UDM 검색을 사용하여 항목 조사

조사 중에 UDM 검색어를 작성하여 검색어와 일치하는 이벤트 및 알림과 함께 하나 이상의 항목(예: IP 주소, 사용자 또는 애셋)에 대한 세부정보를 표시할 수 있습니다.

검색어에 특정 항목(예: principal.ip="10.0.31.20")을 식별하는 조건이 포함된 경우 검색 결과에 전체 검색어와 일치하는 UDM 이벤트와 함께 해당 항목(기업에 있는 경우)에 대한 세부정보가 포함됩니다.

검색 결과 창에는 다음 탭이 포함됩니다.

  • 개요—하나 이상의 특정 항목에 대한 세부정보입니다.
  • 이벤트—전체 검색어 및 검색 시간 범위와 일치하는 검색 결과입니다.
  • 알림 - 전체 검색어와 일치하는 이벤트에 의해 생성된 알림입니다.

UDM 검색어 조건에는 UDM 필드(principal.hostname="alice") 및 그룹화된 필드(hostname="alice")가 모두 포함될 수 있습니다.

UDM 검색어는 여러 조건을 포함할 수 있으며, 각각 다른 항목 식별자를 지정합니다. 쿼리의 예시는 다음과 같습니다.

  • principal.hostname="alicehost" and user="alice"
  • principal.hostname="alicehost" and (user="kai" or user="alice")
  • principal.hostname="alicehost" and target.hostname="altostrat.com"
  • principal.hostname="alicehost" and hash="40a80612aaa8a8a36aa82a1278aaa02a"
  • hostname="alicehost" and domain=/altostrat.com/ nocase
  • user="alice" and domain=/altostrat.com/ nocase

다음 표에는 하나 이상의 항목에 대한 UDM 검색어 예시와 표시된 정보 유형이 포함되어 있습니다.

정보 유형 UDM 검색어 예시
애셋
  • hostname="laptop-kai"
  • principal.hostname="laptop-kai"
  • principal.ip="10.0.0.76" //(private IP address)
  • principal.mac="c5:0c:9c:aa:bb:c4"
  • principal.hostname="laptop-kai" and metadata.event_type = "NETWORK_CONNECTION"
  • hostname="laptop-kai" or hostname="desktop-kai"
도메인
  • domain="example.com"
  • target.hostname="example.com"
파일
  • hash="44a88612faa8a8f36ae82a1278aaa02a"
  • principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a"
IP
  • ip="8.8.8.8"
  • target.ip="203.0.113.204" //(public IP address)
사용자
  • user="alice"
  • target.user.email_address="smitha@example.com"
  • principal.user.userid="alice" or target.user.userid = "smitha"
  • email="john@altostrat.com" or email="alice@example.com"
  • principal.user.userid="smitha"

개요 탭

개요 탭에는 다음과 같이 사전 정의된 정보 유형 중 하나로 항목 정보가 표시됩니다. 표시되는 정보는 정보 유형에 따라 다릅니다.

애셋 세부정보

UDM 검색어에 특정 애셋을 반환하는 조건(예: principal.hostname="laptop-will" 또는principal.ip="10.0.0.76")이 포함된 경우 개요 탭에는 다음 패널의 정보와 함께 애셋 뷰가 표시됩니다.

