d'alertes.
    • Cliquez sur Ouvrir les alertes et les IOC pour afficher toutes les alertes générées au cours de la même période de recherche.
    • Cliquez sur Afficher dans l'onglet "Alertes" pour accéder à l'onglet Alertes de cette page et lancer une nouvelle recherche sur l'entité sélectionnée.
    • Cliquez sur l'une des barres du graphique pour accéder à l'onglet Alertes de cette page et lancer une nouvelle recherche sur l'entité sélectionnée, en utilisant la période de la barre sur laquelle vous avez cliqué.
    • Cliquez sur le lien Afficher plus pour ouvrir la vue Champs d'entité et afficher tous les champs d'entité associés à l'élément. Pour copier un champ d'entité dans le presse-papiers, cochez la case à côté du champ d'entité, cliquez sur Afficher les actions, puis sur Copier l'entité. Cochez la case en haut pour sélectionner toutes les entités.
  • IOC pertinents : affiche les IOC associés à l'élément. Les IOC associés à une gravité plus élevée sont affichés en premier. Cliquez sur le nom de l'IOC pour ouvrir l'outil d'affichage des entités à droite.
  • Entités associées : affiche les autres entités auxquelles cet élément est associé, comme les utilisateurs qui se sont connectés à l'élément. Le panneau affiche le type d'entité, la date de sa première apparition dans l'environnement et la date de sa dernière apparition (la plus récente). Elle affiche également les espaces de noms associés à un élément. Cliquez sur une entité pour ouvrir le panneau Contexte de l'entité. Cliquez sur Afficher toutes les périodes pour afficher les entités associées sur l'ensemble de la période disponible, par opposition à la plage spécifiée dans la recherche UDM.
  • Contexte de l'entité : affiche des informations sur l'entité que vous avez sélectionnée dans le panneau Entités associées. Ce panneau affiche différentes informations en fonction du type d'entité que vous avez sélectionné dans le panneau Entités associées (par exemple, utilisateur ou domaine).
  • Accéder à l'ancienne vue : accédez à l'ancienne vue d'investigation Composant. Pour en savoir plus, consultez Examiner un composant.

Détails du domaine

Lorsque la requête de recherche UDM inclut une condition qui spécifie un domaine spécifique, par exemple target.hostname="example.com", l'onglet Vue d'ensemble affiche les détails du domaine avec des informations dans les panneaux suivants:

  • Récapitulatif de la recherche : affiche les informations suivantes :
    • Informations sur le domaine, y compris les informations WHOIS associées au domaine enregistré, la première fois qu'il a été vu dans votre entreprise et la dernière fois (la plus récente). Cliquez sur Contexte VT pour afficher des informations sur le domaine depuis VirusTotal.
    • Informations sur les alertes, y compris un graphique montrant le nombre d'alertes impliquant l'entité au cours de la période de recherche. Le panneau liste également un sous-ensemble de règles ayant enregistré le plus grand nombre d'alertes.
    • Cliquez sur Ouvrir les alertes et les IOC pour afficher toutes les alertes générées au cours de la même période de recherche.
    • Cliquez sur Afficher dans l'onglet "Alertes" pour accéder à l'onglet Alertes de cette page et lancer une nouvelle recherche sur l'entité sélectionnée.
    • Cliquez sur l'une des barres du graphique pour accéder à l'onglet Alertes de cette page et lancer une nouvelle recherche sur l'entité sélectionnée, en utilisant la période de la barre sur laquelle vous avez cliqué.
    • Cliquez sur le lien Afficher plus pour ouvrir la vue Champs d'entité et afficher tous les champs d'entité associés au domaine. Pour copier un champ d'entité dans le presse-papiers, cochez la case à côté du champ d'entité, cliquez sur Afficher les actions, puis sur Copier l'entité. Cochez la case en haut pour sélectionner toutes les entités.
  • Adresses IP résolues : affiche toutes les adresses IP résolues qui ont été détectées dans votre entreprise pour le nom de domaine complet (FQDN). Par exemple, si vous recherchez target.hostname="test.altostrat.com", les résultats de recherche peuvent afficher deux adresses IP résolues (198.51.100.81 et 203.0.113.81).
  • Sous-domaines et domaines frères : affiche tous les sous-domaines associés qui ont été détectés dans votre entreprise pour un nom de domaine complet donné. De nombreux pirates informatiques utilisent le même domaine et le même sous-domaine pour leurs attaques. Par exemple, si vous recherchez target.hostname="sandbox.altostrat.com", ce panneau affiche deux sous-domaines, test.sandbox.altostrat.com et staging.sandbox.altostrat.com.
  • Prévalence des composants : indique le nombre de composants de votre entreprise qui se sont connectés au domaine pendant toute la période de stockage des données dans votre compte Google Security Operations. Chaque barre du graphique représente le nombre d'éléments uniques de votre entreprise qui se sont connectés au domaine un jour UTC. Si vous pointez sur une barre, les entités associées au jour UTC représenté par la barre s'affichent. Cliquez sur le nom de l'entité pour afficher son résumé et sa présentation dans le panneau contextuel de l'entité affiché à droite. Cliquez sur Afficher les événements pour afficher les événements liés à l'entité sélectionnée dans l'onglet "Événements de recherche".
  • Entités associées : affiche les autres entités auxquelles ce domaine est associé, telles que les composants qui ont contacté ce domaine. La liste inclut le type d'entité, la date de sa première apparition dans votre entreprise et la date de sa dernière apparition (la plus récente). Cliquez sur une entité pour ouvrir le panneau Contexte de l'entité.
  • Contexte de l'entité : affiche des informations sur l'entité que vous avez sélectionnée dans le panneau Entités associées. Ce panneau affiche différentes informations en fonction du type d'entité que vous avez sélectionné dans le panneau Entités associées (par exemple, adresse IP ou domaine).
  • Accéder à l'ancienne vue : accédez à l'ancienne vue d'investigation Domaine. Pour en savoir plus, consultez Examiner un domaine.

