Usar a pesquisa do UDM para investigar uma entidade

Compatível com:

Durante uma investigação, é possível escrever uma consulta de pesquisa do UDM para mostrar detalhes sobre uma ou mais entidades, por exemplo, um endereço IP, usuário ou recurso, além dos eventos e alertas que correspondem aos termos da consulta de pesquisa.

Em sistemas que usam o RBAC de dados, só é possível ver dados que correspondem aos seus escopos. Para mais informações, consulte Impacto do RBAC de dados na Pesquisa.

Quando uma consulta de pesquisa inclui uma condição que identifica uma entidade específica (por exemplo, principal.ip="10.0.31.20"), os resultados da pesquisa incluem detalhes sobre a entidade (se presente na sua empresa) e eventos do UDM que correspondem a toda a consulta de pesquisa.

O painel de resultados da pesquisa inclui as seguintes guias:

  • Visão geral: detalhes sobre uma ou mais entidades específicas.
  • Eventos: resultados de pesquisa que correspondem a toda a consulta de pesquisa e ao período de pesquisa.
  • Alertas: alertas gerados por eventos que correspondem a toda a consulta de pesquisa.

As condições da consulta de pesquisa do UDM podem incluir campos do UDM (principal.hostname="alice") e campos agrupados (hostname="alice").

A consulta de pesquisa do UDM pode incluir várias condições, cada uma especificando um identificador de entidade diferente. Confira alguns exemplos de consultas:

  • principal.hostname="alicehost" and user="alice"
  • principal.hostname="alicehost" and (user="kai" or user="alice")
  • principal.hostname="alicehost" and target.hostname="altostrat.com"
  • principal.hostname="alicehost" and hash="40a80612aaa8a8a36aa82a1278aaa02a"
  • hostname="alicehost" and domain=/altostrat.com/ nocase
  • user="alice" and domain=/altostrat.com/ nocase

A tabela a seguir inclui exemplos de consultas de pesquisa do UDM para uma ou mais entidades e o tipo de informação exibida:

Tipo de informação Exemplos de consultas de pesquisa do UDM
Recurso
  • hostname="laptop-kai"
  • principal.hostname="laptop-kai"
  • principal.ip="10.0.0.76" //(private IP address)
  • principal.mac="c5:0c:9c:aa:bb:c4"
  • principal.hostname="laptop-kai" and metadata.event_type = "NETWORK_CONNECTION"
  • hostname="laptop-kai" or hostname="desktop-kai"
Domínio
  • domain="example.com"
  • target.hostname="example.com"
Arquivo
  • hash="44a88612faa8a8f36ae82a1278aaa02a"
  • principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a"
IP
  • ip="8.8.8.8"
  • target.ip="203.0.113.204" //(public IP address)
Usuário
  • user="alice"
  • target.user.email_address="smitha@example.com"
  • principal.user.userid="alice" or target.user.userid = "smitha"
  • email="john@altostrat.com" or email="alice@example.com"
  • principal.user.userid="smitha"

Guia "Overview"

A guia Visão geral mostra informações da entidade em um dos seguintes tipos de informações predefinidas. As informações apresentadas variam de acordo com o tipo de informação.

Detalhes dos recursos

Quando a consulta de pesquisa do UDM inclui uma condição que retorna um recurso específico, por exemplo, principal.hostname="laptop-will" ou principal.ip="10.0.0.76", a guia Visão geral mostra a Visualização de recursos com informações nos seguintes painéis:

  • Resumo da pesquisa: mostra as seguintes informações:
    • Detalhes sobre a entidade, incluindo o endereço IP e o endereço MAC associados ao recurso durante o período de pesquisa. O endereço IP e o endereço MAC também podem ser usados para identificar uma entidade e podem ser clicados para mostrar mais informações no visualizador de entidades. Ele também mostra a primeira vez que o recurso foi visto na sua empresa e quando ele foi visto pela última vez (mais recentemente). Clique em um dos carimbos de data/hora (primeiro ou último) para realizar uma nova pesquisa usando esse horário.
    • Detalhes sobre alertas, incluindo um gráfico mostrando o número de alertas que envolveram a entidade no período de pesquisa. O painel também lista um subconjunto de regras com o maior número de alertas.
    • Clique em Alertas abertos e IOCs para conferir todos os alertas gerados durante o mesmo período de pesquisa.
    • Clique em View In Alerts Tab para alternar para a guia Alerts nesta página e iniciar uma nova pesquisa na entidade selecionada.
    • Clique em uma das barras do gráfico para alternar para a guia Alerts nesta página e iniciar uma nova pesquisa na entidade selecionada usando o período da barra clicada.
    • Clique no link Ver mais para abrir a visualização Campos de entidade e mostrar todos os campos de entidade associados ao recurso. Para copiar um campo de entidade para a área de transferência, clique na caixa de seleção ao lado do campo de entidade, em Ver ações e em Copiar entidade. Clique na caixa de seleção na parte de cima para selecionar todas as entidades.
  • IOCs relevantes: mostra os IOCs associados ao recurso. Os IOCs atribuídos a uma gravidade mais alta são mostrados primeiro. Clicar no nome do IOC abre o visualizador de entidades à direita.
  • Entidades associadas: mostra outras entidades relacionadas a esse recurso, como usuários que fizeram login nele. O painel mostra o tipo de entidade, quando ela foi vista pela primeira vez no ambiente e quando foi vista pela última vez (mais recentemente). Ele também mostra todos os namespaces associados a um recurso. Clique em uma entidade para abrir o painel Contexto da entidade. Clique em Mostrar todo o período para mostrar as entidades associadas durante todo o período disponível, em vez do intervalo especificado na pesquisa da UDM.
  • Contexto da entidade: mostra detalhes sobre a entidade selecionada no painel Entidades associadas. Esse painel mostra informações diferentes dependendo do tipo de entidade que você selecionou no painel Entidades associadas, por exemplo, usuário ou domínio.
  • Acessar a visualização legada: navegue até a visualização de investigação legada de recursos. Para mais informações, consulte Investigar um recurso.

Detalhes do domínio

Quando a consulta de pesquisa do UDM inclui uma condição que especifica um domínio específico, por exemplo, target.hostname="example.com", a guia Visão geral mostra os detalhes do Domínio com informações nos seguintes painéis:

  • Resumo da pesquisa: mostra as seguintes informações:
    • Detalhes sobre o domínio, incluindo as informações do WHOIS associadas ao domínio registrado, a primeira vez que ele foi encontrado na sua empresa e a última vez (mais recente) que ele foi encontrado. Clique em VT Context para conferir informações sobre o domínio no VirusTotal.
    • Detalhes sobre alertas, incluindo um gráfico mostrando o número de alertas que envolveram a entidade no período de pesquisa. O painel também lista um subconjunto de regras com o maior número de alertas.
    • Clique em Alertas abertos e IOCs para conferir todos os alertas gerados durante o mesmo período de pesquisa.
    • Clique em View In Alerts Tab para alternar para a guia Alerts nesta página e iniciar uma nova pesquisa na entidade selecionada.
    • Clique em uma das barras do gráfico para alternar para a guia Alerts nesta página e iniciar uma nova pesquisa na entidade selecionada usando o período da barra clicada.
    • Clique no link Ver mais para abrir a visualização Campos de entidade e mostrar todos os campos de entidade associados ao domínio. Para copiar um campo de entidade para a área de transferência, clique na caixa de seleção ao lado do campo de entidade, em Ver ações e em Copiar entidade. Clique na caixa de seleção na parte de cima para selecionar todas as entidades.
  • Endereços IP resolvidos: mostra todos os endereços IP resolvidos que foram encontrados na sua empresa para o nome de domínio totalmente qualificado (FQDN). Por exemplo, se você pesquisar target.hostname="test.altostrat.com", os resultados da pesquisa podem mostrar dois endereços IP resolvidos (198.51.100.81 e 203.0.113.81).
  • Subdomínios e domínios irmãos: mostra todos os subdomínios associados que foram encontrados na sua empresa para um determinado FQDN. Muitos adversários usam o mesmo domínio e subdomínio para os ataques. Por exemplo, se você pesquisar target.hostname="sandbox.altostrat.com", esse painel vai mostrar dois subdomínios, test.sandbox.altostrat.com e staging.sandbox.altostrat.com.
  • Prevalência de recursos: mostra o número de recursos na sua empresa que se conectaram ao domínio durante todo o período dos dados armazenados na sua conta do Google Security Operations. Cada barra do gráfico representa o número de recursos únicos na sua empresa que se conectaram ao domínio em um dia UTC. Passar o cursor sobre uma barra exibe as entidades relacionadas no dia UTC representado por ela. Clique no nome da entidade para conferir o resumo e a visão geral dela no painel de contexto exibido à direita. Clique em Visualizar eventos para conferir os eventos relacionados à entidade selecionada na guia "Eventos de pesquisa".
  • Entidades associadas: mostra outras entidades relacionadas a este domínio, como recursos que entraram em contato com ele. A lista inclui o tipo de entidade, quando ela foi vista pela primeira vez na sua empresa e quando foi vista pela última vez (mais recentemente). Clique em uma entidade para abrir o painel Contexto da entidade.
  • Contexto da entidade: mostra detalhes sobre a entidade selecionada no painel Entidades associadas. Esse painel mostra informações diferentes dependendo do tipo de entidade que você selecionou no painel Entidades associadas, por exemplo, endereço IP ou domínio.
  • Acessar a visualização legada: navegue até a visualização de investigação legada do Domínio. Para mais informações, consulte Investigar um domínio.

