UDM 検索を使用してエンティティを調査する

調査中、検索クエリの用語に一致するイベントとアラートに加えて、UDM 検索クエリを作成して 1 つ以上のエンティティ(IP アドレス、ユーザー、アセットなど)の詳細を表示できます。

検索クエリに特定のエンティティを識別する条件(principal.ip="10.0.31.20" など)が含まれている場合、検索結果には、検索クエリ全体に一致する UDM イベントに加えて、エンティティ(企業に存在する場合)の詳細が含まれます。

検索結果ペインには次のタブがあります。

  • 概要—1 つ以上の特定のエンティティに関する詳細。
  • イベント - 検索クエリと検索期間全体に一致する検索結果。
  • アラート - 検索クエリ全体に一致するイベントによって生成されるアラート。

UDM 検索クエリの条件には、UDM フィールドprincipal.hostname="alice")とグループ化されたフィールドhostname="alice")の両方を含めることができます。

UDM 検索クエリには、異なるエンティティ ID をそれぞれが指定する複数の条件を含めることができます。クエリの例は次のとおりです。

  • principal.hostname="alicehost" and user="alice"
  • principal.hostname="alicehost" and (user="kai" or user="alice")
  • principal.hostname="alicehost" and target.hostname="altostrat.com"
  • principal.hostname="alicehost" and hash="40a80612aaa8a8a36aa82a1278aaa02a"
  • hostname="alicehost" and domain=/altostrat.com/ nocase
  • user="alice" and domain=/altostrat.com/ nocase

次の表に、1 つ以上のエンティティに対する UDM 検索クエリの例と表示される情報の種類を示します。

情報の種類 UDM 検索クエリの例
アセット
  • hostname="laptop-kai"
  • principal.hostname="laptop-kai"
  • principal.ip="10.0.0.76" //(private IP address)
  • principal.mac="c5:0c:9c:aa:bb:c4"
  • principal.hostname="laptop-kai" and metadata.event_type = "NETWORK_CONNECTION"
  • hostname="laptop-kai" or hostname="desktop-kai"
ドメイン
  • domain="example.com"
  • target.hostname="example.com"
ファイル
  • hash="44a88612faa8a8f36ae82a1278aaa02a"
  • principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a"
IP
  • ip="8.8.8.8"
  • target.ip="203.0.113.204" //(public IP address)
ユーザー
  • user="alice"
  • target.user.email_address="smitha@example.com"
  • principal.user.userid="alice" or target.user.userid = "smitha"
  • email="john@altostrat.com" or email="alice@example.com"
  • principal.user.userid="smitha"

Overview タブ

[Overview] タブには、エンティティ情報が次のいずれかの事前定義情報タイプで表示されます。表示される情報は、情報タイプによって異なります。

アセットの詳細

UDM 検索クエリに特定のアセットを返す条件(principal.hostname="laptop-will"principal.ip="10.0.0.76" など)が含まれている場合、[Overview] タブに [Asset view] の詳細と次のパネルの情報が表示されます。

