Utilizzare la ricerca UDM per esaminare un'entità

Durante un'indagine, puoi scrivere una query di ricerca UDM per visualizzare i dettagli di una o più entità (ad esempio un indirizzo IP, un utente o una risorsa) oltre agli eventi e gli avvisi che corrispondono ai termini della query di ricerca.

Quando una query di ricerca include una condizione che identifica un'entità specifica (ad esempio, principal.ip="10.0.31.20"), i risultati di ricerca includono dettagli sull'entità (se presente nella tua azienda) oltre agli eventi UDM che corrispondono all'intera query di ricerca.

Il riquadro dei risultati di ricerca include le seguenti schede:

  • Panoramica: dettagli su una o più entità specifiche.
  • Eventi: risultati di ricerca corrispondenti all'intera query di ricerca e all'intero intervallo di tempo.
  • Avvisi: avvisi generati da eventi che corrispondono all'intera query di ricerca.

Le condizioni delle query di ricerca UDM possono includere sia campi UDM (principal.hostname="alice") sia campi raggruppati (hostname="alice").

La query di ricerca UDM può includere più condizioni, ognuna delle quali specifica un identificatore di entità diverso. Ecco alcuni esempi di query:

  • principal.hostname="alicehost" and user="alice"
  • principal.hostname="alicehost" and (user="kai" or user="alice")
  • principal.hostname="alicehost" and target.hostname="altostrat.com"
  • principal.hostname="alicehost" and hash="40a80612aaa8a8a36aa82a1278aaa02a"
  • hostname="alicehost" and domain=/altostrat.com/ nocase
  • user="alice" and domain=/altostrat.com/ nocase

La seguente tabella include query di ricerca UDM di esempio per una o più entità e il tipo di informazioni visualizzate:

Tipo di informazioni Esempi di query di ricerca UDM
Asset
  • hostname="laptop-kai"
  • principal.hostname="laptop-kai"
  • principal.ip="10.0.0.76" //(private IP address)
  • principal.mac="c5:0c:9c:aa:bb:c4"
  • principal.hostname="laptop-kai" and metadata.event_type = "NETWORK_CONNECTION"
  • hostname="laptop-kai" or hostname="desktop-kai"
Dominio
  • domain="example.com"
  • target.hostname="example.com"
File
  • hash="44a88612faa8a8f36ae82a1278aaa02a"
  • principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a"
interno
  • ip="8.8.8.8"
  • target.ip="203.0.113.204" //(public IP address)
Utente
  • user="alice"
  • target.user.email_address="smitha@example.com"
  • principal.user.userid="alice" or target.user.userid = "smitha"
  • email="john@altostrat.com" or email="alice@example.com"
  • principal.user.userid="smitha"

Scheda Panoramica

La scheda Panoramica mostra le informazioni sull'entità in uno dei seguenti tipi di informazioni predefinite. Le informazioni presentate variano a seconda del tipo di informazione.

Dettagli asset

Quando la query di ricerca UDM include una condizione che restituisce una risorsa specifica, ad esempio principal.hostname="laptop-will" o principal.ip="10.0.0.76", la scheda Panoramica mostra la visualizzazione Asset con informazioni nei riquadri seguenti:

  • Riepilogo della ricerca: mostra le seguenti informazioni:
    • Dettagli sull'entità, inclusi l'indirizzo IP e l'indirizzo MAC associati all'asset durante l'intervallo di tempo della ricerca. L'indirizzo IP e l'indirizzo MAC possono essere utilizzati anche per identificare un'entità e puoi fare clic per visualizzare informazioni aggiuntive nel visualizzatore dell'entità. Mostra inoltre la prima volta che l'asset è stato visto nella tua azienda e quando è stato visto per l'ultima volta (più di recente). Puoi fare clic su un timestamp (primo o ultimo) per eseguire una nuova ricerca utilizzando quel timestamp.
    • Dettagli sugli avvisi, incluso un grafico che mostra il numero di avvisi relativi all'entità nell'intervallo di tempo della ricerca. Il riquadro elenca anche un sottoinsieme di regole con il maggior numero di avvisi.
    • Fai clic su Apri avvisi e IOC per visualizzare tutti gli avvisi generati durante lo stesso intervallo di tempo di ricerca.
    • Fai clic su Visualizza nella scheda Avvisi per passare alla scheda Avvisi in questa pagina e avviare una nuova ricerca sull'entità selezionata.
    • Fai clic su una delle barre del grafico per passare alla scheda Avvisi in questa pagina e avviare una nuova ricerca sull'entità selezionata, utilizzando l'intervallo di tempo della barra su cui è stato fatto clic.
    • Fai clic sul link Mostra altro per aprire la visualizzazione Campi entità e vedere tutti i campi dell'entità associati all'asset. Per copiare un campo entità negli appunti, fai clic sulla casella di controllo accanto al campo dell'entità, poi su Visualizza azioni e poi su Copia entità. Fai clic sulla casella di controllo in alto per selezionare tutte le entità.
  • IOC pertinenti: mostra gli IOC associati alla risorsa. Gli IOC a cui è stata assegnata una gravità più elevata vengono visualizzati per primi. Facendo clic sul nome dell'IOC, si apre il visualizzatore delle entità sulla destra.
  • Entità associate: mostra altre entità a cui è correlata la risorsa, ad esempio gli utenti che hanno eseguito l'accesso alla risorsa. Il riquadro mostra il tipo di entità, quando è stata rilevata per la prima volta nell'ambiente e quando è stata l'ultima volta (più di recente). Visualizza inoltre eventuali spazi dei nomi associati a un asset. Fai clic su un'entità per aprire il riquadro Contesto dell'entità. Fai clic su Mostra dall'inizio per visualizzare le entità associate per l'intero periodo di tempo disponibile, anziché per l'intervallo specificato nella ricerca UDM.
  • Contesto dell'entità: mostra i dettagli sull'entità selezionata nel riquadro Entità associate. Questo riquadro mostra informazioni diverse a seconda del tipo di entità selezionato nel riquadro Entità associate (ad esempio un utente o un dominio).
  • Vai alla visualizzazione precedente: vai alla visualizzazione indagine Asset legacy. Per ulteriori informazioni, consulta Esaminare una risorsa.

Dettagli del dominio

Quando la query di ricerca UDM include una condizione che specifica un dominio specifico, ad esempio target.hostname="example.com", nella scheda Panoramica vengono visualizzati i dettagli di Dominio con informazioni nei riquadri seguenti:

  • Riepilogo della ricerca: mostra le seguenti informazioni:
    • Dettagli sul dominio, incluse le informazioni WHOIS associate al dominio registrato, la prima volta che è stato visto nella tua azienda e l'ultima volta (più recente). Fai clic su Contesto VT per visualizzare le informazioni sul dominio di VirusTotal.
    • Dettagli sugli avvisi, incluso un grafico che mostra il numero di avvisi relativi all'entità nell'intervallo di tempo della ricerca. Il riquadro elenca anche un sottoinsieme di regole con il maggior numero di avvisi.
    • Fai clic su Apri avvisi e IOC per visualizzare tutti gli avvisi generati durante lo stesso intervallo di tempo di ricerca.
    • Fai clic su Visualizza nella scheda Avvisi per passare alla scheda Avvisi in questa pagina e avviare una nuova ricerca sull'entità selezionata.
    • Fai clic su una delle barre del grafico per passare alla scheda Avvisi in questa pagina e avviare una nuova ricerca sull'entità selezionata, utilizzando l'intervallo di tempo della barra su cui è stato fatto clic.
    • Fai clic sul link Mostra altro per aprire la visualizzazione Campi entità e visualizzare tutti i campi delle entità associati al dominio. Per copiare un campo entità negli appunti, fai clic sulla casella di controllo accanto al campo dell'entità, poi su Visualizza azioni e poi su Copia entità. Fai clic sulla casella di controllo in alto per selezionare tutte le entità.
  • IP risolti: mostra tutti gli indirizzi IP risolti che sono stati rilevati nella tua azienda per il nome di dominio completo (FQDN). Ad esempio, se cerchi target.hostname="test.altostrat.com", i risultati di ricerca potrebbero mostrare due indirizzi IP risolti (198.51.100.81 e 203.0.113.81).
  • Sottodomini e domini di pari livello: mostra tutti i sottodomini associati visualizzati nella tua azienda per un determinato nome di dominio completo. Molti aggressori usano lo stesso dominio e sottodominio per i loro attacchi. Ad esempio, se cerchi target.hostname="sandbox.altostrat.com", questo riquadro mostra due sottodomini, test.sandbox.altostrat.com e staging.sandbox.altostrat.com.
  • Prevalenza degli asset: mostra il numero di asset nella tua azienda che sono stati collegati al dominio per l'intero periodo di tempo dei dati archiviati nel tuo account Chronicle. Ogni barra del grafico rappresenta il numero di asset univoci della tua azienda che si sono collegati al dominio in un giorno UTC. Passando il mouse sopra una barra, vengono visualizzate le entità correlate sul giorno UTC rappresentato dalla barra. Fai clic sul nome dell'entità per visualizzare il riepilogo e la panoramica dell'entità nel riquadro di contesto dell'entità visualizzato sulla destra. Fai clic su Visualizza eventi per visualizzare gli eventi correlati all'entità selezionata nella scheda di ricerca degli eventi.
  • Entità associate: mostra altre entità a cui è correlato il dominio, ad esempio gli asset che hanno contattato il dominio. L'elenco include il tipo di entità, la data in cui è stata visualizzata per la prima volta nella tua azienda e la data dell'ultima visualizzazione (più di recente). Fai clic su un'entità per aprire il riquadro Contesto dell'entità.
  • Contesto dell'entità: mostra i dettagli sull'entità selezionata nel riquadro Entità associate. Questo riquadro mostra informazioni diverse a seconda del tipo di entità selezionato nel riquadro Entità associate (ad esempio indirizzo IP o dominio).
  • Vai alla visualizzazione legacy: vai alla visualizzazione indagine Dominio legacy. Per ulteriori informazioni, consulta Esaminare un dominio.

