Utilizzare la ricerca UDM per esaminare un'entità

Supportato in:

Durante un'indagine, puoi scrivere una query di ricerca UDM per visualizzare i dettagli di una o più entità (ad esempio un indirizzo IP, un utente o una risorsa), oltre agli eventi e agli avvisi corrispondenti ai termini della query di ricerca.

Nei sistemi che utilizzano l'accesso in base al ruolo dei dati, puoi visualizzare solo i dati corrispondenti ai tuoi scopi. Per ulteriori informazioni, consulta l'impatto del RBAC dei dati sulla Ricerca.

Quando una query di ricerca include una condizione che identifica un'entità specifica (ad esempio principal.ip="10.0.31.20"), i risultati di ricerca includono i dettagli dell'entità (se presente nella tua azienda), oltre agli eventi UDM corrispondenti all'intera query di ricerca.

Il riquadro dei risultati di ricerca include le seguenti schede:

  • Panoramica: dettagli su una o più entità specifiche.
  • Eventi: risultati di ricerca che corrispondono all'intera query di ricerca e all'intervallo di tempo di ricerca.
  • Avvisi: avvisi generati da eventi che corrispondono all'intera query di ricerca.

Le condizioni di query di ricerca UDM possono includere sia i campi UDM (principal.hostname="alice") sia i campi raggruppati (hostname="alice").

La query di ricerca UDM può includere più condizioni, ciascuna che specifica un identificatore di entità diverso. Ecco alcuni esempi di query:

  • principal.hostname="alicehost" and user="alice"
  • principal.hostname="alicehost" and (user="kai" or user="alice")
  • principal.hostname="alicehost" and target.hostname="altostrat.com"
  • principal.hostname="alicehost" and hash="40a80612aaa8a8a36aa82a1278aaa02a"
  • hostname="alicehost" and domain=/altostrat.com/ nocase
  • user="alice" and domain=/altostrat.com/ nocase

La tabella seguente include esempi di query di ricerca UDM per una o più entità e il tipo di informazioni visualizzate:

Tipo di informazioni Esempi di query di ricerca UDM
Asset
  • hostname="laptop-kai"
  • principal.hostname="laptop-kai"
  • principal.ip="10.0.0.76" //(private IP address)
  • principal.mac="c5:0c:9c:aa:bb:c4"
  • principal.hostname="laptop-kai" and metadata.event_type = "NETWORK_CONNECTION"
  • hostname="laptop-kai" or hostname="desktop-kai"
Dominio
  • domain="example.com"
  • target.hostname="example.com"
File
  • hash="44a88612faa8a8f36ae82a1278aaa02a"
  • principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a"
IP
  • ip="8.8.8.8"
  • target.ip="203.0.113.204" //(public IP address)
Utente
  • user="alice"
  • target.user.email_address="smitha@example.com"
  • principal.user.userid="alice" or target.user.userid = "smitha"
  • email="john@altostrat.com" or email="alice@example.com"
  • principal.user.userid="smitha"

Scheda Panoramica

La scheda Panoramica mostra le informazioni sulle entità in uno dei seguenti tipi di informazioni predefinite. Le informazioni presentate variano a seconda del tipo di informazione.

Dettagli asset

Quando la query di ricerca UDM include una condizione che restituisce un asset specifico, ad esempio principal.hostname="laptop-will" o principal.ip="10.0.0.76", la scheda Panoramica mostra la Visualizzazione asset con le informazioni nei seguenti riquadri:

  • Riepilogo della ricerca: vengono visualizzate le seguenti informazioni:
    • Dettagli sull'entità, inclusi l'indirizzo IP e l'indirizzo MAC associati alla risorsa durante l'intervallo di tempo di ricerca. L'indirizzo IP e l'indirizzo MAC possono essere utilizzati anche per identificare un'entità e, facendoci clic sopra, è possibile visualizzare ulteriori informazioni nel visualizzatore delle entità. Inoltre, viene visualizzata la prima volta che la risorsa è stata rilevata nella tua azienda e l'ultima volta (più di recente). Puoi fare clic su un timestamp (primo o ultimo) per eseguire una nuova ricerca utilizzando quel momento.
    • Dettagli sugli avvisi, incluso un grafico che mostra il numero di avvisi che hanno coinvolto l'entità nell'intervallo di tempo di ricerca. Il riquadro elenca anche un sottoinsieme di regole con il maggior numero di avvisi.
    • Fai clic su Apri avvisi e indicatori di compromissione per visualizzare tutti gli avvisi generati nello stesso intervallo di tempo di ricerca.
    • Fai clic su Visualizza nella scheda Avvisi per passare alla scheda Avvisi in questa pagina e avviare una nuova ricerca per l'entità selezionata.
    • Fai clic su una delle barre del grafico per passare alla scheda Avvisi in questa pagina e avviare una nuova ricerca nell'entità selezionata utilizzando l'intervallo di tempo della barra su cui hai fatto clic.
    • Fai clic sul link Visualizza altro per aprire la visualizzazione Campi entità e visualizzare tutti i campi entità associati alla risorsa. Per copiare un campo dell'entità negli appunti, fai clic sulla casella di controllo accanto al campo dell'entità, fai clic su Visualizza azioni e poi su Copia entità. Fai clic sulla casella di controllo in alto per selezionare tutte le entità.
  • IOC pertinenti: mostra gli IOC associati alla risorsa. Gli indicatori di compromissione assegnati a una gravità più elevata vengono visualizzati per primi. Se fai clic sul nome dell'IOC, si apre il visualizzatore delle entità a destra.
  • Entità associate: vengono visualizzate altre entità correlate a questa risorsa, ad esempio gli utenti che hanno eseguito l'accesso alla risorsa. Il riquadro mostra il tipo di entità, la prima volta che è stata rilevata nell'ambiente e l'ultima volta (più di recente). Vengono visualizzati anche gli spazi dei nomi associati a una risorsa. Fai clic su un'entità per aprire il riquadro Contesto dell'entità. Fai clic su Mostra tutto il tempo per visualizzare le entità associate nell'intero periodo di tempo disponibile, anziché nell'intervallo specificato nella ricerca UDM.
  • Contesto dell'entità: mostra i dettagli dell'entità selezionata nel riquadro Entità associate. Questo riquadro mostra informazioni diverse a seconda del tipo di entità selezionata nel riquadro Entità associate (ad esempio utente o dominio).
  • Vai alla visualizzazione legacy: vai alla visualizzazione dell'indagine Asset legacy. Per ulteriori informazioni, consulta Esaminare un asset.

Dettagli del dominio

Quando la query di ricerca UDM include una condizione che specifica un dominio specifico, ad esempio target.hostname="example.com", la scheda Panoramica mostra i dettagli del dominio con le informazioni nei seguenti riquadri:

  • Riepilogo della ricerca: vengono visualizzate le seguenti informazioni:
    • Dettagli sul dominio, tra cui le informazioni WHOIS associate al dominio registrato, la prima volta che è stato rilevato nella tua azienda e l'ultima volta (la più recente) che è stato rilevato. Fai clic su Contesto VT per visualizzare le informazioni sul dominio da VirusTotal.
    • Dettagli sugli avvisi, incluso un grafico che mostra il numero di avvisi che hanno coinvolto l'entità nell'intervallo di tempo di ricerca. Il riquadro elenca anche un sottoinsieme di regole con il maggior numero di avvisi.
    • Fai clic su Apri avvisi e indicatori di compromissione per visualizzare tutti gli avvisi generati nello stesso intervallo di tempo di ricerca.
    • Fai clic su Visualizza nella scheda Avvisi per passare alla scheda Avvisi in questa pagina e avviare una nuova ricerca per l'entità selezionata.
    • Fai clic su una delle barre del grafico per passare alla scheda Avvisi in questa pagina e avviare una nuova ricerca per l'entità selezionata utilizzando l'intervallo di tempo della barra su cui hai fatto clic.
    • Fai clic sul link Visualizza altro per aprire la visualizzazione Campi entità e visualizzare tutti i campi entità associati al dominio. Per copiare un campo dell'entità negli appunti, fai clic sulla casella di controllo accanto al campo dell'entità, fai clic su Visualizza azioni e poi su Copia entità. Fai clic sulla casella di controllo in alto per selezionare tutte le entità.
  • IP risolti: mostra tutti gli indirizzi IP risolti rilevati nella tua azienda per il nome di dominio completo (FQDN). Ad esempio, se cerchi target.hostname="test.altostrat.com", i risultati di ricerca potrebbero mostrare due indirizzi IP risolti (198.51.100.81 e 203.0.113.81).
  • Sottodomini e domini di pari livello: vengono visualizzati tutti i sottodomini associati rilevati nella tua azienda per un determinato FQDN. Molti avversari utilizzano lo stesso dominio e sottodominio per i loro attacchi. Ad esempio, se cerchi target.hostname="sandbox.altostrat.com", questo riquadro mostra due sottodomini, test.sandbox.altostrat.com e staging.sandbox.altostrat.com.
  • Prevalenza delle risorse: mostra il numero di risorse della tua azienda che si sono collegate al dominio per l'intero periodo di tempo dei dati memorizzati nel tuo account Google Security Operations. Ogni barra del grafico rappresenta il numero di asset unici della tua azienda che si sono collegati al dominio in un giorno UTC. Se passi il mouse sopra una barra, vengono visualizzate le entità correlate nel giorno UTC rappresentato dalla barra. Fai clic sul nome dell'entità per visualizzarne il riepilogo e la panoramica nel riquadro contestuale dell'entità visualizzato a destra. Fai clic su Visualizza eventi per visualizzare gli eventi relativi all'entità selezionata nella scheda Eventi di ricerca.
  • Entità associate: vengono visualizzate altre entità correlate a questo dominio, ad esempio le risorse che hanno contattato questo dominio. L'elenco include il tipo di entità, la prima volta che è stata rilevata nella tua azienda e l'ultima volta (più di recente). Fai clic su un'entità per aprire il riquadro Contesto dell'entità.
  • Contesto dell'entità: mostra i dettagli dell'entità selezionata nel riquadro Entità associate. Questo riquadro mostra informazioni diverse in base al tipo di entità selezionata nel riquadro Entità associate (ad esempio indirizzo IP o dominio).
  • Vai alla visualizzazione legacy: vai alla visualizzazione dell'indagine Domain legacy. Per ulteriori informazioni, consulta Esaminare un dominio.

