Menggunakan Penelusuran UDM untuk menyelidiki entitas

Selama investigasi, Anda dapat menulis kueri Penelusuran UDM untuk menampilkan detail tentang satu atau beberapa entitas (misalnya, alamat IP, pengguna, atau aset) selain peristiwa dan pemberitahuan yang cocok dengan istilah kueri penelusuran.

Jika kueri penelusuran menyertakan kondisi yang mengidentifikasi entity tertentu (misalnya, principal.ip="10.0.31.20"), hasil penelusuran akan menyertakan detail tentang entity tersebut (jika ada di perusahaan Anda) selain peristiwa UDM yang cocok dengan seluruh kueri penelusuran.

Panel hasil penelusuran menyertakan tab berikut:

  • Ringkasan—Detail tentang satu atau beberapa entitas yang spesifik.
  • Peristiwa—Hasil penelusuran yang cocok dengan seluruh kueri penelusuran dan rentang waktu penelusuran.
  • Alerts—Notifikasi yang dihasilkan oleh peristiwa yang cocok dengan seluruh kueri penelusuran.

Kondisi kueri Penelusuran UDM dapat menyertakan kolom UDM (principal.hostname="alice") dan kolom yang dikelompokkan (hostname="alice").

Kueri Penelusuran UDM dapat mencakup beberapa kondisi, yang masing-masing menentukan ID entity yang berbeda. Contoh kueri mencakup hal berikut:

  • principal.hostname="alicehost" and user="alice"
  • principal.hostname="alicehost" and (user="kai" or user="alice")
  • principal.hostname="alicehost" and target.hostname="altostrat.com"
  • principal.hostname="alicehost" and hash="40a80612aaa8a8a36aa82a1278aaa02a"
  • hostname="alicehost" and domain=/altostrat.com/ nocase
  • user="alice" and domain=/altostrat.com/ nocase

Tabel berikut berisi contoh kueri Penelusuran UDM untuk satu atau beberapa entity dan jenis informasi yang ditampilkan:

Jenis informasi Contoh kueri Penelusuran UDM
Aset
  • hostname="laptop-kai"
  • principal.hostname="laptop-kai"
  • principal.ip="10.0.0.76" //(private IP address)
  • principal.mac="c5:0c:9c:aa:bb:c4"
  • principal.hostname="laptop-kai" and metadata.event_type = "NETWORK_CONNECTION"
  • hostname="laptop-kai" or hostname="desktop-kai"
Domain
  • domain="example.com"
  • target.hostname="example.com"
File
  • hash="44a88612faa8a8f36ae82a1278aaa02a"
  • principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a"
IP
  • ip="8.8.8.8"
  • target.ip="203.0.113.204" //(public IP address)
Pengguna
  • user="alice"
  • target.user.email_address="smitha@example.com"
  • principal.user.userid="alice" or target.user.userid = "smitha"
  • email="john@altostrat.com" or email="alice@example.com"
  • principal.user.userid="smitha"

Tab Ringkasan

Tab Overview menampilkan informasi entity dalam salah satu jenis informasi yang telah ditetapkan berikut. Informasi yang disajikan bervariasi bergantung pada jenis informasi.

Detail aset

Jika kueri Penelusuran UDM menyertakan kondisi yang menampilkan aset tertentu, misalnya principal.hostname="laptop-will" atau principal.ip="10.0.0.76", tab Overview akan menampilkan Asset view dengan informasi di panel berikut:

  • Ringkasan penelusuran—Menampilkan informasi berikut:
    • Detail tentang entity, termasuk alamat IP dan alamat MAC yang terkait dengan aset selama rentang waktu penelusuran. Alamat IP dan alamat MAC juga dapat digunakan untuk mengidentifikasi entity dan dapat dengan diklik untuk menampilkan informasi tambahan di penampil entity. Tab ini juga menampilkan waktu pertama kali aset dilihat di perusahaan Anda dan kapan aset terakhir dilihat (terakhir kali). Anda dapat mengklik stempel waktu (pertama atau terakhir) untuk menjalankan penelusuran baru menggunakan waktu tersebut.
    • Detail tentang pemberitahuan, termasuk grafik yang menampilkan jumlah pemberitahuan yang melibatkan entity dalam rentang waktu penelusuran. Panel ini juga mencantumkan subkumpulan aturan dengan jumlah pemberitahuan tertinggi.
    • Klik Buka Pemberitahuan & IOC untuk melihat semua pemberitahuan yang dihasilkan selama rentang waktu penelusuran yang sama.
    • Klik View In Alerts Tab untuk beralih ke tab Alerts di halaman ini dan mulai penelusuran baru terhadap entitas yang dipilih.
    • Klik salah satu batang pada diagram untuk beralih ke tab Alerts di halaman ini dan mulai penelusuran baru terhadap entity yang dipilih menggunakan rentang waktu kolom yang diklik.
    • Klik link Lihat lainnya untuk membuka tampilan Kolom entitas dan menampilkan semua kolom entity yang terkait dengan aset. Untuk menyalin kolom entity ke papan klip, klik kotak centang di samping kolom entity, klik View actions, lalu klik Copy entity. Klik kotak centang di bagian atas untuk memilih semua entity.
  • IOC yang relevan—Menampilkan IOC yang terkait dengan aset. IOC yang ditetapkan dengan tingkat keparahan lebih tinggi akan ditampilkan terlebih dahulu. Mengklik nama IOC akan membuka penampil entity di sebelah kanan.
  • Entitas terkait—Menampilkan entitas lain yang terkait dengan aset ini, seperti pengguna yang login ke aset. Panel menampilkan jenis entity, saat pertama kali terlihat di lingkungan, dan kapan terakhir dilihat. Kolom ini juga menampilkan namespace yang terkait dengan aset. Klik entity untuk membuka panel Entity context. Klik Show all untuk menampilkan entity terkait selama seluruh jangka waktu yang tersedia, bukan rentang yang ditentukan dalam penelusuran UDM.
  • Konteks entity—Menampilkan detail tentang entity yang Anda pilih di panel Entity terkait. Panel ini menampilkan informasi yang berbeda, bergantung pada jenis entitas yang Anda pilih di panel Entitas terkait (misalnya, pengguna atau domain).
  • Buka tampilan lama—Buka tampilan investigasi Aset lama. Untuk informasi selengkapnya, lihat Menginvestigasi aset.

Detail domain

Saat kueri Penelusuran UDM menyertakan kondisi yang menentukan domain tertentu, misalnya target.hostname="example.com", tab Ringkasan akan menampilkan detail Domain beserta informasi di panel berikut:

  • Ringkasan penelusuran—Menampilkan informasi berikut:
    • Detail tentang domain, termasuk informasi WHOIS yang terkait dengan domain terdaftar, pertama kali domain dilihat di perusahaan Anda, dan kali terakhir (terbaru) domain dilihat. Klik VT Context untuk melihat informasi tentang domain dari VirusTotal.
    • Detail tentang pemberitahuan, termasuk grafik yang menampilkan jumlah pemberitahuan yang melibatkan entity dalam rentang waktu penelusuran. Panel ini juga mencantumkan subkumpulan aturan dengan jumlah pemberitahuan tertinggi.
    • Klik Buka Pemberitahuan & IOC untuk melihat semua pemberitahuan yang dihasilkan selama rentang waktu penelusuran yang sama.
    • Klik View In Alerts Tab untuk beralih ke tab Alerts di halaman ini dan mulai penelusuran baru terhadap entitas yang dipilih.
    • Klik salah satu batang pada diagram untuk beralih ke tab Alerts di halaman ini dan mulai penelusuran baru terhadap entity yang dipilih menggunakan rentang waktu kolom yang diklik.
    • Klik link View more untuk membuka tampilan Entity fields dan menampilkan semua kolom entity yang terkait dengan domain. Untuk menyalin kolom entity ke papan klip, klik kotak centang di samping kolom entity, klik View actions, lalu klik Copy entity. Klik kotak centang di bagian atas untuk memilih semua entity.
  • IP yang diselesaikan—Menampilkan semua alamat IP yang di-resolve yang telah dilihat di perusahaan Anda untuk nama domain yang sepenuhnya memenuhi syarat (FQDN). Misalnya, jika Anda menelusuri target.hostname="test.altostrat.com", hasil penelusuran mungkin menampilkan dua alamat IP yang ditetapkan (198.51.100.81 dan 203.0.113.81).
  • Sub-domain dan domain seinduk—Menampilkan semua subdomain terkait yang telah terlihat di perusahaan Anda untuk FQDN tertentu. Banyak penyerang menggunakan domain dan subdomain yang sama untuk serangan mereka. Misalnya, jika Anda menelusuri target.hostname="sandbox.altostrat.com", panel ini akan menampilkan dua subdomain, test.sandbox.altostrat.com dan staging.sandbox.altostrat.com.
  • Prevalensi aset—Menampilkan jumlah aset di perusahaan Anda yang terhubung ke domain selama keseluruhan jangka waktu data yang disimpan di akun Chronicle. Setiap batang pada grafik menunjukkan jumlah aset unik di perusahaan Anda yang telah terhubung ke domain pada hari UTC. Mengarahkan kursor ke batang akan menampilkan entitas terkait pada hari UTC yang diwakili oleh batang tersebut. Klik nama entity untuk melihat ringkasan dan ringkasan entity di panel konteks entity yang ditampilkan di sebelah kanan. Klik Lihat peristiwa untuk melihat peristiwa yang terkait dengan entity yang dipilih di tab peristiwa penelusuran.
  • Entitas terkait—Menampilkan entitas lain yang terkait dengan domain ini, seperti aset yang telah menghubungi domain ini. Daftar ini mencakup jenis entity, saat pertama kali terlihat di perusahaan Anda, dan kapan terakhir (terakhir) dilihat. Klik entity untuk membuka panel Konteks entity.
  • Konteks entity—Menampilkan detail tentang entity yang Anda pilih di panel Entity terkait. Panel ini menampilkan informasi yang berbeda, bergantung pada jenis entitas yang Anda pilih di panel Entitas terkait (misalnya, alamat IP atau domain).
  • Go to legacy view—Buka tampilan investigasi Domain lama. Untuk mengetahui informasi selengkapnya, lihat Menyelidiki domain.