  • 검색 요약—다음 정보를 표시합니다.
    • 검색 기간 동안 애셋과 연결된 IP 주소 및 MAC 주소를 비롯해 항목에 대한 세부정보입니다. IP 주소와 MAC 주소를 사용하여 항목을 식별할 수도 있으며 클릭하여 항목 뷰어에 추가 정보를 표시할 수도 있습니다. 또한 애셋이 기업에서 처음 확인한 시간과 마지막(가장 최근)에 확인한 시간도 표시됩니다. 타임스탬프(첫 번째 또는 마지막)를 클릭하여 해당 시간으로 새 검색을 실행할 수 있습니다.
    • 검색 시간 범위 내 항목과 관련된 알림 수를 보여주는 그래프를 포함하여 알림에 대한 세부정보입니다. 또한 패널에 알림 수가 가장 많은 규칙의 하위 집합이 나열됩니다.
    • 동일한 검색 시간 범위 동안 생성된 모든 알림을 보려면 알림 및 IOC 열기를 클릭합니다.
    • 알림 탭에서 보기를 클릭하여 이 페이지의 알림 탭으로 전환하고 선택한 항목에 대해 새 검색을 시작합니다.
    • 차트의 막대 중 하나를 클릭하여 이 페이지의 알림 탭으로 전환하고 클릭한 막대의 기간을 사용하여 선택한 항목에 대해 새 검색을 시작합니다.
    • 더보기 링크를 클릭하여 항목 필드 뷰를 열고 해당 애셋과 연결된 모든 항목 필드를 표시합니다. 항목 필드를 클립보드에 복사하려면 항목 필드 옆에 있는 체크박스를 클릭하고, 작업 보기를 클릭한 후 항목 복사를 클릭합니다. 상단의 체크박스를 클릭하여 모든 항목을 선택합니다.
  • 관련 IOC—애셋과 연결된 IOC를 표시합니다. 더 높은 심각도가 할당된 IOC가 먼저 표시됩니다. IOC 이름을 클릭하면 오른쪽에 항목 뷰어가 열립니다.
  • 연결된 항목—이 애셋과 연결된 다른 항목(예: 애셋에 로그인한 사용자)을 표시합니다. 패널에는 항목 유형, 환경에서 처음 확인된 시점, 마지막(가장 최근)으로 확인된 시점이 표시됩니다. 애셋과 연결된 모든 네임스페이스도 표시됩니다. 항목을 클릭하여 항목 컨텍스트 패널을 엽니다. 전체 기간 표시를 클릭하여 UDM 검색에 지정된 범위가 아닌 전체 사용 가능한 기간의 연결된 항목을 표시합니다.
  • 항목 컨텍스트연결된 항목 패널에서 선택한 항목에 대한 세부정보를 표시합니다. 이 패널에는 연결된 항목 패널에서 선택한 항목 유형(예: 사용자 또는 도메인)에 따라 다른 정보가 표시됩니다.
  • 기존 뷰로 이동—기존 애셋 조사 뷰로 이동합니다. 자세한 내용은 애셋 조사를 참조하세요.

도메인 세부정보

UDM 검색어에 특정 도메인을 지정하는 조건(예: target.hostname="example.com")이 포함된 경우 개요 탭에는 다음 패널의 정보와 함께 도메인 세부정보가 표시됩니다.

  • 검색 요약—다음 정보를 표시합니다.
    • 등록된 도메인과 연결된 WHOIS 정보, 기업에서 처음 확인된 시간, 마지막(가장 최근)으로 확인된 시간을 비롯해 도메인에 대한 세부정보입니다. VirusTotal에서 도메인에 대한 정보를 보려면 VT 컨텍스트를 클릭합니다.
    • 검색 시간 범위 내 항목과 관련된 알림 수를 보여주는 그래프를 포함하여 알림에 대한 세부정보입니다. 또한 패널에 알림 수가 가장 많은 규칙의 하위 집합이 나열됩니다.
    • 동일한 검색 시간 범위 동안 생성된 모든 알림을 보려면 알림 및 IOC 열기를 클릭합니다.
    • 알림 탭에서 보기를 클릭하여 이 페이지의 알림 탭으로 전환하고 선택한 항목에 대해 새 검색을 시작합니다.
    • 차트의 막대 중 하나를 클릭하여 이 페이지의 알림 탭으로 전환하고 클릭한 막대의 기간을 사용하여 선택한 항목에 대해 새 검색을 시작합니다.
    • 더보기 링크를 클릭하여 항목 필드 뷰를 열고 도메인과 연결된 모든 항목 필드를 표시합니다. 항목 필드를 클립보드에 복사하려면 항목 필드 옆에 있는 체크박스를 클릭하고, 작업 보기를 클릭한 후 항목 복사를 클릭합니다. 상단의 체크박스를 클릭하여 모든 항목을 선택합니다.
  • 확인된 IP—기업에서 정규화된 도메인 이름(FQDN)으로 확인된 모든 IP 주소를 표시합니다. 예를 들어 target.hostname="test.altostrat.com"을 검색하면 검색 결과에 확인된 두 개의 IP 주소(198.51.100.81203.0.113.81)가 표시될 수 있습니다.
  • 하위 도메인 및 동위 도메인—지정된 FQDN에 대해 기업에서 확인한 모든 관련 하위 도메인을 표시합니다. 많은 공격자가 공격에 동일한 도메인과 하위 도메인을 사용합니다. 예를 들어 target.hostname="sandbox.altostrat.com"을 검색하면 이 패널에는 test.sandbox.altostrat.comstaging.sandbox.altostrat.com의 두 하위 도메인이 표시됩니다.
  • 애셋 보급률 - Google Security Operations 계정에 저장된 데이터 전체 기간 동안 도메인에 연결된 기업 내 애셋 수를 표시합니다. 그래프의 각 막대는 UTC 날짜에 도메인에 연결된 기업의 고유 애셋 수를 나타냅니다. 막대 위로 마우스를 가져가면 막대가 나타내는 UTC 날짜의 관련 항목이 표시됩니다. 오른쪽에 표시되는 항목 컨텍스트 패널에서 항목 요약 및 개요를 보려면 항목 이름을 클릭합니다. 검색 이벤트 탭에서 선택한 항목과 관련된 이벤트를 보려면 이벤트 보기를 클릭합니다.
  • 연결된 항목—이 도메인과 연결된 애셋과 같이 이 도메인과 관련된 다른 항목을 표시합니다. 이 목록에는 항목 유형, 기업에서 처음 확인한 시점, 마지막(가장 최근)으로 확인한 시점이 포함됩니다. 항목을 클릭하여 항목 컨텍스트 패널을 엽니다.
  • 항목 컨텍스트연결된 항목 패널에서 선택한 항목에 대한 세부정보를 표시합니다. 이 패널에는 연결된 항목 패널에서 선택한 항목 유형에 따라 서로 다른 정보(예: IP 주소 또는 도메인)가 표시됩니다.
  • 기존 뷰로 이동: 기존 도메인 조사 뷰로 이동합니다. 자세한 내용은 도메인 조사를 참조하세요.