  • 検索の概要—次の情報が表示されます。
    • 検索期間中のアセットに関連付けられた IP アドレスや MAC アドレスなど、エンティティの詳細。IP アドレスと MAC アドレスは、エンティティを識別するためにも使用できます。また、クリックするとエンティティ ビューアに追加情報が表示されます。また、企業内ではじめてアセットが確認された日時と、最後(直近)に確認された日時も表示されます。タイムスタンプ(最初または最後のいずれか)をクリックして、その時間を使用して新しい検索を実行できます。
    • アラートの詳細(検索時間範囲内におけるそのエンティティに関連するアラートの数を示すグラフなど)。パネルには、アラート数が最も多いルールのサブセットも表示されます。
    • [アラートと IOC を開く] をクリックすると、同じ検索時間範囲内に生成されたすべてのアラートが表示されます。
    • [アラートで表示] タブをクリックして、このページの [アラート] タブに切り替え、選択したエンティティに対して新しい検索を開始します。
    • グラフ上のいずれかのバーをクリックして、このページの [アラート] タブに切り替え、クリックしたバーの時間範囲を使用して、選択したエンティティに対する新しい検索を開始します。
    • [さらに表示] リンクをクリックして [エンティティ フィールド] ビューを開き、アセットに関連付けられているすべてのエンティティ フィールドを表示します。エンティティ フィールドをクリップボードにコピーするには、エンティティ フィールドの横にあるチェックボックスをオンにして、[アクションを表示] をクリックして、[エンティティをコピー] をクリックします。上部のチェックボックスをオンにして、すべてのエンティティを選択します。
  • 関連する IOC - アセットに関連付けられている IOC が表示されます。高い重大度が割り当てられた IOC から最初に表示されます。IOC 名をクリックすると、右側にエンティティ ビューアが開きます。
  • 関連するエンティティ—アセットにログインしたユーザーなど、このアセットが関連付けられている他のエンティティを表示します。パネルには、エンティティの種類、環境内ではじめて検出された際の日時、最後(直近)に検出された際の日時が表示されます。また、アセットに関連付けられている名前空間も表示されます。エンティティをクリックして、[エンティティ コンテキスト] パネルを開きます。UDM 検索で指定された範囲ではなく、使用可能な期間全体で関連するエンティティを表示するには、[すべての時間を表示] をクリックします。
  • エンティティ コンテキスト - [関連付けられているエンティティ] パネルで選択したエンティティの詳細を表示します。このパネルには、[関連付けられているエンティティ] パネルで選択したエンティティの種類(ユーザーやドメインなど)に応じて異なる情報が表示されます。
  • 以前のビューに移動 - 以前の [アセット] 調査ビューに移動します。詳細については、アセットの調査をご覧ください。

ドメインの詳細

UDM 検索クエリに特定のドメインを指定する条件(target.hostname="example.com" など)が含まれている場合、[Overview] タブに [Domain] の詳細と次のパネルの情報が表示されます。

  • 検索の概要—次の情報が表示されます。
    • 登録済みドメインに関連付けられた WHOIS 情報、企業内ではじめて確認された日時、最後(直近)に確認された日時など、ドメインに関する詳細。[VT コンテキスト] をクリックして、VirusTotal のドメインに関する情報を表示します。
    • アラートの詳細(検索時間範囲内におけるそのエンティティに関連するアラートの数を示すグラフなど)。パネルには、アラート数が最も多いルールのサブセットも表示されます。
    • [アラートと IOC を開く] をクリックすると、同じ検索時間範囲内に生成されたすべてのアラートが表示されます。
    • [アラートで表示] タブをクリックして、このページの [アラート] タブに切り替え、選択したエンティティに対して新しい検索を開始します。
    • グラフ上のいずれかのバーをクリックして、このページの [アラート] タブに切り替え、クリックしたバーの時間範囲を使用して、選択したエンティティに対する新しい検索を開始します。
    • [さらに表示] リンクをクリックして [エンティティ フィールド] ビューを開き、ドメインに関連付けられているすべてのエンティティ フィールドを表示します。エンティティ フィールドをクリップボードにコピーするには、エンティティ フィールドの横にあるチェックボックスをオンにして、[アクションを表示] をクリックして、[エンティティをコピー] をクリックします。上部のチェックボックスをオンにして、すべてのエンティティを選択します。
  • 解決済み IP - 完全修飾ドメイン名(FQDN)に関して企業内で確認されたすべての解決済み IP アドレスを表示します。たとえば、target.hostname="test.altostrat.com" を検索すると、検索結果に 2 つの解決済み IP アドレス(198.51.100.81203.0.113.81)が表示されることがあります。
  • サブドメインと兄弟ドメイン: 特定の FQDN に関して、企業内で確認されたすべての関連サブドメインを表示します。多くの攻撃者は、同じドメインとサブドメインを使用して攻撃を行います。たとえば、target.hostname="sandbox.altostrat.com" を検索すると、このパネルには test.sandbox.altostrat.comstaging.sandbox.altostrat.com の 2 つのサブドメインが表示されます。
  • アセットの普及率 - Google Security Operations アカウントに保存されているデータの全期間にわたりドメインに接続されていた企業内のアセットの数を示します。グラフの各バーは、UTC 日にドメインに接続した企業内の一意のアセットの数を表します。バーにカーソルを合わせると、バーが表す UTC 日の関連エンティティが表示されます。エンティティ名をクリックすると、右側に表示されるエンティティ コンテキスト パネルにエンティティの概要と概要が表示されます。[イベントを表示] をクリックすると、選択したエンティティに関連するイベントが [検索イベント] タブに表示されます。
  • 関連するエンティティ—このドメインに接続しているアセットなど、このドメインが関連付けられている他のエンティティを表示します。このリストには、エンティティの種類、企業内ではじめて検出された際の日時、最後(直近)に検出された際の日時が含まれます。エンティティをクリックして、[エンティティ コンテキスト] パネルを開きます。
  • エンティティ コンテキスト - [関連付けられているエンティティ] パネルで選択したエンティティの詳細を表示します。このパネルには、[関連付けられているエンティティ] パネルで選択したエンティティの種類(IP アドレスやドメインなど)に応じて異なる情報が表示されます。
  • 以前のビューに移動 - 以前の [ドメイン] 調査ビューに移動します。詳細については、ドメインの調査をご覧ください。