Detail file

Jika kueri Penelusuran UDM menyertakan kondisi yang menampilkan satu file, misalnya principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a", tab Overview akan menampilkan detail File beserta informasi di panel berikut:

  • Ringkasan penelusuran—Menampilkan informasi berikut:
    • Detail tentang file, termasuk nilai hash, ukuran file, saat pertama kali file dilihat di perusahaan Anda, dan waktu terakhir (terbaru) file dilihat. Klik VT Context untuk melihat informasi tentang file dari VirusTotal.
    • Detail tentang pemberitahuan, termasuk diagram yang menunjukkan jumlah pemberitahuan yang melibatkan entity dalam rentang waktu penelusuran. Panel ini juga mencantumkan subkumpulan aturan dengan jumlah pemberitahuan tertinggi.
    • Klik Buka Pemberitahuan & IOC untuk melihat semua pemberitahuan yang dihasilkan selama rentang waktu penelusuran yang sama.
    • Klik View In Alerts Tab untuk beralih ke tab Alerts di halaman ini dan mulai penelusuran baru terhadap entitas yang dipilih.
    • Klik salah satu batang pada diagram untuk beralih ke tab Alerts di halaman ini dan mulai penelusuran baru terhadap entity yang dipilih menggunakan rentang waktu kolom yang diklik.
    • Klik link View more untuk membuka tampilan Entity fields dan menampilkan semua kolom entity yang terkait dengan file tersebut. Untuk menyalin kolom entity ke papan klip, klik kotak centang di samping kolom entity, klik View actions, lalu klik Copy entity. Klik kotak centang di bagian atas untuk memilih semua entity.
  • IOC yang relevan—Menampilkan IOC yang terkait dengan file. IOC yang ditetapkan dengan tingkat keparahan lebih tinggi akan ditampilkan terlebih dahulu. Mengklik nama IOC akan membuka penampil entity di sebelah kanan.
  • Prevalence of assets—Menampilkan jumlah aset di perusahaan Anda yang terkait dengan file selama seluruh jangka waktu data yang disimpan di akun Chronicle.
  • Entity terkait—Menampilkan entity lain yang terkait dengan file ini, seperti aset tempat file ini dijalankan atau pengguna yang mengakses file tersebut. Daftar ini mencakup jenis entity, saat pertama kali dilihat di perusahaan Anda, dan kapan terakhir (terakhir) dilihat. Klik entity untuk membuka panel Entity context.
  • Properti & metadata VirusTotal—Menampilkan informasi tentang file dari database VirusTotal. Klik View more untuk membuka dialog VirusTotal dan menampilkan informasi tambahan tentang file tersebut.
  • Entity terkait—Menampilkan informasi yang berbeda, bergantung pada jenis entity yang Anda pilih di panel Entity terkait (misalnya, pengguna atau aset).
  • Konteks entity—Menampilkan detail tentang entity yang Anda pilih di panel Entity terkait. Panel ini menampilkan informasi yang berbeda, bergantung pada jenis entitas yang Anda pilih di panel Entitas terkait (misalnya, pengguna atau aset).
  • Membuka tampilan lama—Membuka tampilan investigasi File lama. Untuk mengetahui informasi selengkapnya, lihat Menyelidiki file.

