使用 UDM 搜索功能调查实体

支持以下语言:

在调查期间,除了与搜索查询字词匹配的事件和提醒之外,您还可以编写 UDM 搜索查询,以显示一个或多个实体(例如 IP 地址、用户或资产)的详细信息。

在使用数据 RBAC 的系统中,您只能看到与您的镜重范围匹配的数据。如需了解详情,请参阅数据 RBAC 对搜索的影响

当搜索查询包含标识特定实体的条件(例如 例如 principal.ip="10.0.31.20"),搜索结果会包含有关以下内容的详细信息: 实体(如果贵企业中存在) 整个搜索查询。

搜索结果窗格包含以下标签页:

  • 概览 - 一个或多个特定实体的详细信息。
  • 事件 - 与整个搜索条件相匹配的搜索结果 查询和搜索时间范围。
  • 提醒 - 由符合以下过滤条件的事件生成的提醒: 整个搜索查询。

UDM 搜索查询条件可以同时包含 UDM 字段 (principal.hostname="alice") 和分组 字段 (hostname="alice").

UDM 搜索查询可以包含多个条件,每个条件指定一个 不同的实体标识符。示例查询包括:

  • principal.hostname="alicehost" and user="alice"
  • principal.hostname="alicehost" and (user="kai" or user="alice")
  • principal.hostname="alicehost" and target.hostname="altostrat.com"
  • principal.hostname="alicehost" and hash="40a80612aaa8a8a36aa82a1278aaa02a"
  • hostname="alicehost" and domain=/altostrat.com/ nocase
  • user="alice" and domain=/altostrat.com/ nocase

下表包含针对一个或多个实体的 UDM 搜索查询示例 以及显示的信息类型:

信息类型 UDM 搜索查询示例
素材资源
  • hostname="laptop-kai"
  • principal.hostname="laptop-kai"
  • principal.ip="10.0.0.76" //(private IP address)
  • principal.mac="c5:0c:9c:aa:bb:c4"
  • principal.hostname="laptop-kai" and metadata.event_type = "NETWORK_CONNECTION"
  • hostname="laptop-kai" or hostname="desktop-kai"
网域
  • domain="example.com"
  • target.hostname="example.com"
文件
  • hash="44a88612faa8a8f36ae82a1278aaa02a"
  • principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a"
IP
  • ip="8.8.8.8"
  • target.ip="203.0.113.204" //(public IP address)
用户
  • user="alice"
  • target.user.email_address="smitha@example.com"
  • principal.user.userid="alice" or target.user.userid = "smitha"
  • email="john@altostrat.com" or email="alice@example.com"
  • principal.user.userid="smitha"

“概览”标签页

概览标签页会以下列某种方式显示实体信息: 预定义的信息类型。显示的信息因信息类型而异。

资源详情

如果 UDM 搜索查询包含返回特定资产的条件, 例如 principal.hostname="laptop-will"principal.ip="10.0.0.76"概览标签页显示“资产”视图,其中包含以下信息 面板:

  • 搜索摘要 - 显示以下信息:
    • 实体的详细信息,包括 IP 地址和 MAC 地址 与资产相关联的。IP 地址和 MAC 地址还可用于识别实体,点击这些地址即可在实体查看器中显示其他信息。它还 会显示该资源在您的企业中首次出现的时间以及 上次(最近)看到的内容。您可以点击任一时间戳(第一个或最后一个),以使用相应时间重新运行搜索。
    • 有关提醒的详细信息,包括显示提醒数量的图表 。该面板还会列出发出警报次数最多的一组规则。
    • 点击打开提醒和IOC,以查看在同一时间段内生成的所有提醒 搜索时间范围。
    • 点击在提醒标签中查看可切换到此标签页上的提醒标签。 页面并开始针对所选实体的新搜索。
    • 点击图表上的某一条柱可切换到 Alerts 标签页, 并使用 所点击的条形的时间范围。
    • 点击展开链接可打开实体字段视图,并显示与相应素材资源关联的所有实体字段。要复制 实体字段复制到剪贴板,请点击实体旁边的复选框 字段中,依次点击查看操作复制实体。点击顶部的复选框,选择所有实体。
  • 相关 IOC:显示与资源关联的 IOC。IOC 具有较高严重级别的标签的广告会优先显示点击 IOC 名称可在右侧打开实体查看器。
  • 已关联的实体 - 显示此素材资源所属的其他实体 相关的用户,例如登录该资产的用户。该面板会显示实体的类型、在环境中首次出现的时间以及上次(最近一次)出现的时间。它还会显示与资产关联的所有命名空间。点击实体以打开实体上下文面板。点击显示 所有时间,以显示整个可用时间内的关联实体 句点,而不是在 UDM 搜索中指定的范围。
  • 实体上下文 - 显示有关所选实体的详细信息 关联的实体面板。此面板会显示不同的信息,具体取决于您在关联的实体面板中选择的实体类型(例如用户或网域)。
  • 前往旧版视图 - 前往旧版资产调查视图。如需了解详情,请参阅调查资产

网域详情

如果 UDM 搜索查询包含用于指定特定网域(例如 target.hostname="example.com")的条件,概览标签页会在以下面板中显示网域详细信息:

  • 搜索摘要:显示以下信息:
    • 有关域名的详细信息,包括 WHOIS 与所注册域名关联的任何信息, 以及上次(最近)出现的时间。 点击 VT Context(VT 上下文)可查看有关该网域的信息, VirusTotal。
    • 有关提醒的详细信息,包括显示提醒数量的图表 。该面板还会列出发出警报次数最多的一组规则。
    • 点击打开提醒和IOC,以查看在同一时间段内生成的所有提醒 搜索时间范围。
    • 点击在提醒标签中查看可切换到此标签页上的提醒标签。 页面并开始针对所选实体的新搜索。
    • 点击图表上的某个条柱,即可切换到此页面上的提醒标签页,并使用点击的条柱对所选实体发起新的搜索。
    • 点击查看更多链接,打开实体字段视图并 显示与网域关联的所有实体字段。如需将实体字段复制到剪贴板,请点击实体字段旁边的复选框,点击查看操作,然后点击复制实体。点击 复选框以选择所有实体。
  • 已解析的 IP 地址:显示贵企业中已针对完全限定域名 (FQDN) 看到的所有已解析 IP 地址。对于 例如,如果您搜索 target.hostname="test.altostrat.com", 搜索结果可能会显示两个已解析的 IP 地址(198.51.100.81203.0.113.81)。
  • 子网域和同级网域 - 显示所有关联的子网域 特定 FQDN 中被记录的数据。众多对手 使用相同的域名和子域名进行攻击。例如,如果您 搜索“target.hostname="sandbox.altostrat.com"”,此面板会显示 两个子网域:test.sandbox.altostrat.comstaging.sandbox.altostrat.com
  • 资产普及率:显示在 Google 安全运营账号中存储的数据的整个时间段内,贵企业中与该网域关联的资产数量。图表中的每个条形代表 您企业中连接到 网域。将鼠标悬停在条形图上即可显示 以柱形表示的世界协调时间 (UTC) 日期。点击实体名称,即可在右侧显示的实体上下文面板中查看实体摘要和概览。点击查看事件,在“搜索事件”标签页中查看与所选实体相关的事件。
  • 关联的实体 - 显示此网域所属的其他实体 例如与此网域联系过的资产列表 包括实体类型、实体在您的企业中首次出现的时间,以及 上次(最近)发现的时间。点击某个实体以打开实体上下文面板。
  • 实体上下文 - 显示您在关联的实体面板中选择的实体的详细信息。此面板显示的信息 具体取决于您在关联实体中选择的实体类型 (例如 IP 地址或域名)。
  • 转到旧版视图:转到旧版网域调查 视图。如需了解详情,请参阅调查网域