Dettagli file

Quando la query di ricerca UDM include una condizione che restituisce un singolo file, ad esempio principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a", la scheda Panoramica mostra i dettagli del file con le informazioni nei seguenti pannelli:

  • Riepilogo della ricerca: vengono visualizzate le seguenti informazioni:
    • Dettagli sul file, inclusi i valori hash, le dimensioni del file, la prima volta che è stato rilevato nella tua azienda e l'ultima volta (la più recente) che è stato rilevato. Fai clic su Contesto VT per visualizzare le informazioni sul file da VirusTotal.
    • Dettagli sugli avvisi, incluso un grafico che mostra il numero di avvisi che hanno coinvolto l'entità nell'intervallo di tempo di ricerca. Il riquadro elenca anche un sottoinsieme di regole con il maggior numero di avvisi.
    • Fai clic su Apri avvisi e indicatori di compromissione per visualizzare tutti gli avvisi generati nello stesso intervallo di tempo di ricerca.
    • Fai clic su Visualizza nella scheda Avvisi per passare alla scheda Avvisi in questa pagina e avviare una nuova ricerca per l'entità selezionata.
    • Fai clic su una delle barre del grafico per passare alla scheda Avvisi in questa pagina e avviare una nuova ricerca per l'entità selezionata utilizzando l'intervallo di tempo della barra su cui hai fatto clic.
    • Fai clic sul link Visualizza altro per aprire la visualizzazione Campi entità e visualizzare tutti i campi entità associati al file. Per copiare un campo dell'entità negli appunti, fai clic sulla casella di controllo accanto al campo dell'entità, fai clic su Visualizza azioni e poi su Copia entità. Fai clic sulla casella di controllo in alto per selezionare tutte le entità.
  • IOC pertinenti: mostra gli IOC associati al file. Gli indicatori di compromissione assegnati a una gravità più elevata vengono visualizzati per primi. Se fai clic sul nome dell'IOC, si apre il visualizzatore delle entità a destra.
  • Prevalenza delle risorse: mostra il numero di risorse della tua azienda associate al file per l'intero periodo di tempo dei dati memorizzati nel tuo account Google Security Operations.
  • Entità associate: mostra altre entità correlate a questo file, ad esempio una risorsa in cui è stato eseguito il file o gli utenti che hanno avuto accesso al file. L'elenco include il tipo di entità, la prima volta che è stata rilevata nella tua azienda e l'ultima volta (più di recente). Fai clic su un'entità per aprire il riquadro Contesto dell'entità.
  • Proprietà e metadati di VirusTotal: vengono visualizzate informazioni sul file dal database di VirusTotal. Fai clic su Visualizza altro per aprire una finestra di dialogo di VirusTotal e visualizzare ulteriori informazioni sul file.
  • Entità associate: mostra informazioni diverse a seconda del tipo di entità selezionata nel riquadro Entità associate (ad es. utente o risorsa).
  • Contesto dell'entità: mostra i dettagli dell'entità selezionata nel riquadro Entità associate. Questo riquadro mostra informazioni diverse in base al tipo di entità selezionata nel riquadro Entità associate (ad esempio utente o risorsa).
  • Vai alla visualizzazione legacy: vai alla visualizzazione dell'indagine File legacy. Per ulteriori informazioni, consulta Esaminare un file.