ファイルの詳細

UDM 検索クエリに単一のファイルを返す条件(principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a" など)が含まれている場合、[Overview] タブに [File] の詳細と次のパネルの情報が表示されます。

  • 検索の概要—次の情報が表示されます。
    • ハッシュ値、ファイルサイズ、企業内ではじめて確認された時刻、最後(直近)に確認された時刻などのファイルに関する詳細。[VT コンテキスト] をクリックして、VirusTotal のファイルに関する情報を表示します。
    • アラートの詳細(検索時間範囲内におけるそのエンティティに関連するアラートの数を示すグラフなど)。パネルには、アラート数が最も多いルールのサブセットも表示されます。
    • [アラートと IOC を開く] をクリックすると、同じ検索時間範囲内に生成されたすべてのアラートが表示されます。
    • [アラートで表示] タブをクリックして、このページの [アラート] タブに切り替え、選択したエンティティに対して新しい検索を開始します。
    • グラフ上のいずれかのバーをクリックして、このページの [アラート] タブに切り替え、クリックしたバーの時間範囲を使用して、選択したエンティティに対する新しい検索を開始します。
    • [さらに表示] リンクをクリックして [エンティティ フィールド] ビューを開き、ファイルに関連付けられているすべてのエンティティ フィールドを表示します。エンティティ フィールドをクリップボードにコピーするには、エンティティ フィールドの横にあるチェックボックスをオンにして、[アクションを表示] をクリックして、[エンティティをコピー] をクリックします。上部のチェックボックスをオンにして、すべてのエンティティを選択します。
  • 関連する IOC - ファイルに関連付けられている IOC が表示されます。高い重大度が割り当てられた IOC から最初に表示されます。IOC 名をクリックすると、右側にエンティティ ビューアが開きます。
  • アセットの普及率 - Chronicle アカウントに保存されているデータの全期間にわたりファイルに関連付けられていた企業内のアセットの数を示します。
  • 関連するエンティティ—このファイルが実行されているアセットや、ファイルにアクセスしたユーザーなど、このファイルが関連付けられている他のエンティティを表示します。このリストには、エンティティの種類、企業内ではじめて検出された際の日時、最後(直近)に検出された際の日時が含まれます。エンティティをクリックして、[エンティティ コンテキスト] パネルを開きます。
  • VirusTotal プロパティ & メタデータ—VirusTotal データベースからのファイルに関する情報を表示します。[さらに表示] をクリックして VirusTotal ダイアログを開き、ファイルに関する追加情報を表示します。
  • 関連付けられているエンティティ—[関連付けられているエンティティ] パネルで選択したエンティティの種類(ユーザーやアセットなど)に応じて異なる情報が表示されます。
  • エンティティ コンテキスト - [関連付けられているエンティティ] パネルで選択したエンティティの詳細を表示します。このパネルには、[関連付けられているエンティティ] パネルで選択したエンティティの種類(ユーザーやアセットなど)に応じて異なる情報が表示されます。
  • 以前のビューに移動 - 以前の [ファイル] 調査ビューに移動します。詳細については、ファイルを調査するをご覧ください。