Dettagli file

Quando la query di ricerca UDM include una condizione che restituisce un singolo file, ad esempio principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a", la scheda Panoramica mostra i dettagli File con informazioni nei seguenti riquadri:

  • Riepilogo della ricerca: mostra le seguenti informazioni:
    • Dettagli sul file, tra cui valori hash, dimensioni del file, la prima volta che è stato visualizzato nella tua azienda e l'ultima (ultima) occorrenza. Fai clic su Contesto VT per visualizzare le informazioni sul file di VirusTotal.
    • Dettagli sugli avvisi, incluso un grafico che mostra il numero di avvisi relativi all'entità nell'intervallo di tempo della ricerca. Il riquadro elenca anche un sottoinsieme di regole con il maggior numero di avvisi.
    • Fai clic su Apri avvisi e IOC per visualizzare tutti gli avvisi generati durante lo stesso intervallo di tempo di ricerca.
    • Fai clic su Visualizza nella scheda Avvisi per passare alla scheda Avvisi in questa pagina e avviare una nuova ricerca sull'entità selezionata.
    • Fai clic su una delle barre del grafico per passare alla scheda Avvisi in questa pagina e avviare una nuova ricerca sull'entità selezionata, utilizzando l'intervallo di tempo della barra su cui è stato fatto clic.
    • Fai clic sul link Mostra altro per aprire la visualizzazione Campi entità e visualizzare tutti i campi delle entità associati al file. Per copiare un campo entità negli appunti, fai clic sulla casella di controllo accanto al campo dell'entità, poi su Visualizza azioni e poi su Copia entità. Fai clic sulla casella di controllo in alto per selezionare tutte le entità.
  • IOC pertinenti: mostra gli IOC associati al file. Gli IOC a cui è stata assegnata una gravità più elevata vengono visualizzati per primi. Facendo clic sul nome dell'IOC, si apre il visualizzatore delle entità sulla destra.
  • Prevalenza degli asset: mostra il numero di asset nella tua azienda associati al file per l'intero periodo di tempo dei dati archiviati nel tuo account Chronicle.
  • Entità associate: mostra altre entità a cui è correlato il file, ad esempio un asset in cui è stato eseguito il file o gli utenti che hanno eseguito l'accesso al file. L'elenco include il tipo di entità, quando è stata rilevata per la prima volta nell'azienda e quando è stata visualizzata l'ultima volta (più di recente). Fai clic su un'entità per aprire il riquadro Contesto dell'entità.
  • Proprietà e metadati di VirusTotal: mostra le informazioni sul file provenienti dal database di VirusTotal. Fai clic su Mostra altro per aprire una finestra di dialogo di VirusTotal e visualizzare ulteriori informazioni sul file.
  • Entità associate: mostra informazioni diverse a seconda del tipo di entità selezionato nel riquadro Entità associate (ad esempio, un utente o un asset).
  • Contesto dell'entità: mostra i dettagli sull'entità selezionata nel riquadro Entità associate. Questo riquadro mostra informazioni diverse a seconda del tipo di entità selezionato nel riquadro Entità associate (ad esempio un utente o una risorsa).
  • Vai alla visualizzazione legacy: vai alla visualizzazione indagine File legacy. Per ulteriori informazioni, consulta Esaminare un file.