Detail IP

Jika kueri Penelusuran UDM menyertakan kondisi yang menampilkan alamat IP eksternal tertentu, misalnya target.ip="203.0.113.254", tab Overview akan menampilkan detail IP beserta informasi di panel berikut:

  • Ringkasan penelusuran—Menampilkan informasi berikut:
    • Detail tentang alamat IP, termasuk pertama kali alamat IP dilihat di perusahaan Anda dan waktu terakhir (terbaru) dilihat. Klik VT Context untuk melihat informasi yang tersedia tentang alamat IP ini dari VirusTotal.
    • Detail tentang pemberitahuan, termasuk grafik yang menampilkan jumlah pemberitahuan yang melibatkan entity dalam rentang waktu penelusuran. Panel ini juga mencantumkan subkumpulan aturan dengan jumlah pemberitahuan tertinggi.
    • Klik Buka Pemberitahuan & IOC untuk melihat semua pemberitahuan yang dihasilkan selama rentang waktu penelusuran yang sama.
    • Klik View In Alerts Tab untuk beralih ke tab Alerts di halaman ini dan mulai penelusuran baru terhadap entitas yang dipilih.
    • Klik salah satu batang pada diagram untuk beralih ke tab Alerts di halaman ini dan mulai penelusuran baru terhadap entity yang dipilih menggunakan rentang waktu kolom yang diklik.
    • Klik link Lihat lainnya untuk membuka tampilan Kolom entitas dan menampilkan semua kolom entity yang terkait dengan alamat IP. Untuk menyalin kolom entity ke papan klip, klik kotak centang di samping kolom entity, klik View actions, lalu klik Copy entity. Klik kotak centang di bagian atas untuk memilih semua entity.
  • IOC yang relevan—Menampilkan IOC yang terkait dengan alamat IP. IOC yang ditetapkan dengan tingkat keparahan lebih tinggi akan ditampilkan terlebih dahulu. Mengklik nama IOC akan membuka penampil entity di sebelah kanan.
  • Prevalence of assets—Menampilkan jumlah aset di perusahaan Anda yang terhubung ke alamat IP selama jangka waktu yang ditentukan dalam penelusuran UDM.
  • Entitas terkait—Menampilkan entitas lain yang terkait dengan alamat IP ini, seperti domain tempat alamat IP didaftarkan. Daftar ini mencakup jenis entity, saat pertama kali terlihat di perusahaan Anda, dan kapan terakhir (terakhir) dilihat. Klik entity untuk membuka panel Entity context.
  • Konteks entity—Menampilkan detail tentang entity yang Anda pilih di panel Entity terkait. Panel ini menampilkan informasi yang berbeda, bergantung pada jenis entitas yang Anda pilih di panel Entitas terkait (misalnya, domain atau aset). Jika link ditampilkan, klik VT Context untuk melihat informasi tentang entity dari VirusTotal.
  • Membuka tampilan lama—Membuka tampilan investigasi Alamat IP lama. Untuk mengetahui informasi selengkapnya, lihat Menyelidiki alamat IP.

Detail pengguna

Saat kueri Penelusuran UDM menyertakan kondisi yang menampilkan pengguna tertentu, misalnya principal.user.userid="alice", tab Ringkasan akan menampilkan detail Pengguna beserta informasi di panel berikut:

  • Ringkasan penelusuran—Menampilkan informasi berikut:
    • Detail tentang entity, termasuk nama lengkap, pertama kali dilihat di perusahaan Anda serta waktu terakhir (terbaru) dilihat, judul, dan alamat email.
    • Detail tentang pemberitahuan, termasuk grafik yang menampilkan jumlah pemberitahuan yang melibatkan entity dalam rentang waktu penelusuran. Panel ini juga mencantumkan subkumpulan aturan dengan jumlah pemberitahuan tertinggi.
    • Klik Buka Pemberitahuan & IOC untuk melihat semua pemberitahuan yang dihasilkan selama rentang waktu penelusuran yang sama.
    • Klik View In Alerts Tab untuk beralih ke tab Alerts di halaman ini dan mulai penelusuran baru terhadap entitas yang dipilih.
    • Klik salah satu batang pada diagram untuk beralih ke tab Alerts di halaman ini dan mulai penelusuran baru terhadap entity yang dipilih menggunakan rentang waktu kolom yang diklik.
    • Klik link Lihat lainnya untuk membuka tampilan Kolom entitas dan menampilkan semua kolom entity yang terkait dengan pengguna. Untuk menyalin kolom entity ke papan klip, klik kotak centang di samping kolom entity, klik View actions, lalu klik Copy entity. Klik kotak centang di bagian atas untuk memilih semua entity.
  • Entitas terkait—Menampilkan entity yang terkait dengan pengguna ini, seperti domain yang dihubungi pengguna atau aset yang diakses pengguna. Daftar ini mencakup jenis entity, saat pertama kali terlihat di perusahaan Anda, dan kapan terakhir (terakhir) dilihat. Klik entity untuk membuka panel Konteks entity.
  • Konteks entity—Menampilkan detail tentang entity yang Anda pilih di panel Entity terkait. Informasi dalam panel ini akan berbeda bergantung pada jenis entity (misalnya, aset atau domain).
  • Buka tampilan lama—Membuka tampilan investigasi Pengguna lama. Untuk mengetahui informasi selengkapnya, lihat Menginvestigasi pengguna.