IP 詳細

UDM 検索クエリに特定の外部 IP アドレスを返す条件(target.ip="203.0.113.254" など)が含まれている場合、[Overview] タブに [IP] の詳細と次のパネルの情報が表示されます。

  • 検索の概要—次の情報が表示されます。
    • 企業内ではじめて検出された際の日時、最後(直近)に検出された際の日時などの、IP アドレスの詳細。[VT コンテキスト] をクリックして、VirusTotal のこの IP アドレスに関して利用できる情報を表示します。
    • アラートの詳細(検索時間範囲内におけるそのエンティティに関連するアラートの数を示すグラフなど)。パネルには、アラート数が最も多いルールのサブセットも表示されます。
    • [アラートと IOC を開く] をクリックすると、同じ検索時間範囲内に生成されたすべてのアラートが表示されます。
    • [アラートで表示] タブをクリックして、このページの [アラート] タブに切り替え、選択したエンティティに対して新しい検索を開始します。
    • グラフ上のいずれかのバーをクリックして、このページの [アラート] タブに切り替え、クリックしたバーの時間範囲を使用して、選択したエンティティに対する新しい検索を開始します。
    • [さらに表示] リンクをクリックして [エンティティ フィールド] ビューを開き、IP アドレスに関連付けられているすべてのエンティティ フィールドを表示します。エンティティ フィールドをクリップボードにコピーするには、エンティティ フィールドの横にあるチェックボックスをオンにして、[アクションを表示] をクリックして、[エンティティをコピー] をクリックします。上部のチェックボックスをオンにして、すべてのエンティティを選択します。
  • 関連する IOC - IP アドレスに関連付けられた IOC が表示されます。高い重大度が割り当てられた IOC から最初に表示されます。IOC 名をクリックすると、右側にエンティティ ビューアが開きます。
  • アセットの普及率 - UDM 検索で指定された期間にわたり IP アドレスに接続していた企業内のアセットの数を示します。
  • 関連するエンティティ—IP アドレスが登録されているドメインなど、この IP アドレスが関連付けられている他のエンティティを表示します。このリストには、エンティティの種類、企業内ではじめて検出された際の日時、最後(直近)に検出された際の日時が含まれます。エンティティをクリックして、[エンティティ コンテキスト] パネルを開きます。
  • エンティティ コンテキスト - [関連付けられているエンティティ] パネルで選択したエンティティの詳細を表示します。このパネルには、[関連付けられているエンティティ] パネルで選択したエンティティの種類(ドメインやアセットなど)に応じて異なる情報が表示されます。リンクが表示されている場合は、[VT コンテキスト] をクリックして、VirusTotal のエンティティに関する情報を表示します。
  • 以前のビューに移動 - 以前の [IP アドレス] 調査ビューに移動します。詳細については、IP アドレスの調査をご覧ください。

ユーザーの詳細

UDM 検索クエリに特定のユーザーを返す条件(principal.user.userid="alice" など)が含まれている場合、[Overview] タブに [User] の詳細と次のパネルの情報が表示されます。