파일 세부정보

UDM 검색어에 단일 파일을 반환하는 조건(예: principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a")이 포함된 경우 개요 탭에는 다음 패널의 정보와 함께 파일 세부정보가 표시됩니다.

  • 검색 요약—다음 정보를 표시합니다.
    • 해시 값, 파일 크기, 기업에서 처음 확인한 시간 및 마지막(가장 최근)으로 확인한 시간 등 파일에 대한 세부정보입니다. VirusTotal에서 파일에 대한 정보를 보려면 VT 컨텍스트를 클릭합니다.
    • 검색 시간 범위 내 항목과 관련된 알림 수를 보여주는 차트를 비롯해 알림에 대한 세부정보입니다. 또한 패널에 알림 수가 가장 많은 규칙의 하위 집합이 나열됩니다.
    • 동일한 검색 시간 범위 동안 생성된 모든 알림을 보려면 알림 및 IOC 열기를 클릭합니다.
    • 알림 탭에서 보기를 클릭하여 이 페이지의 알림 탭으로 전환하고 선택한 항목에 대해 새 검색을 시작합니다.
    • 차트의 막대 중 하나를 클릭하여 이 페이지의 알림 탭으로 전환하고 클릭한 막대의 기간을 사용하여 선택한 항목에 대해 새 검색을 시작합니다.
    • 더보기 링크를 클릭하여 항목 필드 뷰를 열고 파일과 연결된 모든 항목 필드를 표시합니다. 항목 필드를 클립보드에 복사하려면 항목 필드 옆에 있는 체크박스를 클릭하고, 작업 보기를 클릭한 후 항목 복사를 클릭합니다. 상단의 체크박스를 클릭하여 모든 항목을 선택합니다.
  • 관련 IOC—파일과 연결된 IOC를 표시합니다. 더 높은 심각도가 할당된 IOC가 먼저 표시됩니다. IOC 이름을 클릭하면 오른쪽에 항목 뷰어가 열립니다.
  • 애셋 보급률 - Google Security Operations 계정에 저장된 데이터의 전체 기간 동안 파일과 연결된 기업 내 애셋 수를 표시합니다.
  • 연결된 항목—이 파일이 연결된 다른 항목(예: 이 파일이 실행된 애셋 또는 파일에 액세스한 사용자)을 표시합니다. 이 목록에는 항목 유형, 기업에서 처음 확인한 시점, 마지막(가장 최근)으로 확인한 시점 등이 포함됩니다. 항목을 클릭하여 항목 컨텍스트 패널을 엽니다.
  • VirusTotal 속성 및 메타데이터: VirusTotal 데이터베이스의 파일에 대한 정보를 표시합니다. VirusTotal 대화상자를 열고 파일에 대한 추가 정보를 표시하려면 더보기를 클릭합니다.
  • 연결된 항목연결된 항목 패널에서 선택한 항목 유형(예: 사용자 또는 애셋)에 따라 다른 정보를 표시합니다.
  • 항목 컨텍스트연결된 항목 패널에서 선택한 항목에 대한 세부정보를 표시합니다. 이 패널에는 연결된 항목 패널에서 선택한 항목 유형(예: 사용자 또는 애셋)에 따라 다른 정보가 표시됩니다.
  • 기존 뷰로 이동—기존 파일 조사 뷰로 이동합니다. 자세한 내용은 파일 조사를 참조하세요.