Détails du fichier

Lorsque la requête de recherche UDM inclut une condition qui renvoie un seul fichier, par exemple principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a", l'onglet Overview (Vue d'ensemble) affiche les détails du fichier avec les informations dans les panneaux suivants:

  • Récapitulatif de la recherche : affiche les informations suivantes :
    • Informations sur le fichier, y compris les valeurs de hachage, la taille du fichier, la première fois qu'il a été vu dans votre entreprise et la dernière fois (la plus récente) qu'il a été vu. Cliquez sur Contexte VT pour afficher des informations sur le fichier provenant de VirusTotal.
    • Informations sur les alertes, y compris un graphique indiquant le nombre d'alertes impliquant l'entité au cours de la période de recherche. Le panneau liste également un sous-ensemble de règles ayant enregistré le plus grand nombre d'alertes.
    • Cliquez sur Ouvrir les alertes et les IOC pour afficher toutes les alertes générées au cours de la même période de recherche.
    • Cliquez sur Afficher dans l'onglet "Alertes" pour accéder à l'onglet Alertes de cette page et lancer une nouvelle recherche sur l'entité sélectionnée.
    • Cliquez sur l'une des barres du graphique pour accéder à l'onglet Alertes de cette page et lancer une nouvelle recherche sur l'entité sélectionnée, en utilisant la période de la barre sur laquelle vous avez cliqué.
    • Cliquez sur le lien Afficher plus pour ouvrir la vue Champs d'entité et afficher tous les champs d'entité associés au fichier. Pour copier un champ d'entité dans le presse-papiers, cochez la case à côté du champ d'entité, cliquez sur Afficher les actions, puis sur Copier l'entité. Cochez la case en haut pour sélectionner toutes les entités.
  • IOC pertinents : affiche les IOC associés au fichier. Les IOC associés à une gravité plus élevée sont affichés en premier. Cliquez sur le nom de l'IOC pour ouvrir l'outil d'affichage des entités à droite.
  • Prévalence des composants : indique le nombre de composants de votre entreprise associés au fichier pour toute la période de stockage des données dans votre compte Google Security Operations.
  • Entités associées : affiche les autres entités auxquelles ce fichier est associé, comme un élément où ce fichier a été exécuté ou les utilisateurs qui y ont accédé. La liste inclut le type d'entité, la date de sa première apparition dans votre entreprise et la date de sa dernière apparition (la plus récente). Cliquez sur une entité pour ouvrir le panneau Contexte de l'entité.
  • Propriétés et métadonnées VirusTotal : affiche des informations sur le fichier à partir de la base de données VirusTotal. Cliquez sur Afficher plus pour ouvrir une boîte de dialogue VirusTotal et afficher des informations supplémentaires sur le fichier.
  • Entités associées : affiche différentes informations en fonction du type d'entité que vous avez sélectionné dans le panneau Entités associées (par exemple, utilisateur ou composant).
  • Contexte de l'entité : affiche des informations sur l'entité que vous avez sélectionnée dans le panneau Entités associées. Ce panneau affiche différentes informations en fonction du type d'entité que vous avez sélectionné dans le panneau Entités associées (par exemple, utilisateur ou composant).
  • Accéder à l'ancienne vue : accédez à l'ancienne vue d'investigation File (Fichier). Pour en savoir plus, consultez Examiner un fichier.