Detalhes do arquivo

Quando a consulta de pesquisa do UDM inclui uma condição que retorna um único arquivo, por exemplo, principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a", a guia Visão geral mostra os detalhes do arquivo com informações nos seguintes painéis:

  • Resumo da pesquisa: mostra as seguintes informações:
    • Detalhes sobre o arquivo, incluindo valores de hash, tamanho do arquivo, a primeira vez que ele foi encontrado na sua empresa e a última vez (mais recente) em que ele foi encontrado. Clique em VT Context para conferir informações sobre o arquivo no VirusTotal.
    • Detalhes sobre alertas, incluindo um gráfico que mostra o número de alertas que envolveram a entidade no período de pesquisa. O painel também lista um subconjunto de regras com o maior número de alertas.
    • Clique em Alertas abertos e IOCs para conferir todos os alertas gerados durante o mesmo período de pesquisa.
    • Clique em View In Alerts Tab para alternar para a guia Alerts nesta página e iniciar uma nova pesquisa na entidade selecionada.
    • Clique em uma das barras do gráfico para alternar para a guia Alerts nesta página e iniciar uma nova pesquisa na entidade selecionada usando o período da barra clicada.
    • Clique no link Ver mais para abrir a visualização Campos de entidade e mostrar todos os campos de entidade associados ao arquivo. Para copiar um campo de entidade para a área de transferência, clique na caixa de seleção ao lado do campo de entidade, em Ver ações e em Copiar entidade. Clique na caixa de seleção na parte de cima para selecionar todas as entidades.
  • IOCs relevantes: mostra os IOCs associados ao arquivo. Os IOCs atribuídos a uma gravidade mais alta são mostrados primeiro. Clicar no nome do IOC abre o visualizador de entidades à direita.
  • Prevalência de ativos: mostra o número de ativos na sua empresa associados ao arquivo durante todo o período dos dados armazenados na sua conta do Google Security Operations.
  • Entidades associadas: mostra outras entidades relacionadas a este arquivo, como um recurso em que ele foi executado ou usuários que acessaram o arquivo. A lista inclui o tipo de entidade, quando ela foi vista pela primeira vez no seu empreendimento e quando foi vista pela última vez (mais recentemente). Clique em uma entidade para abrir o painel Contexto da entidade.
  • Propriedades e metadados do VirusTotal: mostra informações sobre o arquivo do banco de dados do VirusTotal. Clique em Ver mais para abrir uma caixa de diálogo do VirusTotal e exibir mais informações sobre o arquivo.
  • Entidades associadas: mostra informações diferentes dependendo do tipo de entidade que você selecionou no painel Entidades associadas (por exemplo, usuário ou recurso).
  • Contexto da entidade: mostra detalhes sobre a entidade selecionada no painel Entidades associadas. Esse painel mostra informações diferentes dependendo do tipo de entidade que você selecionou no painel Entidades associadas, por exemplo, usuário ou recurso.
  • Acessar a visualização legada: navegue até a visualização de investigação de arquivo legada. Para mais informações, consulte Investigar um arquivo.