  • 検索の概要—次の情報が表示されます。
    • エンティティの詳細。完全な名前、企業内ではじめて確認された際の日時、最後(直近)に確認された際の日時、タイトル、メールアドレスなど。
    • アラートの詳細(検索時間範囲内におけるそのエンティティに関連するアラートの数を示すグラフなど)。パネルには、アラート数が最も多いルールのサブセットも表示されます。
    • [アラートと IOC を開く] をクリックすると、同じ検索時間範囲内に生成されたすべてのアラートが表示されます。
    • [アラートで表示] タブをクリックして、このページの [アラート] タブに切り替え、選択したエンティティに対して新しい検索を開始します。
    • グラフ上のいずれかのバーをクリックして、このページの [アラート] タブに切り替え、クリックしたバーの時間範囲を使用して、選択したエンティティに対する新しい検索を開始します。
    • [さらに表示] リンクをクリックして [エンティティ フィールド] ビューを開き、ユーザーに関連付けられているすべてのエンティティ フィールドを表示します。エンティティ フィールドをクリップボードにコピーするには、エンティティ フィールドの横にあるチェックボックスをオンにして、[アクションを表示] をクリックして、[エンティティをコピー] をクリックします。上部のチェックボックスをオンにして、すべてのエンティティを選択します。
  • 関連付けられているエンティティ - ユーザーがアクセスしたドメイン、ユーザーがアクセスしたアセットなど、このユーザーが関連付けられているエンティティを表示します。このリストには、エンティティの種類、企業内ではじめて検出された際の日時、最後(直近)に検出された際の日時が含まれます。エンティティをクリックして、[エンティティ コンテキスト] パネルを開きます。
  • エンティティ コンテキスト - [関連付けられているエンティティ] パネルで選択するエンティティの詳細を表示します。このパネルの情報は、エンティティの種類(アセットやドメインなど)によって異なります。
  • 以前のビューに移動 - 以前の [ユーザー] 調査ビューに移動します。詳しくは、ユーザーを調査するをご覧ください。

[イベント] タブ

[イベント] タブには、UDM 検索に接続されるイベントが指定した期間で表示されます。これらのイベントは、[イベント] テーブルに一覧表示されます。イベントのタイムスタンプをクリックすると、イベントに関連付けられたアセットとファイルを表示するダイアログが開きます。いずれかの項目をクリックすると、[Entity context] パネルが開き、エンティティに関する追加情報が表示されます。これには、関連するアラートのリストや、アラートの頻度の経時変化を表すアラート グラフなどがあります。

UDM イベントの詳細については、UDM イベントの構造をご覧ください。

[ピボット] オプションを使用して [ピボット設定] を開きます。これらの設定により、UDM 検索の結果に対して式と関数を使用してイベントを分析できます。詳細については、ピボット テーブルを使用してイベントを分析するをご覧ください。

時系列の傾向グラフ

[時系列の傾向] グラフには、UDM 検索で指定された期間のイベントが表示されます。アラートはグラフの下に赤色で表示されます。いずれかのバーをクリックすると、[イベント] タブのフォーカスがその期間に絞り込まれます。その時間枠に関連付けられているイベントが [イベント] テーブルに表示されます。

ドメインの普及率グラフ

[ドメインの普及率] グラフには、企業内の検索に関連付けられたドメインの普及率が表示されます。グラフ上のいずれかの円にカーソルを合わせると特定のドメインが表示されるため、そのドメインに関連するイベントのみに検索を絞り込むことができます。グラフは、UDM 検索にドメインが含まれている場合にのみ表示されます。

[アラート] タブ

[アラート] タブで、UDM 検索に接続されたアラートに関する詳細情報を表示できます。

  • グラフ - UDM 検索で指定された時間の期間ごとに、アラートの数を表示します(期間は検索の長さによって異なります)。[フィルタされたアラート] チェックボックスを使用すると、[フィルタ] オプションによって処理されるアラートを表示または非表示にできます。[クエリアラート] チェックボックスを使用すると、UDM 検索によって処理されたすべてのアラートを表示または非表示にできます。
  • フィルタ - 表示されているオプションに基づいてアラートをフィルタリングできます。たとえば、[重大度] をクリックし、[] のメニュー オプションをクリックして、[表示のみ] を選択します。グラフとテーブルが再読み込みされ、重大度が中程度のアラートのみが表示されます。
  • アラート テーブル - UDM 検索に関連付けられたアラートが表示されます。 アラートをクリックすると、[アラート ビューア] が開き、追加情報が表示されます。[詳細を表示] をクリックすると、[アラートと IOC] ビューが開きます(アラートと IOC の表示をご覧ください)。グラフ内の特定のフィルタバーをクリックすると、そのバーに関連付けられたアラートのみが表示されます。同様に、フィルタを追加すると、テーブルが再読み込みされ、選択した内容に関連付けられたアラートのみが表示されます。