Informations sur l'adresse IP

Lorsque la requête de recherche UDM inclut une condition qui renvoie une adresse IP externe spécifique, par exemple target.ip="203.0.113.254", l'onglet Overview (Vue d'ensemble) affiche les détails de l'adresse IP avec des informations dans les panneaux suivants:

  • Récapitulatif de la recherche : affiche les informations suivantes :
    • Informations sur l'adresse IP, y compris la première fois qu'elle a été détectée dans votre entreprise et la dernière fois (la plus récente). Cliquez sur Contexte VT pour afficher les informations disponibles sur cette adresse IP depuis VirusTotal.
    • Informations sur les alertes, y compris un graphique montrant le nombre d'alertes impliquant l'entité au cours de la période de recherche. Le panneau liste également un sous-ensemble de règles ayant enregistré le plus grand nombre d'alertes.
    • Cliquez sur Ouvrir les alertes et les IOC pour afficher toutes les alertes générées au cours de la même période de recherche.
    • Cliquez sur Afficher dans l'onglet "Alertes" pour accéder à l'onglet Alertes de cette page et lancer une nouvelle recherche sur l'entité sélectionnée.
    • Cliquez sur l'une des barres du graphique pour accéder à l'onglet Alertes de cette page et lancer une nouvelle recherche sur l'entité sélectionnée, en utilisant la période de la barre sur laquelle vous avez cliqué.
    • Cliquez sur le lien Afficher plus pour ouvrir la vue Champs d'entité et afficher tous les champs d'entité associés à l'adresse IP. Pour copier un champ d'entité dans le presse-papiers, cochez la case à côté du champ d'entité, cliquez sur Afficher les actions, puis sur Copier l'entité. Cochez la case en haut pour sélectionner toutes les entités.
  • IOC pertinents : affiche les IOC associés à l'adresse IP. Les IOC associés à une gravité plus élevée sont affichés en premier. Cliquez sur le nom de l'IOC pour ouvrir l'outil d'affichage des entités à droite.
  • Prévalence des composants : indique le nombre de composants de votre entreprise qui se sont connectés à l'adresse IP au cours de la période spécifiée dans la recherche UDM.
  • Entités associées : affiche les autres entités auxquelles cette adresse IP est associée, telles que les domaines auxquels elle est enregistrée. La liste inclut le type d'entité, la date de sa première apparition dans votre entreprise et la date de sa dernière apparition (la plus récente). Cliquez sur une entité pour ouvrir le panneau Contexte de l'entité.
  • Contexte de l'entité : affiche des informations sur l'entité que vous avez sélectionnée dans le panneau Entités associées. Ce panneau affiche différentes informations en fonction du type d'entité que vous avez sélectionné dans le panneau Entités associées (par exemple, domaine ou composant). Si le lien s'affiche, cliquez sur Contexte VT pour afficher des informations sur l'entité provenant de VirusTotal.
  • Accéder à l'ancienne vue : accédez à l'ancienne vue d'investigation Adresse IP. Pour en savoir plus, consultez Examiner une adresse IP.

Détails relatifs à l'utilisateur

Lorsque la requête de recherche UDM inclut une condition qui renvoie un utilisateur spécifique, par exemple principal.user.userid="alice", l'onglet Vue d'ensemble affiche les détails de l'utilisateur avec des informations dans les panneaux suivants:

  • Récapitulatif de la recherche : affiche les informations suivantes :
    • Informations sur l'entité, y compris le nom complet, la première fois qu'elle a été détectée dans votre entreprise et la dernière fois (la plus récente), le titre et l'adresse e-mail.
    • Informations sur les alertes, y compris un graphique montrant le nombre d'alertes impliquant l'entité au cours de la période de recherche. Le panneau liste également un sous-ensemble de règles ayant enregistré le plus grand nombre d'alertes.
    • Cliquez sur Ouvrir les alertes et les IOC pour afficher toutes les alertes générées au cours de la même période de recherche.
    • Cliquez sur Afficher dans l'onglet "Alertes" pour accéder à l'onglet Alertes de cette page et lancer une nouvelle recherche sur l'entité sélectionnée.
    • Cliquez sur l'une des barres du graphique pour accéder à l'onglet Alertes de cette page et lancer une nouvelle recherche sur l'entité sélectionnée, en utilisant la période de la barre sur laquelle vous avez cliqué.
    • Cliquez sur le lien Afficher plus pour ouvrir la vue Champs d'entité et afficher tous les champs d'entité associés à l'utilisateur. Pour copier un champ d'entité dans le presse-papiers, cochez la case à côté du champ d'entité, cliquez sur Afficher les actions, puis sur Copier l'entité. Cochez la case en haut pour sélectionner toutes les entités.
  • Entités associées : affiche les entités auxquelles cet utilisateur est associé, telles que les domaines qu'il a contactés ou les composants auxquels il a accédé. La liste inclut le type d'entité, la date de sa première apparition dans votre entreprise et la date de sa dernière apparition (la plus récente). Cliquez sur une entité pour ouvrir le panneau Contexte de l'entité.
  • Contexte de l'entité : affiche des informations sur l'entité que vous sélectionnez dans le panneau Entités associées. Les informations de ce panneau varient en fonction du type d'entité (par exemple, un composant ou un domaine).
  • Accéder à l'ancienne vue : accédez à l'ancienne vue d'investigation Utilisateur. Pour en savoir plus, consultez Examiner un utilisateur.

Onglet "Événements"

L'onglet Événements affiche les événements associés à votre recherche UDM sur la période donnée. Ces événements sont listés dans le tableau Événements. Cliquez sur le code temporel d'un événement pour ouvrir une boîte de dialogue affichant les éléments et les fichiers associés à l'événement. Cliquez sur l'un de ces éléments pour ouvrir le panneau Contexte de l'entité, qui fournit des informations supplémentaires sur l'entité, y compris une liste des alertes associées et un graphique d'alertes montrant la fréquence de ces alertes au fil du temps.

Pour en savoir plus sur les événements UDM, consultez la section Structure d'un événement UDM.

Utilisez l'option Pivot pour ouvrir les paramètres de pivot. Ces paramètres vous permettent d'analyser les événements à l'aide d'expressions et de fonctions par rapport aux résultats de la recherche UDM. Pour en savoir plus, consultez Utiliser le tableau croisé dynamique pour analyser les événements.

Graphique de la tendance au fil du temps

Le graphique Tendance au fil du temps affiche les événements sur la période spécifiée dans la recherche UDM. Les alertes s'affichent en rouge sous le graphique. Cliquez sur l'une des barres pour affiner l'onglet Événements sur cette période. Les événements associés à cette plage horaire s'affichent dans le tableau Événements.

Graphique de prévalence du domaine

Le graphique Prévalence des domaines indique la prévalence des domaines associés à votre recherche au sein de votre entreprise. Si vous pointez sur l'un des cercles du graphique, le domaine spécifique s'affiche et vous pouvez affiner votre recherche aux événements associés à ce domaine uniquement. Le graphique ne s'affiche que si votre recherche UDM inclut un domaine.

Onglet "Alerts" (Alertes)

L'onglet Alertes vous permet d'afficher des informations détaillées sur les alertes associées à votre recherche UDM.

  • Graphique : affiche le nombre d'alertes par période au cours de la période spécifiée dans la recherche UDM (la période varie en fonction de la durée de la recherche). La case à cocher Alertes filtrées vous permet d'afficher ou de masquer les alertes traitées par les options Filtres. La case à cocher Interroger les alertes vous permet d'afficher ou de masquer toutes les alertes traitées par la recherche UDM.
  • Filtres : permet de filtrer les alertes en fonction des options affichées. Par exemple, vous pouvez cliquer sur Gravité, sur l'option de menu Moyenne, puis sélectionner Afficher uniquement. Le graphique et le tableau se rechargent pour n'afficher que les alertes de gravité moyenne.
  • Tableau Alertes : affiche les alertes associées à la recherche UDM. Cliquez sur une alerte pour ouvrir le lecteur d'alerte et afficher des informations supplémentaires. Cliquez sur Afficher les détails pour ouvrir la vue Alertes et indicateurs de compromission associés (voir Afficher les alertes et les indicateurs de compromission associés). Si vous cliquez sur une barre de filtre spécifique dans le graphique, seules les alertes associées à cette barre s'affichent. De même, si vous ajoutez des filtres, le tableau se recharge et n'affiche que les alertes associées à vos sélections.