Detalhes do IP

Quando a consulta de pesquisa do UDM inclui uma condição que retorna um endereço IP externo específico, por exemplo, target.ip="203.0.113.254", a guia Visão geral mostra os detalhes do IP com informações nos seguintes painéis:

  • Resumo da pesquisa: mostra as seguintes informações:
    • Detalhes sobre o endereço IP, incluindo a primeira vez que ele foi detectado na empresa e a última vez (mais recente) que ele foi detectado. Clique em VT Context para conferir as informações disponíveis sobre esse endereço IP no VirusTotal.
    • Detalhes sobre alertas, incluindo um gráfico mostrando o número de alertas que envolveram a entidade no período de pesquisa. O painel também lista um subconjunto de regras com o maior número de alertas.
    • Clique em Alertas abertos e IOCs para conferir todos os alertas gerados durante o mesmo período de pesquisa.
    • Clique em View In Alerts Tab para alternar para a guia Alerts nesta página e iniciar uma nova pesquisa na entidade selecionada.
    • Clique em uma das barras do gráfico para alternar para a guia Alerts nesta página e iniciar uma nova pesquisa na entidade selecionada usando o período da barra clicada.
    • Clique no link Ver mais para abrir a visualização Campos de entidade e mostrar todos os campos de entidade associados ao endereço IP. Para copiar um campo de entidade para a área de transferência, clique na caixa de seleção ao lado do campo da entidade, em Ver ações e em Copiar entidade. Clique na caixa de seleção na parte de cima para selecionar todas as entidades.
  • IOCs relevantes: mostra os IOCs associados ao endereço IP. Os IOCs atribuídos a uma gravidade mais alta são mostrados primeiro. Clicar no nome do IOC abre o visualizador de entidades à direita.
  • Prevalência de recursos: mostra o número de recursos na sua empresa que se conectaram ao endereço IP no período especificado na pesquisa de UDM.
  • Entidades associadas: mostra outras entidades relacionadas a esse endereço IP, como domínios em que o endereço IP está registrado. A lista inclui o tipo de entidade, quando ela foi vista pela primeira vez na sua empresa e quando foi vista pela última vez (mais recentemente). Clique em uma entidade para abrir o painel Contexto da entidade.
  • Contexto da entidade: mostra detalhes sobre a entidade selecionada no painel Entidades associadas. Esse painel mostra informações diferentes dependendo do tipo de entidade que você selecionou no painel Entidades associadas, por exemplo, domínio ou recurso. Se o link aparecer, clique em VT Context para conferir informações sobre a entidade no VirusTotal.
  • Acessar a visualização legada: navegue até a visualização de investigação de endereço IP legada. Para mais informações, consulte Investigar um endereço IP.

Detalhes do usuário

Quando a consulta de pesquisa do UDM inclui uma condição que retorna um usuário específico, por exemplo, principal.user.userid="alice", a guia Visão geral mostra os detalhes do Usuário com informações nos seguintes painéis:

  • Resumo da pesquisa: mostra as seguintes informações:
    • Detalhes sobre a entidade, incluindo o nome completo, a primeira vez que ela foi encontrada na sua empresa, a última vez (mais recente) que ela foi encontrada, o cargo e o endereço de e-mail.
    • Detalhes sobre alertas, incluindo um gráfico mostrando o número de alertas que envolveram a entidade no período de pesquisa. O painel também lista um subconjunto de regras com o maior número de alertas.
    • Clique em Alertas abertos e IOCs para conferir todos os alertas gerados durante o mesmo período de pesquisa.
    • Clique em View In Alerts Tab para alternar para a guia Alerts nesta página e iniciar uma nova pesquisa na entidade selecionada.
    • Clique em uma das barras do gráfico para alternar para a guia Alerts nesta página e iniciar uma nova pesquisa na entidade selecionada usando o período da barra clicada.
    • Clique no link Ver mais para abrir a visualização Campos de entidade e mostrar todos os campos de entidade associados ao usuário. Para copiar um campo de entidade para a área de transferência, clique na caixa de seleção ao lado do campo de entidade, em Ver ações e em Copiar entidade. Clique na caixa de seleção na parte de cima para selecionar todas as entidades.
  • Entidades associadas: mostra entidades relacionadas a esse usuário, como domínios que ele contatou ou recursos que ele acessou. A lista inclui o tipo de entidade, quando ela foi vista pela primeira vez na sua empresa e quando foi vista pela última vez (mais recentemente). Clique em uma entidade para abrir o painel Contexto da entidade.
  • Contexto da entidade: mostra detalhes sobre a entidade selecionada no painel Entidades associadas. As informações neste painel são diferentes dependendo do tipo de entidade (por exemplo, ativo ou domínio).
  • Acessar a visualização legada: navegue até a visualização de investigação legada do Usuário. Para mais informações, consulte Investigar um usuário.

Guia "Eventos"

A guia Eventos mostra os eventos conectados à sua pesquisa da UDM no período especificado. Esses eventos estão listados na tabela Eventos. Clicar no carimbo de data/hora de um evento abre uma caixa de diálogo que mostra os recursos e arquivos associados a ele. Clicar em qualquer um desses itens abre o painel Contexto da entidade, que mostra mais informações sobre a entidade, incluindo uma lista de alertas associados e um gráfico que mostra a frequência desses alertas ao longo do tempo.

Para informações sobre eventos do UDM, consulte Estrutura de um evento do UDM.

Use a opção Pivot para abrir as Configurações de pivot. Com essas configurações, você pode analisar eventos usando expressões e funções em relação aos resultados da pesquisa da UDM. Para mais informações, consulte Usar a tabela dinâmica para analisar eventos.

Gráfico de tendência ao longo do tempo

O gráfico Tendência ao longo do tempo mostra os eventos no período especificado na pesquisa da UDM. Os alertas aparecem em vermelho abaixo do gráfico. Clicar em uma das barras restringe o foco da guia Eventos a esse período. Os eventos associados a esse período são mostrados na tabela Eventos.

Gráfico de prevalência do domínio

O gráfico Prevalência de domínio mostra a prevalência dos domínios associados à sua pesquisa na empresa. Passar o cursor sobre um dos círculos no gráfico mostra o domínio específico e permite restringir sua pesquisa apenas aos eventos associados a esse domínio. O gráfico só vai aparecer se a pesquisa da UDM incluir um domínio.

Guia Alertas

Na guia Alertas, você pode exibir informações detalhadas sobre os alertas conectados à sua pesquisa da UDM.

  • Gráfico: mostra o número de alertas por período no período especificado na pesquisa da UDM. O período varia de acordo com a duração da pesquisa. A caixa de seleção Alertas filtrados permite visualizar ou ocultar os alertas processados pelas opções Filtros. A caixa de seleção Alertas de consulta permite visualizar ou ocultar todos os alertas processados pela pesquisa da UDM.
  • Filtros: permite filtrar alertas com base nas opções listadas. Por exemplo, você pode clicar em Gravidade, na opção de menu Médio e selecionar Mostrar apenas. O gráfico e a tabela são recarregados para mostrar apenas os alertas com gravidade média.
  • Tabela Alerts: mostra os alertas associados à pesquisa da UDM. Clicar em um alerta abre o visualizador de alertas para mostrar mais informações. Clicar em Ver detalhes abre a visualização Alertas e IOCs. Consulte Ver alertas e IOCs. Se você clicar em uma barra de filtro específica no gráfico, apenas os alertas associados a essa barra serão exibidos. Da mesma forma, se você adicionar filtros, a tabela será recarregada e vai mostrar apenas os alertas vinculados às suas seleções.