Dettagli IP

Quando la query di ricerca UDM include una condizione che restituisce un indirizzo IP esterno specifico, ad esempio target.ip="203.0.113.254", la scheda Panoramica mostra i dettagli dell'IP con le informazioni nei seguenti riquadri:

  • Riepilogo della ricerca: vengono visualizzate le seguenti informazioni:
    • Dettagli sull'indirizzo IP, inclusa la prima volta che è stato rilevato nella tua azienda e l'ultima volta (più recente) che è stato rilevato. Fai clic su Contesto VT per visualizzare le informazioni disponibili su questo indirizzo IP da VirusTotal.
    • Dettagli sugli avvisi, incluso un grafico che mostra il numero di avvisi che hanno coinvolto l'entità nell'intervallo di tempo di ricerca. Il riquadro elenca anche un sottoinsieme di regole con il maggior numero di avvisi.
    • Fai clic su Apri avvisi e indicatori di compromissione per visualizzare tutti gli avvisi generati nello stesso intervallo di tempo di ricerca.
    • Fai clic su Visualizza nella scheda Avvisi per passare alla scheda Avvisi in questa pagina e avviare una nuova ricerca per l'entità selezionata.
    • Fai clic su una delle barre del grafico per passare alla scheda Avvisi in questa pagina e avviare una nuova ricerca per l'entità selezionata utilizzando l'intervallo di tempo della barra su cui hai fatto clic.
    • Fai clic sul link Visualizza altro per aprire la visualizzazione Campi entità e visualizzare tutti i campi entità associati all'indirizzo IP. Per copiare un campo dell'entità negli appunti, fai clic sulla casella di controllo accanto al campo dell'entità, fai clic su Visualizza azioni e poi su Copia entità. Fai clic sulla casella di controllo in alto per selezionare tutte le entità.
  • IOC pertinenti: mostra gli IOC associati all'indirizzo IP. Gli indicatori di compromissione assegnati a una gravità più elevata vengono visualizzati per primi. Se fai clic sul nome dell'IOC, si apre il visualizzatore delle entità a destra.
  • Prevalenza delle risorse: mostra il numero di risorse della tua azienda che si sono collegate all'indirizzo IP nel periodo di tempo specificato nella ricerca UDM.
  • Entità associate: vengono visualizzate altre entità a cui è correlato questo indirizzo IP, ad esempio i domini a cui è registrato. L'elenco include il tipo di entità, la prima volta che è stata rilevata nella tua azienda e l'ultima volta (più di recente). Fai clic su un'entità per aprire il riquadro Contesto dell'entità.
  • Contesto dell'entità: mostra i dettagli dell'entità selezionata nel riquadro Entità associate. Questo riquadro mostra informazioni diverse in base al tipo di entità selezionato nel riquadro Entità associate (ad esempio dominio o asset). Se il link viene visualizzato, fai clic su Contesto VT per visualizzare le informazioni sull'entità da VirusTotal.
  • Vai alla visualizzazione legacy: vai alla visualizzazione dell'indagine Indirizzo IP legacy. Per ulteriori informazioni, consulta Esaminare un indirizzo IP.

Dettagli utente

Quando la query di ricerca UDM include una condizione che restituisce un utente specifico, ad esempio principal.user.userid="alice", la scheda Panoramica mostra i dettagli dell'utente con le informazioni nei seguenti riquadri:

  • Riepilogo della ricerca: vengono visualizzate le seguenti informazioni:
    • Dettagli sull'entità, tra cui il nome completo, la prima volta che è stata rilevata nella tua azienda e l'ultima volta (più recente) che è stata rilevata, il titolo e l'indirizzo email.
    • Dettagli sugli avvisi, incluso un grafico che mostra il numero di avvisi che hanno coinvolto l'entità nell'intervallo di tempo di ricerca. Il riquadro elenca anche un sottoinsieme di regole con il maggior numero di avvisi.
    • Fai clic su Apri avvisi e indicatori di compromissione per visualizzare tutti gli avvisi generati nello stesso intervallo di tempo di ricerca.
    • Fai clic su Visualizza nella scheda Avvisi per passare alla scheda Avvisi in questa pagina e avviare una nuova ricerca per l'entità selezionata.
    • Fai clic su una delle barre del grafico per passare alla scheda Avvisi in questa pagina e avviare una nuova ricerca nell'entità selezionata utilizzando l'intervallo di tempo della barra su cui hai fatto clic.
    • Fai clic sul link Visualizza altro per aprire la visualizzazione Campi entità e visualizzare tutti i campi entità associati all'utente. Per copiare un campo dell'entità negli appunti, fai clic sulla casella di controllo accanto al campo dell'entità, fai clic su Visualizza azioni e poi su Copia entità. Fai clic sulla casella di controllo in alto per selezionare tutte le entità.
  • Entità associate: mostra le entità a cui è associato questo utente, ad esempio i domini che ha contattato o gli asset a cui ha eseguito l'accesso. L'elenco include il tipo di entità, la prima volta che è stata rilevata nella tua azienda e l'ultima volta (più di recente). Fai clic su un'entità per aprire il riquadro Contesto dell'entità.
  • Contesto dell'entità: mostra i dettagli dell'entità selezionata nel riquadro Entità associate. Le informazioni in questo riquadro sono diverse in base al tipo di entità (ad esempio asset o dominio).
  • Vai alla visualizzazione legacy: vai alla visualizzazione legacy dell'indagine Utente. Per ulteriori informazioni, consulta Esaminare un utente.

Scheda Eventi

La scheda Eventi mostra gli eventi collegati alla ricerca UDM nell'intervallo di tempo specificato. Questi eventi sono elencati nella tabella Eventi. Se fai clic sul timestamp di un evento, si apre una finestra di dialogo che mostra gli asset e i file associati all'evento. Se fai clic su uno di questi elementi, si apre il riquadro Contesto dell'entità, che fornisce ulteriori informazioni sull'entità, tra cui un elenco di eventuali avvisi associati e un grafico degli avvisi che mostra la frequenza di questi avvisi nel tempo.

Per informazioni sugli eventi UDM, consulta Struttura di un evento UDM.

Utilizza l'opzione Pivot per aprire le impostazioni del pivot. Queste impostazioni ti consentono di analizzare gli eventi utilizzando espressioni e funzioni in base ai risultati della ricerca UDM. Per ulteriori informazioni, consulta Utilizzare la tabella pivot per analizzare gli eventi.

Grafico dell'andamento nel tempo

Il grafico Tendenza nel tempo mostra gli eventi nel periodo di tempo specificato nella ricerca UDM. Gli avvisi vengono visualizzati in rosso sotto il grafico. Se fai clic su una delle barre, la scheda Eventi si concentra su quel periodo di tempo. Gli eventi associati a questa fascia oraria vengono visualizzati nella tabella Eventi.

Grafico della prevalenza del dominio

Il grafico Prevalenza dei domini mostra la prevalenza dei domini associati alla tua ricerca all'interno della tua azienda. Se passi il mouse sopra uno dei cerchi del grafico, viene visualizzato il dominio specifico e puoi restringere la ricerca solo agli eventi associati a quel dominio. Il grafico viene visualizzato solo se la ricerca UDM include un dominio.

Scheda avvisi

La scheda Avvisi ti consente di visualizzare informazioni dettagliate sugli avvisi collegati alla tua ricerca UDM.

  • Grafico: mostra il numero di avvisi per periodo nel tempo specificato nella ricerca UDM (il periodo varia a seconda della durata della ricerca). La casella di controllo Avvisi filtrati ti consente di visualizzare o nascondere gli avvisi elaborati dalle opzioni Filtri. La casella di controllo Avvisi di query ti consente di visualizzare o nascondere tutti gli avvisi elaborati dalla ricerca UDM.
  • Filtri: consente di filtrare gli avvisi in base alle opzioni elencate. Ad esempio, puoi fare clic su Gravità, selezionare l'opzione di menu Media e selezionare Mostra solo. Il grafico e la tabella vengono ricaricati per visualizzare solo gli avvisi con gravità media.
  • Tabella Avvisi: mostra gli avvisi associati alla ricerca UDM. Se fai clic su un avviso, si apre il Visualizzatore di avvisi per visualizzare ulteriori informazioni. Se fai clic su Visualizza dettagli, si apre la visualizzazione Avvisi e indicatori di compromissione (vedi Visualizzare avvisi e indicatori di compromissione). Se fai clic su una barra dei filtri specifica nel grafico, vengono visualizzati solo gli avvisi associati a quella barra. Analogamente, se aggiungi filtri, la tabella viene ricaricata e vengono visualizzati solo gli avvisi associati alle tue selezioni.