Tab Event

Tab Peristiwa menampilkan peristiwa yang terhubung ke penelusuran UDM Anda selama rentang waktu yang ditentukan. Peristiwa ini tercantum dalam tabel Peristiwa. Jika stempel waktu peristiwa diklik, dialog yang menampilkan aset dan file yang terkait dengan peristiwa tersebut akan terbuka. Mengklik salah satu item ini akan membuka panel Entity context yang memberikan informasi tambahan tentang entity, termasuk daftar setiap pemberitahuan terkait dan grafik pemberitahuan yang menunjukkan frekuensi pemberitahuan tersebut dari waktu ke waktu.

Untuk informasi tentang peristiwa UDM, lihat Struktur Peristiwa UDM.

Gunakan opsi Pivot untuk membuka Setelan pivot. Setelan ini memungkinkan Anda menganalisis peristiwa menggunakan ekspresi dan fungsi berdasarkan hasil dari Penelusuran UDM. Untuk informasi selengkapnya, lihat Menggunakan Tabel Pivot untuk menganalisis peristiwa.

Diagram tren dari waktu ke waktu

Diagram Tren dari waktu ke waktu menampilkan peristiwa selama jangka waktu yang ditentukan dalam penelusuran UDM. Pemberitahuan ditampilkan dalam warna merah di bawah diagram. Mengklik salah satu batang akan mempersempit fokus tab Peristiwa ke periode waktu tersebut. Peristiwa yang terkait dengan slot waktu tersebut ditampilkan di tabel Peristiwa.

Diagram prevalensi domain

Diagram Domain prevalensi menampilkan prevalensi domain yang terkait dengan penelusuran dalam perusahaan Anda. Mengarahkan kursor ke salah satu lingkaran pada diagram akan menampilkan domain tertentu dan memungkinkan Anda mempersempit penelusuran ke peristiwa yang hanya terkait dengan domain tersebut. Bagan tersebut hanya ditampilkan jika penelusuran UDM Anda menyertakan domain.

Tab notifikasi

Tab Alerts memungkinkan Anda menampilkan informasi mendetail tentang notifikasi yang terhubung ke penelusuran UDM.

  • Graph—Menampilkan jumlah pemberitahuan per periode selama waktu yang ditentukan dalam penelusuran UDM (periode bervariasi bergantung pada lamanya penelusuran). Kotak centang Filtered alerts memungkinkan Anda melihat atau menyembunyikan notifikasi yang diproses oleh opsi Filters. Kotak centang Query alerts memungkinkan Anda melihat atau menyembunyikan semua pemberitahuan yang diproses oleh penelusuran UDM.
  • Filter—Memungkinkan Anda memfilter notifikasi berdasarkan opsi yang tercantum. Misalnya, Anda dapat mengklik Tingkat Keparahan, klik opsi menu untuk Medium, dan pilih Show only. Grafik dan tabel dimuat ulang untuk hanya menampilkan pemberitahuan dengan tingkat keseriusan sedang.
  • Tabel Alerts—Menampilkan pemberitahuan terkait penelusuran UDM. Mengklik pemberitahuan akan membuka Alert viewer untuk menampilkan informasi tambahan. Mengklik Lihat detail akan membuka tampilan Alerts and IOCs (lihat View Alerts and IOCs). Jika Anda mengklik panel filter tertentu dalam grafik, hanya pemberitahuan yang terkait dengan panel tersebut yang akan ditampilkan. Demikian pula, jika Anda menambahkan filter, tabel akan dimuat ulang dan hanya menampilkan pemberitahuan yang terkait dengan pilihan Anda.