Utiliser la recherche UDM pour examiner une entité

Lors d'une enquête, vous pouvez rédiger une requête de recherche UDM pour afficher des informations sur une ou plusieurs entités (par exemple, une adresse IP, un utilisateur ou un élément) en plus des événements et des alertes qui correspondent aux termes de la requête de recherche.

Lorsqu'une requête de recherche inclut une condition qui identifie une entité spécifique (par exemple, principal.ip="10.0.31.20"), les résultats de la recherche incluent des détails sur l'entité (si elle est présente dans votre entreprise) en plus des événements UDM qui correspondent à l'intégralité de la requête de recherche.

Le volet des résultats de recherche comprend les onglets suivants:

  • Présentation : informations sur une ou plusieurs entités spécifiques.
  • Événements : résultats de recherche correspondant à l'ensemble de la requête de recherche et de la période de recherche.
  • Alertes : alertes générées par des événements correspondant à l'ensemble de la requête de recherche.

Les conditions de requête de recherche UDM peuvent inclure à la fois des champs UDM (principal.hostname="alice") et des champs groupés (hostname="alice").

La requête de recherche UDM peut inclure plusieurs conditions, chacune spécifiant un identifiant d'entité différent. Voici quelques exemples de requêtes:

  • principal.hostname="alicehost" and user="alice"
  • principal.hostname="alicehost" and (user="kai" or user="alice")
  • principal.hostname="alicehost" and target.hostname="altostrat.com"
  • principal.hostname="alicehost" and hash="40a80612aaa8a8a36aa82a1278aaa02a"
  • hostname="alicehost" and domain=/altostrat.com/ nocase
  • user="alice" and domain=/altostrat.com/ nocase

Le tableau suivant comprend des exemples de requêtes de recherche UDM pour une ou plusieurs entités, ainsi que le type d'informations affiché:

Type d'information Exemples de requêtes de recherche UDM
Asset
  • hostname="laptop-kai"
  • principal.hostname="laptop-kai"
  • principal.ip="10.0.0.76" //(private IP address)
  • principal.mac="c5:0c:9c:aa:bb:c4"
  • principal.hostname="laptop-kai" and metadata.event_type = "NETWORK_CONNECTION"
  • hostname="laptop-kai" or hostname="desktop-kai"
Domaine
  • domain="example.com"
  • target.hostname="example.com"
Fichier
  • hash="44a88612faa8a8f36ae82a1278aaa02a"
  • principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a"
Adresse IP
  • ip="8.8.8.8"
  • target.ip="203.0.113.204" //(public IP address)
Utilisateur
  • user="alice"
  • target.user.email_address="smitha@example.com"
  • principal.user.userid="alice" or target.user.userid = "smitha"
  • email="john@altostrat.com" or email="alice@example.com"
  • principal.user.userid="smitha"

Onglet "Overview" (Vue d'ensemble)

L'onglet Présentation affiche des informations sur les entités dans l'un des types d'informations prédéfinis suivants. Les informations présentées varient en fonction du type d'information.

Détails de l'élément

Lorsque la requête de recherche UDM inclut une condition qui renvoie un élément spécifique, par exemple principal.hostname="laptop-will" ou principal.ip="10.0.0.76", l'onglet Présentation affiche la vue des éléments avec des informations dans les panneaux suivants:

  • Résumé de la recherche : affiche les informations suivantes :
    • Informations sur l'entité, y compris l'adresse IP et l'adresse MAC associées à l'élément au cours de la période de recherche L'adresse IP et l'adresse MAC peuvent également être utilisées pour identifier une entité et en cliquant dessus pour afficher des informations supplémentaires dans le lecteur d'entité. Il indique également la première fois que l'élément a été vu dans votre entreprise et sa dernière occurrence (la plus récente). Vous pouvez cliquer sur l'horodatage (premier ou dernier) pour exécuter une nouvelle recherche en utilisant cette heure.
    • Détails sur les alertes, y compris un graphique indiquant le nombre d'alertes impliquant l'entité au cours de la période de recherche Le panneau répertorie également un sous-ensemble de règles comportant le plus grand nombre d'alertes.
    • Cliquez sur Ouvrir les alertes et les IOC pour afficher toutes les alertes générées au cours de la même période de recherche.
    • Cliquez sur Afficher dans l'onglet des alertes pour passer à l'onglet Alertes de cette page et lancer une nouvelle recherche sur l'entité sélectionnée.
    • Cliquez sur l'une des barres du graphique pour accéder à l'onglet Alertes de cette page et lancer une nouvelle recherche sur l'entité sélectionnée en utilisant la période de la barre sur laquelle l'utilisateur a cliqué.
    • Cliquez sur le lien Afficher plus pour ouvrir la vue Champs d'entité et afficher tous les champs d'entité associés à l'élément. Pour copier un champ d'entité dans le presse-papiers, cochez la case à côté du champ de l'entité, cliquez sur Afficher les actions, puis sur Copier l'entité. Cochez la case située en haut pour sélectionner toutes les entités.
  • IOC pertinents : affiche les IOC associés à l'asset. Les indicateurs de niveau de gravité associés à un niveau de gravité plus élevé sont affichés en premier. Cliquez sur le nom IOC pour ouvrir la visionneuse d'entité à droite.
  • Entités associées : affiche les autres entités auxquelles cet élément est associé, telles que les utilisateurs qui se sont connectés à l'élément. Le panneau affiche le type d'entité, la date à laquelle elle a été vue pour la première fois dans l'environnement et la date à laquelle elle a été vue pour la dernière fois (la plus récente). Il affiche également tous les espaces de noms associés à un élément. Cliquez sur une entité pour ouvrir le panneau Contexte de l'entité. Cliquez sur Show all time (Afficher toute la période) pour afficher les entités associées sur l'ensemble de la période disponible plutôt que sur la plage spécifiée dans la recherche UDM.
  • Contexte de l'entité : affiche des détails sur l'entité que vous avez sélectionnée dans le panneau Entités associées. Ce panneau affiche différentes informations en fonction du type d'entité que vous avez sélectionné dans le panneau Entités associées (par exemple, utilisateur ou domaine).
  • Accéder à l'ancienne vue : accédez à l'ancienne vue d'investigation de l'élément. Pour en savoir plus, consultez Examiner un élément.

Détails du domaine

Lorsque la requête de recherche UDM inclut une condition spécifiant un domaine spécifique, par exemple target.hostname="example.com", l'onglet Overview (Aperçu) affiche les détails du Domain (Domaine) ainsi que des informations dans les panneaux suivants:

  • Résumé de la recherche : affiche les informations suivantes :
    • Informations sur le domaine, y compris les informations WHOIS associées au domaine enregistré, la première fois qu'il a été vu dans votre entreprise et la dernière fois où il a été vu. Cliquez sur VT Context (Contexte VT) pour afficher les informations sur le domaine issues de VirusTotal.
    • Détails sur les alertes, y compris un graphique indiquant le nombre d'alertes impliquant l'entité au cours de la période de recherche Le panneau répertorie également un sous-ensemble de règles comportant le plus grand nombre d'alertes.
    • Cliquez sur Ouvrir les alertes et les IOC pour afficher toutes les alertes générées au cours de la même période de recherche.
    • Cliquez sur Afficher dans l'onglet des alertes pour passer à l'onglet Alertes de cette page et lancer une nouvelle recherche sur l'entité sélectionnée.
    • Cliquez sur l'une des barres du graphique pour accéder à l'onglet Alertes de cette page et lancer une nouvelle recherche sur l'entité sélectionnée en utilisant la période de la barre sur laquelle l'utilisateur a cliqué.
    • Cliquez sur le lien Afficher plus pour ouvrir la vue Champs d'entité et afficher tous les champs d'entité associés au domaine. Pour copier un champ d'entité dans le presse-papiers, cochez la case à côté du champ de l'entité, cliquez sur Afficher les actions, puis sur Copier l'entité. Cochez la case située en haut pour sélectionner toutes les entités.
  • Resolved IPs (Adresses IP résolues) : affiche toutes les adresses IP résolues qui ont été détectées dans votre entreprise pour le nom de domaine complet. Par exemple, si vous recherchez target.hostname="test.altostrat.com", les résultats de la recherche peuvent afficher deux adresses IP résolues (198.51.100.81 et 203.0.113.81).
  • Sous-domaines et domaines frères : affiche tous les sous-domaines associés qui ont été détectés dans votre entreprise pour un nom de domaine complet donné. De nombreux pirates informatiques utilisent le même domaine et le même sous-domaine pour leurs attaques. Par exemple, si vous recherchez target.hostname="sandbox.altostrat.com", ce panneau affiche deux sous-domaines, test.sandbox.altostrat.com et staging.sandbox.altostrat.com.
  • Prevalence of assets (Prévalence des éléments) : indique le nombre d'éléments de votre entreprise qui se sont connectés au domaine pendant toute la période des données stockées dans votre compte Chronicle. Chaque barre du graphique représente le nombre d'éléments uniques de votre entreprise qui se sont connectés au domaine un jour UTC. Pointez sur une barre pour afficher les entités associées le jour UTC représenté par cette barre. Cliquez sur le nom de l'entité pour afficher son résumé et sa présentation dans le panneau contextuel de l'entité affiché à droite. Cliquez sur Afficher les événements pour afficher les événements associés à l'entité sélectionnée dans l'onglet des événements de la recherche.
  • Entités associées : affiche les autres entités auxquelles ce domaine est associé, telles que les éléments qui ont contacté ce domaine. Cette liste indique le type d'entité, la date à laquelle elle a été vue pour la première fois dans votre entreprise et la date à laquelle elle a été vue pour la dernière fois (la plus récente). Cliquez sur une entité pour ouvrir le panneau Contexte de l'entité.
  • Contexte de l'entité : affiche des détails sur l'entité que vous avez sélectionnée dans le panneau Entités associées. Ce panneau affiche différentes informations en fonction du type d'entité que vous avez sélectionné dans le panneau Entités associées (par exemple, adresse IP ou domaine).
  • Accéder à l'ancienne vue : accédez à l'ancienne vue d'investigation Domaine. Pour en savoir plus, consultez la section Examiner un domaine.