IP 세부정보

UDM 검색어에 특정 외부 IP 주소(예: target.ip="203.0.113.254")를 반환하는 조건이 포함된 경우 개요 탭에는 다음 패널의 정보와 함께 IP 세부정보가 표시됩니다.

  • 검색 요약—다음 정보를 표시합니다.
    • 기업에서 처음 확인한 시간 및 IP를 마지막(최근 시간)으로 확인한 시간을 포함하여 IP 주소에 대한 세부정보입니다. VirusTotal에서 이 IP 주소에 대해 사용 가능한 정보를 보려면 VT 컨텍스트를 클릭합니다.
    • 검색 시간 범위 내 항목과 관련된 알림 수를 보여주는 그래프를 포함하여 알림에 대한 세부정보입니다. 또한 패널에 알림 수가 가장 많은 규칙의 하위 집합이 나열됩니다.
    • 동일한 검색 시간 범위 동안 생성된 모든 알림을 보려면 알림 및 IOC 열기를 클릭합니다.
    • 알림 탭에서 보기를 클릭하여 이 페이지의 알림 탭으로 전환하고 선택한 항목에 대해 새 검색을 시작합니다.
    • 차트의 막대 중 하나를 클릭하여 이 페이지의 알림 탭으로 전환하고 클릭한 막대의 기간을 사용하여 선택한 항목에 대해 새 검색을 시작합니다.
    • 더보기 링크를 클릭하여 항목 필드 뷰를 열고 IP 주소와 연결된 모든 항목 필드를 표시합니다. 항목 필드를 클립보드에 복사하려면 항목 필드 옆에 있는 체크박스를 클릭하고, 작업 보기를 클릭한 후 항목 복사를 클릭합니다. 상단의 체크박스를 클릭하여 모든 항목을 선택합니다.
  • 관련 IOC—IP 주소와 연결된 IOC를 표시합니다. 더 높은 심각도가 할당된 IOC가 먼저 표시됩니다. IOC 이름을 클릭하면 오른쪽에 항목 뷰어가 열립니다.
  • 애셋 보급률—UDM 검색에 지정된 기간 동안 IP 주소에 연결된 기업의 애셋 수를 표시합니다.
  • 연결된 항목—이 IP 주소가 연결된 다른 항목(예: IP 주소가 등록된 도메인)을 표시합니다. 이 목록에는 항목 유형, 기업에서 처음 확인한 시점, 마지막(가장 최근)으로 확인한 시점이 포함됩니다. 항목을 클릭하여 항목 컨텍스트 패널을 엽니다.
  • 항목 컨텍스트연결된 항목 패널에서 선택한 항목에 대한 세부정보를 표시합니다. 이 패널에는 연결된 항목 패널에서 선택한 항목 유형(예: 도메인 또는 애셋)에 따라 다른 정보가 표시됩니다. 링크가 표시되면 VT 컨텍스트를 클릭하여 VirusTotal의 항목에 대한 정보를 확인합니다.
  • 기존 뷰로 이동—기존 IP 주소 조사 뷰로 이동합니다. 자세한 내용은 IP 주소 조사를 참조하세요.

사용자 세부정보

UDM 검색어에 특정 사용자를 반환하는 조건(예: principal.user.userid="alice")이 포함된 경우 개요 탭에는 다음 패널의 정보와 함께 사용자 세부정보가 표시됩니다.

