Menggunakan Penelusuran UDM untuk menyelidiki entity

Didukung di:

Selama investigasi, Anda dapat menulis kueri Penelusuran UDM untuk menampilkan detail tentang satu atau beberapa entity (misalnya, alamat IP, pengguna, atau aset) selain peristiwa dan pemberitahuan yang cocok dengan istilah kueri penelusuran.

Pada sistem yang menggunakan RBAC data, Anda hanya dapat melihat data yang cocok dengan cakupan Anda. Untuk mengetahui informasi selengkapnya, lihat dampak RBAC data terhadap Penelusuran.

Jika kueri penelusuran menyertakan kondisi yang mengidentifikasi entitas tertentu (misalnya, principal.ip="10.0.31.20"), hasil penelusuran akan menyertakan detail tentang entitas (jika ada di perusahaan Anda) selain peristiwa UDM yang cocok dengan seluruh kueri penelusuran.

Panel hasil penelusuran mencakup tab berikut:

  • Ringkasan—Detail tentang satu atau beberapa entity tertentu.
  • Peristiwa—Hasil penelusuran yang cocok dengan seluruh kueri penelusuran dan rentang waktu penelusuran.
  • Pemberitahuan—Pemberitahuan yang dihasilkan oleh peristiwa yang cocok dengan seluruh kueri penelusuran.

Kondisi kueri Penelusuran UDM dapat mencakup kolom UDM (principal.hostname="alice") dan kolom grup (hostname="alice").

Kueri Penelusuran UDM dapat menyertakan beberapa kondisi, yang masing-masing menentukan ID entitas yang berbeda. Contoh kueri mencakup hal berikut:

  • principal.hostname="alicehost" and user="alice"
  • principal.hostname="alicehost" and (user="kai" or user="alice")
  • principal.hostname="alicehost" and target.hostname="altostrat.com"
  • principal.hostname="alicehost" and hash="40a80612aaa8a8a36aa82a1278aaa02a"
  • hostname="alicehost" and domain=/altostrat.com/ nocase
  • user="alice" and domain=/altostrat.com/ nocase

Tabel berikut menyertakan contoh kueri Penelusuran UDM untuk satu atau beberapa entity dan jenis informasi yang ditampilkan:

Jenis informasi Contoh kueri Penelusuran UDM
Aset
  • hostname="laptop-kai"
  • principal.hostname="laptop-kai"
  • principal.ip="10.0.0.76" //(private IP address)
  • principal.mac="c5:0c:9c:aa:bb:c4"
  • principal.hostname="laptop-kai" and metadata.event_type = "NETWORK_CONNECTION"
  • hostname="laptop-kai" or hostname="desktop-kai"
Domain
  • domain="example.com"
  • target.hostname="example.com"
File
  • hash="44a88612faa8a8f36ae82a1278aaa02a"
  • principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a"
IP
  • ip="8.8.8.8"
  • target.ip="203.0.113.204" //(public IP address)
Pengguna
  • user="alice"
  • target.user.email_address="smitha@example.com"
  • principal.user.userid="alice" or target.user.userid = "smitha"
  • email="john@altostrat.com" or email="alice@example.com"
  • principal.user.userid="smitha"

Tab Ringkasan

Tab Ringkasan menampilkan informasi entitas dalam salah satu jenis informasi yang telah ditentukan sebelumnya berikut. Informasi yang ditampilkan bervariasi bergantung pada jenis informasi.