Détails du fichier

Lorsque la requête de recherche UDM inclut une condition qui renvoie un seul fichier (par exemple, principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a"), l'onglet Présentation affiche les détails du fichier ainsi que des informations dans les panneaux suivants:

  • Résumé de la recherche : affiche les informations suivantes :
    • Informations sur le fichier, y compris les valeurs de hachage, la taille du fichier, la première fois qu'il a été vu dans votre entreprise et la dernière fois où il a été vu. Cliquez sur VT Context (Contexte VT) pour afficher les informations sur le fichier issues de VirusTotal.
    • Détails sur les alertes, y compris un graphique indiquant le nombre d'alertes qui ont impliqué l'entité au cours de la période de recherche Le panneau répertorie également un sous-ensemble de règles comportant le plus grand nombre d'alertes.
    • Cliquez sur Ouvrir les alertes et les IOC pour afficher toutes les alertes générées au cours de la même période de recherche.
    • Cliquez sur Afficher dans l'onglet des alertes pour passer à l'onglet Alertes de cette page et lancer une nouvelle recherche sur l'entité sélectionnée.
    • Cliquez sur l'une des barres du graphique pour accéder à l'onglet Alertes de cette page et lancer une nouvelle recherche sur l'entité sélectionnée en utilisant la période de la barre sur laquelle l'utilisateur a cliqué.
    • Cliquez sur le lien Afficher plus pour ouvrir la vue Champs d'entité et afficher tous les champs d'entité associés au fichier. Pour copier un champ d'entité dans le presse-papiers, cochez la case à côté du champ de l'entité, cliquez sur Afficher les actions, puis sur Copier l'entité. Cochez la case située en haut pour sélectionner toutes les entités.
  • IOC pertinents : affiche les IOC associés au fichier. Les indicateurs de niveau de gravité associés à un niveau de gravité plus élevé sont affichés en premier. Cliquez sur le nom IOC pour ouvrir la visionneuse d'entité à droite.
  • Prevalence of assets (Prévalence des éléments) : indique le nombre d'éléments dans votre entreprise associés au fichier pour toute la période des données stockées dans votre compte Chronicle.
  • Entités associées : affiche les autres entités auxquelles ce fichier est associé, comme un élément où ce fichier a été exécuté ou les utilisateurs qui y ont accédé. Cette liste indique le type d'entité, ainsi que la date et l'heure auxquelles elle a été détectée pour la première fois dans votre entreprise et pour la dernière fois (la plus récente). Cliquez sur une entité pour ouvrir le panneau Contexte de l'entité.
  • Propriétés et métadonnées de VirusTotal : affiche des informations sur le fichier provenant de la base de données VirusTotal. Cliquez sur View more (Afficher plus) pour ouvrir une boîte de dialogue VirusTotal et afficher des informations supplémentaires sur le fichier.
  • Entités associées : affiche différentes informations en fonction du type d'entité que vous avez sélectionné dans le panneau Entités associées (par exemple, utilisateur ou élément).
  • Contexte de l'entité : affiche des détails sur l'entité que vous avez sélectionnée dans le panneau Entités associées. Ce panneau affiche différentes informations en fonction du type d'entité que vous avez sélectionné dans le panneau Entités associées (par exemple, utilisateur ou élément).
  • Accéder à l'ancienne vue : accédez à l'ancienne vue d'investigation Fichier. Pour en savoir plus, consultez la section Examiner un fichier.