Dettagli IP

Quando la query di ricerca UDM include una condizione che restituisce un indirizzo IP esterno specifico, ad esempio target.ip="203.0.113.254", la scheda Panoramica mostra i dettagli dell'IP con informazioni nei riquadri seguenti:

  • Riepilogo della ricerca: mostra le seguenti informazioni:
    • Dettagli sull'indirizzo IP, inclusa la prima volta che è stato visualizzato nella tua azienda e l'ultima (più recente) visualizzazione. Fai clic su Contesto VT per visualizzare le informazioni disponibili su questo indirizzo IP da VirusTotal.
    • Dettagli sugli avvisi, incluso un grafico che mostra il numero di avvisi relativi all'entità nell'intervallo di tempo della ricerca. Il riquadro elenca anche un sottoinsieme di regole con il maggior numero di avvisi.
    • Fai clic su Apri avvisi e IOC per visualizzare tutti gli avvisi generati durante lo stesso intervallo di tempo di ricerca.
    • Fai clic su Visualizza nella scheda Avvisi per passare alla scheda Avvisi in questa pagina e avviare una nuova ricerca sull'entità selezionata.
    • Fai clic su una delle barre del grafico per passare alla scheda Avvisi in questa pagina e avviare una nuova ricerca sull'entità selezionata, utilizzando l'intervallo di tempo della barra su cui è stato fatto clic.
    • Fai clic sul link Mostra altro per aprire la visualizzazione Campi entità e vedere tutti i campi delle entità associati all'indirizzo IP. Per copiare un campo dell'entità negli appunti, fai clic sulla casella di controllo accanto al campo dell'entità, poi su Visualizza azioni e poi su Copia entità. Fai clic sulla casella di controllo in alto per selezionare tutte le entità.
  • IOC pertinenti: mostra gli IOC associati all'indirizzo IP. Gli IOC a cui è stata assegnata una gravità più elevata vengono visualizzati per primi. Facendo clic sul nome dell'IOC, si apre il visualizzatore delle entità sulla destra.
  • Prevalenza degli asset: mostra il numero di asset nella tua azienda che sono stati collegati all'indirizzo IP nel periodo di tempo specificato nella ricerca UDM.
  • Entità associate: mostra altre entità a cui è correlato l'indirizzo IP, ad esempio i domini in cui è registrato l'indirizzo IP. L'elenco include il tipo di entità, la data in cui è stata visualizzata per la prima volta nella tua azienda e la data dell'ultima visualizzazione (più di recente). Fai clic su un'entità per aprire il riquadro Contesto dell'entità.
  • Contesto dell'entità: mostra i dettagli sull'entità selezionata nel riquadro Entità associate. Questo riquadro mostra informazioni diverse a seconda del tipo di entità selezionato nel riquadro Entità associate (ad esempio dominio o asset). Se il link viene visualizzato, fai clic su Contesto VT per visualizzare le informazioni sull'entità da VirusTotal.
  • Vai alla visualizzazione legacy: vai alla visualizzazione indagine legacy Indirizzo IP. Per ulteriori informazioni, consulta Esaminare un indirizzo IP.

Dettagli utente

Quando la query di ricerca UDM include una condizione che restituisce un utente specifico, ad esempio principal.user.userid="alice", la scheda Panoramica mostra i dettagli Utente con informazioni nei seguenti riquadri:

  • Riepilogo della ricerca: mostra le seguenti informazioni:
    • Dettagli sull'entità, tra cui il nome completo, la prima visualizzazione nella tua azienda e l'ultima (più recente) visualizzazione, il titolo e l'indirizzo email.
    • Dettagli sugli avvisi, incluso un grafico che mostra il numero di avvisi relativi all'entità nell'intervallo di tempo della ricerca. Il riquadro elenca anche un sottoinsieme di regole con il maggior numero di avvisi.
    • Fai clic su Apri avvisi e IOC per visualizzare tutti gli avvisi generati durante lo stesso intervallo di tempo di ricerca.
    • Fai clic su Visualizza nella scheda Avvisi per passare alla scheda Avvisi in questa pagina e avviare una nuova ricerca sull'entità selezionata.
    • Fai clic su una delle barre del grafico per passare alla scheda Avvisi in questa pagina e avviare una nuova ricerca sull'entità selezionata, utilizzando l'intervallo di tempo della barra su cui è stato fatto clic.
    • Fai clic sul link Mostra altro per aprire la visualizzazione Campi entità e vedere tutti i campi dell'entità associati all'utente. Per copiare un campo entità negli appunti, fai clic sulla casella di controllo accanto al campo dell'entità, poi su Visualizza azioni e poi su Copia entità. Fai clic sulla casella di controllo in alto per selezionare tutte le entità.
  • Entità associate: mostra le entità a cui è correlato l'utente, ad esempio i domini contattati dall'utente o gli asset a cui ha eseguito l'accesso. L'elenco include il tipo di entità, la data in cui è stata visualizzata per la prima volta nella tua azienda e la data dell'ultima visualizzazione (più di recente). Fai clic su un'entità per aprire il riquadro Contesto dell'entità.
  • Contesto dell'entità: mostra i dettagli sull'entità selezionata nel riquadro Entità associate. Le informazioni contenute in questo riquadro variano in base al tipo di entità (ad esempio, asset o dominio).
  • Vai alla visualizzazione precedente: vai alla visualizzazione indagine Utente legacy. Per ulteriori informazioni, consulta Indagare su un utente.

Scheda Eventi

La scheda Eventi mostra gli eventi collegati alla ricerca UDM nell'intervallo di tempo specificato. Questi eventi sono elencati nella tabella Eventi. Se fai clic sul timestamp di un evento, si apre una finestra di dialogo che mostra gli asset e i file associati all'evento. Se fai clic su uno di questi elementi, si apre il riquadro Contesto entità, che fornisce informazioni aggiuntive sull'entità, tra cui un elenco di eventuali avvisi associati e un grafico degli avvisi che mostra la frequenza di questi avvisi nel tempo.

Per informazioni sugli eventi UDM, consulta Struttura di un evento UDM.

Utilizza l'opzione Pivot per aprire le Impostazioni pivot. Queste impostazioni ti consentono di analizzare gli eventi utilizzando espressioni e funzioni rispetto ai risultati della ricerca UDM. Per ulteriori informazioni, consulta Utilizzare la tabella pivot per analizzare gli eventi.

Grafico delle tendenze nel tempo

Il grafico Tendenza nel tempo mostra gli eventi nel periodo di tempo specificato nella ricerca UDM. Gli avvisi sono mostrati in rosso sotto il grafico. Se fai clic su una delle barre, la scheda Eventi restringe l'area corrispondente al periodo di tempo selezionato. Gli eventi associati a quell'intervallo di tempo vengono visualizzati nella tabella Eventi.

Grafico della prevalenza dei domini

Il grafico Prevalenza dei domini mostra la prevalenza dei domini associati alla tua ricerca all'interno della tua azienda. Se passi il mouse sopra uno dei cerchi nel grafico, viene visualizzato il dominio specifico e puoi restringere la ricerca solo agli eventi associati a quel dominio. Il grafico viene visualizzato solo se la ricerca UDM include un dominio.

Scheda avvisi

La scheda Avvisi ti consente di visualizzare informazioni dettagliate sugli avvisi collegati alla ricerca UDM.

  • Grafico: mostra il numero di avvisi per periodo nel periodo di tempo specificato nella ricerca UDM (il periodo varia in base alla lunghezza della ricerca). La casella di controllo Avvisi filtrati ti consente di visualizzare o nascondere gli avvisi elaborati dalle opzioni dei Filtri. La casella di controllo Avvisi per query consente di visualizzare o nascondere tutti gli avvisi elaborati dalla ricerca UDM.
  • Filtri: consente di filtrare gli avvisi in base alle opzioni elencate. Ad esempio, puoi fare clic su Gravità, poi sull'opzione di menu Media e selezionare Mostra solo. Il grafico e la tabella vengono ricaricati per visualizzare solo gli avvisi con gravità media.
  • Tabella Avvisi: mostra gli avvisi associati alla ricerca UDM. Se fai clic su un avviso, si apre il Visualizzatore avvisi che mostra ulteriori informazioni. Se fai clic su Visualizza dettagli, si apre la visualizzazione Avvisi e IOC (consulta Visualizzare avvisi e IOC). Se fai clic sulla barra dei filtri specifica nel grafico, vengono visualizzati solo gli avvisi associati a tale barra. Allo stesso modo, se aggiungi i filtri, la tabella viene ricaricata e mostra solo gli avvisi associati alle tue selezioni.