Detail aset

Jika kueri Penelusuran UDM menyertakan kondisi yang menampilkan aset tertentu, misalnya principal.hostname="laptop-will" atau principal.ip="10.0.0.76", tab Ringkasan akan menampilkan Tampilan aset dengan informasi di panel berikut:

  • Ringkasan penelusuran—Menampilkan informasi berikut:
    • Detail tentang entitas, termasuk alamat IP dan alamat MAC yang terkait dengan aset selama rentang waktu penelusuran. Alamat IP dan alamat MAC juga dapat digunakan untuk mengidentifikasi entitas dan dapat diklik untuk menampilkan informasi tambahan di penampil entitas. Kolom ini juga menampilkan kapan pertama kali aset terlihat di perusahaan Anda dan kapan terakhir kali terlihat. Anda dapat mengklik stempel waktu (pertama atau terakhir) untuk menjalankan penelusuran baru menggunakan waktu tersebut.
    • Detail tentang pemberitahuan, termasuk grafik yang menampilkan jumlah pemberitahuan yang melibatkan entitas dalam rentang waktu penelusuran. Panel ini juga mencantumkan subset aturan dengan jumlah pemberitahuan tertinggi.
    • Klik Buka Pemberitahuan & IOC untuk melihat semua pemberitahuan yang dihasilkan selama rentang waktu penelusuran yang sama.
    • Klik Lihat di Tab Notifikasi untuk beralih ke tab Notifikasi di halaman ini dan memulai penelusuran baru terhadap entitas yang dipilih.
    • Klik salah satu batang pada diagram untuk beralih ke tab Notifikasi di halaman ini dan mulai penelusuran baru terhadap entitas yang dipilih, menggunakan rentang waktu batang yang diklik.
    • Klik link Lihat lainnya untuk membuka tampilan Kolom entitas dan menampilkan semua kolom entitas yang terkait dengan aset. Untuk menyalin kolom entitas ke papan klip, klik kotak centang di samping kolom entitas, klik Lihat tindakan, lalu klik Salin entitas. Klik kotak centang di bagian atas untuk memilih semua entity.
  • IOC yang Relevan—Menampilkan IOC yang terkait dengan aset. IOC yang diberi tingkat keparahan yang lebih tinggi akan ditampilkan terlebih dahulu. Mengklik nama IOC akan membuka penampil entity di sebelah kanan.
  • Entitas terkait—Menampilkan entitas lain yang terkait dengan aset ini, seperti pengguna yang login ke aset. Panel menampilkan jenis entitas, saat pertama kali terlihat di lingkungan, dan saat terakhir (terbaru) terlihat. Halaman ini juga menampilkan namespace apa pun yang terkait dengan aset. Klik entity untuk membuka panel Konteks entity. Klik Tampilkan sepanjang waktu untuk menampilkan entitas terkait selama seluruh periode waktu yang tersedia, bukan rentang yang ditentukan dalam penelusuran UDM.
  • Konteks entitas—Menampilkan detail tentang entitas yang Anda pilih di panel Entitas terkait. Panel ini menampilkan informasi yang berbeda bergantung pada jenis entitas yang Anda pilih di panel Entitas terkait (misalnya, pengguna atau domain).
  • Buka tampilan lama—Buka tampilan investigasi Aset lama. Untuk informasi selengkapnya, lihat Menyelidiki aset.

Detail domain

Jika kueri Penelusuran UDM menyertakan kondisi yang menentukan domain tertentu, misalnya target.hostname="example.com", tab Ringkasan akan menampilkan detail Domain dengan informasi di panel berikut:

  • Ringkasan penelusuran—Menampilkan informasi berikut:
    • Detail tentang domain, termasuk informasi WHOIS yang terkait dengan domain terdaftar, pertama kali domain tersebut terlihat di perusahaan Anda, dan terakhir kali domain tersebut terlihat. Klik VT Context untuk melihat informasi tentang domain dari VirusTotal.
    • Detail tentang pemberitahuan, termasuk grafik yang menampilkan jumlah pemberitahuan yang melibatkan entitas dalam rentang waktu penelusuran. Panel ini juga mencantumkan subset aturan dengan jumlah pemberitahuan tertinggi.
    • Klik Buka Pemberitahuan & IOC untuk melihat semua pemberitahuan yang dihasilkan selama rentang waktu penelusuran yang sama.
    • Klik Lihat di Tab Notifikasi untuk beralih ke tab Notifikasi di halaman ini dan memulai penelusuran baru terhadap entitas yang dipilih.
    • Klik salah satu batang pada diagram untuk beralih ke tab Notifikasi di halaman ini dan mulai penelusuran baru terhadap entitas yang dipilih, menggunakan rentang waktu batang yang diklik.
    • Klik link Lihat lainnya untuk membuka tampilan Kolom entitas dan menampilkan semua kolom entitas yang terkait dengan domain. Untuk menyalin kolom entitas ke papan klip, klik kotak centang di samping kolom entitas, klik Lihat tindakan, lalu klik Salin entitas. Klik kotak centang di bagian atas untuk memilih semua entity.
  • IP yang Diselesaikan—Menampilkan semua alamat IP yang telah dilihat di perusahaan Anda untuk nama domain yang sepenuhnya memenuhi syarat (FQDN). Misalnya, jika Anda menelusuri target.hostname="test.altostrat.com", hasil penelusuran mungkin menampilkan dua alamat IP yang di-resolve (198.51.100.81 dan 203.0.113.81).
  • Subdomain dan domain selevel—Menampilkan semua subdomain terkait yang telah dilihat di perusahaan Anda untuk FQDN tertentu. Banyak penyerang menggunakan domain dan subdomain yang sama untuk serangan mereka. Misalnya, jika Anda menelusuri target.hostname="sandbox.altostrat.com", panel ini akan menampilkan dua subdomain, test.sandbox.altostrat.com dan staging.sandbox.altostrat.com.
  • Prevalensi aset—Menampilkan jumlah aset di perusahaan Anda yang telah terhubung ke domain selama seluruh jangka waktu data disimpan di akun Google Security Operations Anda. Setiap batang grafik mewakili jumlah aset unik di perusahaan Anda yang telah terhubung ke domain pada hari UTC. Mengarahkan kursor ke batang akan menampilkan entitas terkait pada hari UTC yang diwakili oleh batang. Klik nama entitas untuk melihat ringkasan dan ringkasan entitas di panel konteks entitas yang ditampilkan di sebelah kanan. Klik Lihat peristiwa untuk melihat peristiwa yang terkait dengan entitas yang dipilih di tab peristiwa penelusuran.
  • Entitas terkait—Menampilkan entitas lain yang terkait dengan domain ini, seperti aset yang telah menghubungi domain ini. Daftar ini mencakup jenis entitas, kapan pertama kali terlihat di perusahaan Anda, dan kapan terakhir kali (terbaru) terlihat. Klik entity untuk membuka panel Konteks entity.
  • Konteks entitas—Menampilkan detail tentang entitas yang Anda pilih di panel Entitas terkait. Panel ini menampilkan informasi yang berbeda-beda bergantung pada jenis entitas yang Anda pilih di panel Entitas terkait (misalnya, alamat IP atau domain).
  • Buka tampilan lama—Buka tampilan investigasi Domain lama. Untuk informasi selengkapnya, lihat Menyelidiki domain.

Detail file

Jika kueri Penelusuran UDM menyertakan kondisi yang menampilkan satu file, misalnya principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a", tab Ringkasan akan menampilkan detail File dengan informasi di panel berikut:

  • Ringkasan penelusuran—Menampilkan informasi berikut:
    • Detail tentang file, termasuk nilai hash, ukuran file, pertama kali file tersebut dilihat di perusahaan Anda, dan terakhir kali file tersebut dilihat. Klik VT Context untuk melihat informasi tentang file dari VirusTotal.
    • Detail tentang pemberitahuan, termasuk diagram yang menampilkan jumlah pemberitahuan yang melibatkan entitas dalam rentang waktu penelusuran. Panel ini juga mencantumkan subset aturan dengan jumlah pemberitahuan tertinggi.
    • Klik Buka Pemberitahuan & IOC untuk melihat semua pemberitahuan yang dihasilkan selama rentang waktu penelusuran yang sama.
    • Klik Lihat di Tab Notifikasi untuk beralih ke tab Notifikasi di halaman ini dan memulai penelusuran baru terhadap entitas yang dipilih.
    • Klik salah satu batang pada diagram untuk beralih ke tab Notifikasi di halaman ini dan mulai penelusuran baru terhadap entitas yang dipilih, menggunakan rentang waktu batang yang diklik.
    • Klik link Lihat lainnya untuk membuka tampilan Kolom entity dan menampilkan semua kolom entity yang terkait dengan file. Untuk menyalin kolom entitas ke papan klip, klik kotak centang di samping kolom entitas, klik Lihat tindakan, lalu klik Salin entitas. Klik kotak centang di bagian atas untuk memilih semua entity.
  • IOC yang Relevan—Menampilkan IOC yang terkait dengan file. IOC yang diberi tingkat keparahan yang lebih tinggi akan ditampilkan terlebih dahulu. Mengklik nama IOC akan membuka penampil entity di sebelah kanan.
  • Prevalensi aset—Menampilkan jumlah aset di perusahaan Anda yang terkait dengan file selama seluruh jangka waktu data disimpan di akun Google Security Operations Anda.
  • Entitas terkait—Menampilkan entitas lain yang terkait dengan file ini, seperti aset tempat file ini dieksekusi atau pengguna yang mengakses file. Daftar ini mencakup jenis entitas, waktu pertama kali dilihat di perusahaan Anda, dan waktu terakhir (terbaru) dilihat. Klik entity untuk membuka panel Konteks entity.
  • Properti & metadata VirusTotal—Menampilkan informasi tentang file dari database VirusTotal. Klik Lihat lainnya untuk membuka dialog VirusTotal dan menampilkan informasi tambahan tentang file.
  • Entity terkait—Menampilkan informasi yang berbeda bergantung pada jenis entity yang Anda pilih di panel Entity terkait (misalnya, pengguna atau aset).
  • Konteks entitas—Menampilkan detail tentang entitas yang Anda pilih di panel Entitas terkait. Panel ini menampilkan informasi yang berbeda bergantung pada jenis entitas yang Anda pilih di panel Entitas terkait (misalnya, pengguna atau aset).
  • Buka tampilan lama—Buka tampilan investigasi File lama. Untuk informasi selengkapnya, lihat Menyelidiki file.

Detail IP

Jika kueri Penelusuran UDM menyertakan kondisi yang menampilkan alamat IP eksternal tertentu, misalnya target.ip="203.0.113.254", tab Ringkasan akan menampilkan detail IP dengan informasi di panel berikut:

  • Ringkasan penelusuran—Menampilkan informasi berikut:
    • Detail tentang alamat IP, termasuk pertama kali alamat IP tersebut terlihat di perusahaan Anda dan terakhir kali (terbaru) alamat IP tersebut terlihat. Klik Konteks VT untuk melihat informasi yang tersedia tentang alamat IP ini dari VirusTotal.
    • Detail tentang pemberitahuan, termasuk grafik yang menampilkan jumlah pemberitahuan yang melibatkan entitas dalam rentang waktu penelusuran. Panel ini juga mencantumkan subset aturan dengan jumlah pemberitahuan tertinggi.
    • Klik Buka Pemberitahuan & IOC untuk melihat semua pemberitahuan yang dihasilkan selama rentang waktu penelusuran yang sama.
    • Klik Lihat di Tab Notifikasi untuk beralih ke tab Notifikasi di halaman ini dan memulai penelusuran baru terhadap entitas yang dipilih.
    • Klik salah satu batang pada diagram untuk beralih ke tab Notifikasi di halaman ini dan mulai penelusuran baru terhadap entitas yang dipilih, menggunakan rentang waktu batang yang diklik.
    • Klik link Lihat lainnya untuk membuka tampilan Kolom entitas dan menampilkan semua kolom entitas yang terkait dengan alamat IP. Untuk menyalin kolom entitas ke papan klip, klik kotak centang di samping kolom entitas, klik Lihat tindakan, lalu klik Salin entitas. Klik kotak centang di bagian atas untuk memilih semua entity.
  • IOC yang Relevan—Menampilkan IOC yang terkait dengan alamat IP. IOC yang diberi tingkat keparahan yang lebih tinggi akan ditampilkan terlebih dahulu. Mengklik nama IOC akan membuka penampil entity di sebelah kanan.
  • Prevalensi aset—Menampilkan jumlah aset di perusahaan Anda yang telah terhubung ke alamat IP selama jangka waktu yang ditentukan dalam penelusuran UDM.
  • Entitas terkait—Menampilkan entitas lain yang terkait dengan alamat IP ini, seperti domain tempat alamat IP terdaftar. Daftar ini mencakup jenis entitas, kapan pertama kali terlihat di perusahaan Anda, dan kapan terakhir kali (terbaru) terlihat. Klik entity untuk membuka panel Konteks entity.
  • Konteks entitas—Menampilkan detail tentang entitas yang Anda pilih di panel Entitas terkait. Panel ini menampilkan informasi yang berbeda bergantung pada jenis entitas yang Anda pilih di panel Entitas terkait (misalnya, domain atau aset). Jika link ditampilkan, klik VT Context untuk melihat informasi tentang entitas dari VirusTotal.
  • Buka tampilan lama—Buka tampilan investigasi Alamat IP lama. Untuk mengetahui informasi selengkapnya, lihat Menyelidiki alamat IP.

Detail pengguna

Jika kueri Penelusuran UDM menyertakan kondisi yang menampilkan pengguna tertentu, misalnya principal.user.userid="alice", tab Ringkasan akan menampilkan detail Pengguna dengan informasi di panel berikut:

  • Ringkasan penelusuran—Menampilkan informasi berikut:
    • Detail tentang entitas, termasuk nama lengkap, pertama kali dilihat di perusahaan Anda dan terakhir kali (terbaru) dilihat, judul, dan alamat email.
    • Detail tentang pemberitahuan, termasuk grafik yang menampilkan jumlah pemberitahuan yang melibatkan entitas dalam rentang waktu penelusuran. Panel ini juga mencantumkan subset aturan dengan jumlah pemberitahuan tertinggi.
    • Klik Buka Pemberitahuan & IOC untuk melihat semua pemberitahuan yang dihasilkan selama rentang waktu penelusuran yang sama.
    • Klik Lihat di Tab Notifikasi untuk beralih ke tab Notifikasi di halaman ini dan memulai penelusuran baru terhadap entitas yang dipilih.
    • Klik salah satu batang pada diagram untuk beralih ke tab Notifikasi di halaman ini dan mulai penelusuran baru terhadap entitas yang dipilih, menggunakan rentang waktu batang yang diklik.
    • Klik link Lihat lainnya untuk membuka tampilan Kolom entity dan menampilkan semua kolom entity yang terkait dengan pengguna. Untuk menyalin kolom entitas ke papan klip, klik kotak centang di samping kolom entitas, klik Lihat tindakan, lalu klik Salin entitas. Klik kotak centang di bagian atas untuk memilih semua entity.
  • Entitas terkait—Menampilkan entitas yang terkait dengan pengguna ini, seperti domain yang dihubungi pengguna atau aset yang diakses pengguna. Daftar ini mencakup jenis entitas, kapan pertama kali terlihat di perusahaan Anda, dan kapan terakhir kali (terbaru) terlihat. Klik entity untuk membuka panel Konteks entity.
  • Konteks entitas—Menampilkan detail tentang entitas yang Anda pilih di panel Entitas terkait. Informasi di panel ini berbeda bergantung pada jenis entitas (misalnya, aset atau domain).
  • Buka tampilan lama—Buka tampilan investigasi Pengguna lama. Untuk mengetahui informasi selengkapnya, lihat Menyelidiki pengguna.