Détails de l'adresse IP

Lorsque la requête de recherche UDM inclut une condition qui renvoie une adresse IP externe spécifique (par exemple, target.ip="203.0.113.254"), l'onglet Présentation affiche les détails de l'adresse IP ainsi que des informations dans les panneaux suivants:

  • Résumé de la recherche : affiche les informations suivantes :
    • Des informations sur l'adresse IP, y compris la première fois qu'elle a été vue dans votre entreprise et la dernière fois où elle a été vue. Cliquez sur VT Context pour afficher les informations disponibles sur cette adresse IP depuis VirusTotal.
    • Détails sur les alertes, y compris un graphique indiquant le nombre d'alertes impliquant l'entité au cours de la période de recherche Le panneau répertorie également un sous-ensemble de règles comportant le plus grand nombre d'alertes.
    • Cliquez sur Ouvrir les alertes et les IOC pour afficher toutes les alertes générées au cours de la même période de recherche.
    • Cliquez sur Afficher dans l'onglet des alertes pour passer à l'onglet Alertes de cette page et lancer une nouvelle recherche sur l'entité sélectionnée.
    • Cliquez sur l'une des barres du graphique pour accéder à l'onglet Alertes de cette page et lancer une nouvelle recherche sur l'entité sélectionnée en utilisant la période de la barre sur laquelle l'utilisateur a cliqué.
    • Cliquez sur le lien Afficher plus pour ouvrir la vue Champs d'entité et afficher tous les champs d'entité associés à l'adresse IP. Pour copier un champ d'entité dans le presse-papiers, cochez la case située à côté du champ de l'entité, cliquez sur Afficher les actions, puis sur Copier l'entité. Cochez la case située en haut pour sélectionner toutes les entités.
  • IOC pertinents : affiche les IOC associés à l'adresse IP. Les indicateurs de niveau de gravité associés à un niveau de gravité plus élevé sont affichés en premier. Cliquez sur le nom IOC pour ouvrir la visionneuse d'entité à droite.
  • Prevalence of assets (Prévalence des éléments) : indique le nombre d'éléments dans votre entreprise qui se sont connectés à l'adresse IP au cours de la période spécifiée dans la recherche UDM.
  • Entités associées : affiche les autres entités auxquelles cette adresse IP est associée, telles que les domaines auprès desquels l'adresse IP est enregistrée. Cette liste indique le type d'entité, la date à laquelle elle a été vue pour la première fois dans votre entreprise et la date à laquelle elle a été vue pour la dernière fois (la plus récente). Cliquez sur une entité pour ouvrir le panneau Contexte de l'entité.
  • Contexte de l'entité : affiche des détails sur l'entité que vous avez sélectionnée dans le panneau Entités associées. Ce panneau affiche différentes informations en fonction du type d'entité que vous avez sélectionné dans le panneau Entités associées (par exemple, domaine ou élément). Si le lien s'affiche, cliquez sur VT Context (Contexte VT) pour afficher des informations sur l'entité issues de VirusTotal.
  • Accéder à l'ancienne vue : accédez à l'ancienne vue d'investigation Adresse IP. Pour en savoir plus, consultez la section Examiner une adresse IP.

Détails relatifs à l'utilisateur

Lorsque la requête de recherche UDM inclut une condition qui renvoie un utilisateur spécifique (par exemple, principal.user.userid="alice"), l'onglet Présentation affiche les détails de l'utilisateur ainsi que des informations dans les panneaux suivants:

  • Résumé de la recherche : affiche les informations suivantes :
    • Informations sur l'entité, y compris le nom complet, la première occurrence dans votre entreprise et la dernière occurrence (la plus récente), le titre et l'adresse e-mail
    • Détails sur les alertes, y compris un graphique indiquant le nombre d'alertes impliquant l'entité au cours de la période de recherche Le panneau répertorie également un sous-ensemble de règles comportant le plus grand nombre d'alertes.
    • Cliquez sur Ouvrir les alertes et les IOC pour afficher toutes les alertes générées au cours de la même période de recherche.
    • Cliquez sur Afficher dans l'onglet des alertes pour passer à l'onglet Alertes de cette page et lancer une nouvelle recherche sur l'entité sélectionnée.
    • Cliquez sur l'une des barres du graphique pour accéder à l'onglet Alertes de cette page et lancer une nouvelle recherche sur l'entité sélectionnée en utilisant la période de la barre sur laquelle l'utilisateur a cliqué.
    • Cliquez sur le lien Afficher plus pour ouvrir la vue Champs d'entité et afficher tous les champs d'entité associés à l'utilisateur. Pour copier un champ d'entité dans le presse-papiers, cochez la case à côté du champ de l'entité, cliquez sur Afficher les actions, puis sur Copier l'entité. Cochez la case située en haut pour sélectionner toutes les entités.
  • Entités associées : affiche les entités auxquelles cet utilisateur est lié, telles que les domaines contactés ou les éléments auxquels l'utilisateur a accédé. Cette liste indique le type d'entité, la date à laquelle elle a été vue pour la première fois dans votre entreprise et la date à laquelle elle a été vue pour la dernière fois (la plus récente). Cliquez sur une entité pour ouvrir le panneau Contexte de l'entité.
  • Contexte de l'entité : affiche des détails sur l'entité que vous sélectionnez dans le panneau Entités associées. Les informations de ce panneau varient en fonction du type d'entité (actif ou domaine, par exemple).
  • Accéder à l'ancienne vue : accédez à l'ancienne vue d'investigation Utilisateur. Pour en savoir plus, consultez Examiner un utilisateur.

Onglet "Événements"

L'onglet Events (Événements) affiche les événements associés à votre recherche UDM sur la période donnée. Ces événements sont listés dans le tableau Événements. Cliquez sur l'horodatage d'un événement pour ouvrir une boîte de dialogue contenant les éléments et les fichiers associés à cet événement. Cliquez sur l'un de ces éléments pour ouvrir le panneau Contexte de l'entité qui fournit des informations supplémentaires sur l'entité, y compris une liste des alertes associées et un graphique d'alerte indiquant la fréquence de ces alertes au fil du temps.

Pour en savoir plus sur les événements UDM, consultez la section Structure d'un événement UDM.

Utilisez l'option Tableau croisé dynamique pour ouvrir les paramètres de tableau croisé dynamique. Ces paramètres vous permettent d'analyser des événements à l'aide d'expressions et de fonctions par rapport aux résultats de la recherche UDM. Pour en savoir plus, consultez Analyser des événements à l'aide du tableau croisé dynamique.

Graphique des tendances dans le temps

Le graphique Tendance dans le temps affiche les événements au cours de la période spécifiée dans la recherche UDM. Les alertes sont affichées en rouge sous le graphique. Cliquez sur l'une des barres pour restreindre le champ de l'onglet Events (Événements) à cette période. Les événements associés à ce créneau horaire s'affichent dans le tableau Événements.

Graphique de prévalence du domaine

Le graphique Prévalence du domaine affiche la prévalence des domaines associés à votre recherche dans votre entreprise. Pointez sur l'un des cercles du graphique pour afficher le domaine spécifique et limiter votre recherche aux événements qui lui sont associés. Le graphique ne s'affiche que si votre recherche UDM inclut un domaine.

Onglet "Alerts" (Alertes)

L'onglet Alerts (Alertes) vous permet d'afficher des informations détaillées sur les alertes associées à votre recherche UDM.

  • Graphique : affiche le nombre d'alertes par période au cours de la période spécifiée dans la recherche UDM (la période varie en fonction de la durée de la recherche). La case Alertes filtrées vous permet d'afficher ou de masquer les alertes traitées par les options Filtres. La case Alertes de requête vous permet d'afficher ou de masquer toutes les alertes traitées par la recherche UDM.
  • Filtres : vous permet de filtrer les alertes en fonction des options listées. Par exemple, vous pouvez cliquer sur Gravité, cliquer sur l'option de menu Moyenne, puis sélectionner Afficher uniquement. Le graphique et le tableau sont actualisés pour n'afficher que les alertes de gravité moyenne.
  • Table Alerts (Alertes) : affiche les alertes associées à la recherche UDM. Cliquez sur une alerte pour ouvrir le lecteur d'alertes et afficher des informations supplémentaires. Cliquez sur Afficher les détails pour ouvrir la vue Alertes et IOC (voir Afficher les alertes et les IOC). Si vous cliquez sur une barre de filtre spécifique dans le graphique, seules les alertes associées à cette barre s'affichent. De même, si vous ajoutez des filtres, la table est actualisée et n'affiche que les alertes associées à vos sélections.