  • 검색 요약—다음 정보를 표시합니다.
    • 전체 이름, 기업에서 처음 확인한 시간, 마지막(가장 최근)으로 확인한 시간, 제목, 이메일 주소를 포함한 항목 세부정보입니다.
    • 검색 시간 범위 내 항목과 관련된 알림 수를 보여주는 그래프를 포함하여 알림에 대한 세부정보입니다. 또한 패널에 알림 수가 가장 많은 규칙의 하위 집합이 나열됩니다.
    • 동일한 검색 시간 범위 동안 생성된 모든 알림을 보려면 알림 및 IOC 열기를 클릭합니다.
    • 알림 탭에서 보기를 클릭하여 이 페이지의 알림 탭으로 전환하고 선택한 항목에 대해 새 검색을 시작합니다.
    • 차트의 막대 중 하나를 클릭하여 이 페이지의 알림 탭으로 전환하고 클릭한 막대의 기간을 사용하여 선택한 항목에 대해 새 검색을 시작합니다.
    • 더보기 링크를 클릭하여 항목 필드 뷰를 열고 사용자와 연결된 모든 항목 필드를 표시합니다. 항목 필드를 클립보드에 복사하려면 항목 필드 옆에 있는 체크박스를 클릭하고, 작업 보기를 클릭한 후 항목 복사를 클릭합니다. 상단의 체크박스를 클릭하여 모든 항목을 선택합니다.
  • 연결된 항목—사용자가 연결한 도메인 또는 사용자가 액세스한 애셋 등 이 사용자와 관련된 항목을 표시합니다. 이 목록에는 항목 유형, 기업에서 처음 확인한 시점, 마지막(가장 최근)으로 확인한 시점이 포함됩니다. 항목을 클릭하여 항목 컨텍스트 패널을 엽니다.
  • 항목 컨텍스트연결된 항목 패널에서 선택한 항목에 대한 세부정보를 표시합니다. 이 패널의 정보는 항목 유형(예: 애셋 또는 도메인)에 따라 다릅니다.
  • 기존 뷰로 이동—기존 사용자 조사 뷰로 이동합니다. 자세한 내용은 사용자 조사를 참조하세요.

이벤트 탭

이벤트 탭에는 지정된 기간 동안 UDM 검색에 연결된 이벤트가 표시됩니다. 이러한 이벤트는 이벤트 테이블에 나열됩니다. 이벤트의 타임스탬프를 클릭하면 이벤트와 연관된 애셋 및 파일을 표시하는 대화상자가 열립니다. 이러한 항목을 클릭하면 연결된 알림 목록과 시간 경과에 따른 해당 알림의 빈도를 보여주는 알림 그래프를 포함하여 항목에 대한 추가 정보를 제공하는 항목 컨텍스트 패널이 열립니다.

UDM 이벤트에 대한 자세한 내용은 UDM 이벤트 구조를 참조하세요.

피벗 옵션을 사용하여 피벗 설정을 엽니다. 이러한 설정을 사용하면 UDM 검색 결과에 대해 표현식과 함수를 사용하여 이벤트를 분석할 수 있습니다. 자세한 내용은 피벗 테이블을 사용하여 이벤트 분석을 참조하세요.

시간 경과에 따른 트렌드 차트

시간 경과에 따른 트렌드 차트에는 UDM 검색에 지정된 기간의 이벤트가 표시됩니다. 알림은 차트 아래에 빨간색으로 표시됩니다. 막대 중 하나를 클릭하면 이벤트 탭의 포커스가 해당 기간으로 좁혀집니다. 해당 시간대 슬롯과 연결된 이벤트가 이벤트 테이블에 표시됩니다.

도메인 보급률 차트

도메인 보급률 차트에는 기업 내 검색과 연결된 도메인의 보급률이 표시됩니다. 차트의 원 중 하나에 마우스를 가져가면 특정 도메인이 표시되고 해당 도메인과 연결된 이벤트로만 검색 범위를 좁힐 수 있습니다. 차트에는 UDM 검색에 도메인이 포함된 경우에만 표시됩니다.

알림 탭

알림 탭을 사용하면 UDM 검색에 연결된 알림에 대한 자세한 정보를 표시할 수 있습니다.

  • 그래프—UDM 검색에 지정된 시간 경과에 따른 기간별 알림 수를 표시합니다(기간은 검색 길이에 따라 다름). 필터링된 알림 체크박스를 사용하면 필터 옵션에서 처리되는 알림을 보거나 숨길 수 있습니다. 쿼리 알림 체크박스를 사용하면 UDM 검색으로 처리되는 모든 알림을 보거나 숨길 수 있습니다.
  • 필터—나열된 옵션을 기준으로 알림을 필터링할 수 있습니다. 예를 들어 심각도를 클릭하고 중간의 메뉴 옵션을 클릭한 다음 다음 항목만 표시를 선택할 수 있습니다. 그래프 및 테이블이 새로고침되어 심각도가 중간인 알림만 표시됩니다.
  • 알림 표—UDM 검색과 관련된 알림을 표시합니다. 알림을 클릭하면 알림 뷰어가 열리고 추가 정보가 표시됩니다. 세부정보 보기를 클릭하면 알림 및 IOC 보기가 열립니다(알림 및 IOC 보기 참조). 그래프에서 특정 필터 표시줄을 클릭하면 해당 막대와 연결된 알림만 표시됩니다. 마찬가지로 필터를 추가하면 테이블이 새로고침되고 선택한 항목과 연결된 알림만 표시됩니다.