Tab Peristiwa

Tab Peristiwa menampilkan peristiwa yang terhubung ke penelusuran UDM Anda selama rentang waktu tertentu. Peristiwa ini tercantum dalam tabel Peristiwa. Mengklik stempel waktu peristiwa akan membuka dialog yang menampilkan aset dan file yang terkait dengan peristiwa tersebut. Mengklik salah satu item ini akan membuka panel Konteks entitas yang memberikan informasi tambahan tentang entitas, termasuk daftar notifikasi terkait dan grafik notifikasi yang menunjukkan frekuensi notifikasi tersebut dari waktu ke waktu.

Untuk informasi tentang peristiwa UDM, lihat Struktur Peristiwa UDM.

Gunakan opsi Pivot untuk membuka Setelan pivot. Setelan ini memungkinkan Anda menganalisis peristiwa menggunakan ekspresi dan fungsi terhadap hasil dari Penelusuran UDM. Untuk informasi selengkapnya, lihat Menggunakan Tabel Pivot untuk menganalisis peristiwa.

Diagram tren dari waktu ke waktu

Diagram Tren dari waktu ke waktu menampilkan peristiwa selama jangka waktu yang ditentukan dalam penelusuran UDM. Notifikasi ditampilkan dalam warna merah di bawah diagram. Mengklik salah satu batang akan mempersempit fokus tab Events ke jangka waktu tersebut. Peristiwa yang terkait dengan slot waktu tersebut ditampilkan di tabel Peristiwa.

Diagram prevalensi domain

Diagram Prevalensi domain menampilkan prevalensi domain yang terkait dengan penelusuran Anda dalam perusahaan. Mengarahkan kursor ke salah satu lingkaran pada diagram akan menampilkan domain tertentu dan memungkinkan Anda mempersempit penelusuran hanya ke peristiwa yang terkait dengan domain tersebut. Diagram hanya ditampilkan jika penelusuran UDM Anda menyertakan domain.

Tab Pemberitahuan

Tab Notifikasi memungkinkan Anda menampilkan informasi mendetail tentang notifikasi yang terhubung ke penelusuran UDM.

  • Grafik—Menampilkan jumlah pemberitahuan per periode selama waktu yang ditentukan dalam penelusuran UDM (periode bervariasi bergantung pada durasi penelusuran). Kotak centang Notifikasi yang difilter memungkinkan Anda melihat atau menyembunyikan notifikasi yang diproses oleh opsi Filter. Kotak centang Notifikasi kueri memungkinkan Anda melihat atau menyembunyikan semua notifikasi yang diproses oleh penelusuran UDM.
  • Filter—Memungkinkan Anda memfilter pemberitahuan berdasarkan opsi yang tercantum. Misalnya, Anda dapat mengklik Keparahan, mengklik opsi menu untuk Sedang, dan memilih Hanya tampilkan. Grafik dan tabel akan dimuat ulang untuk hanya menampilkan pemberitahuan dengan tingkat keparahan sedang.
  • Tabel Notifikasi—Menampilkan notifikasi yang terkait dengan penelusuran UDM. Mengklik notifikasi akan membuka Pelihat notifikasi untuk menampilkan informasi tambahan. Mengklik Lihat detail akan membuka tampilan Notifikasi dan IOC (lihat Melihat Notifikasi dan IOC). Jika Anda mengklik panel filter tertentu dalam grafik, hanya pemberitahuan yang terkait dengan panel tersebut yang akan ditampilkan. Demikian pula, jika Anda menambahkan filter, tabel akan dimuat ulang dan hanya menampilkan pemberitahuan yang terkait dengan pilihan Anda.