文件详细信息

当 UDM 搜索查询包含一个返回单个文件的条件时, 示例 principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a",则 Overview(概览)标签页显示文件详细信息,其中包含以下信息: 面板:

  • 搜索摘要 - 显示以下信息:
    • 文件的详细信息,包括哈希值、文件大小、首次在贵企业中出现的时间,以及上次(最近一次)出现的时间。点击 VT 上下文,即可查看以下位置中该文件的相关信息: VirusTotal。
    • 提醒的详细信息,包括一张图表,显示在搜索时间范围内涉及相应实体的提醒数量。该面板还会列出发出警报次数最多的一组规则。
    • 点击打开提醒和IOC,以查看在同一时间段内生成的所有提醒 搜索时间范围。
    • 点击在提醒标签中查看可切换到此标签页上的提醒标签。 页面并开始针对所选实体的新搜索。
    • 点击图表上的某一条柱可切换到 Alerts 标签页, 并使用 所点击的条形的时间范围。
    • 点击查看更多链接,打开实体字段视图并 显示与文件关联的所有实体字段。要复制 实体字段复制到剪贴板,请点击实体旁边的复选框 字段中,依次点击查看操作复制实体。点击 复选框以选择所有实体。
  • 相关 IOC - 显示与文件关联的 IOC。系统会先显示被分配更高严重程度的 IOC。点击 IOC 名称会打开 实体查看器。
  • 资产普及率 - 显示您企业中的资产数量 所存储数据的整个时间段内与文件相关联 您的 Google Security Operations 账号。
  • 关联的实体 - 显示此文件关联的其他实体,例如此文件的执行位置或访问过此文件的用户。该列表包含实体类型, 以及上次(最近)发现的时间。点击 实体以打开实体上下文面板。
  • VirusTotal 属性和元数据:显示 VirusTotal 数据库中与文件相关的信息。点击查看更多以打开 VirusTotal 对话框,并显示有关该文件的更多信息。
  • 关联的实体 - 根据您在关联的实体面板中选择的实体类型(例如用户或素材资源)显示不同的信息。
  • 实体上下文 - 显示有关所选实体的详细信息 关联实体面板中查看相关信息。此面板显示的信息 具体取决于您在关联实体中选择的实体类型 (例如用户或素材资源)。
  • 前往旧版视图:前往旧版文件调查页面 视图。如需了解详情,请参阅调查文件

IP 详情

当 UDM 搜索查询包含用于返回特定外部 IP 地址(例如 target.ip="203.0.113.254")的条件时,Overview(概览)标签页会在以下面板中显示 IP 详细信息:

  • 搜索摘要 - 显示以下信息:
    • IP 地址的详细信息,包括首次在贵企业内出现的时间和上次(最近一次)出现的时间。点击 VT 情境可查看 VirusTotal 提供的此 IP 地址的相关信息。
    • 有关提醒的详细信息,包括显示提醒数量的图表 。该面板还 列出了一条提醒数量最多的规则。
    • 点击打开提醒和IOC,以查看在同一时间段内生成的所有提醒 搜索时间范围。
    • 点击在提醒标签中查看可切换到此标签页上的提醒标签。 页面并开始针对所选实体的新搜索。
    • 点击图表上的某个条柱,即可切换到此页面上的提醒标签页,并使用点击的条柱对所选实体发起新的搜索。
    • 点击查看更多链接,打开实体字段视图并 显示与 IP 地址关联的所有实体字段。如需将实体字段复制到剪贴板,请点击实体字段旁边的复选框,点击查看操作,然后点击复制实体。点击 复选框以选择所有实体。
  • 相关 IOC - 显示与 IP 地址关联的 IOC。IOC 具有较高严重级别的标签的广告会优先显示点击 IOC 名称可在右侧打开实体查看器。
  • 资产普及率:显示企业在 UDM 搜索中指定的时间段内与 IP 地址关联的资产数量。
  • 关联的实体 - 显示使用此 IP 地址的其他实体 例如 IP 地址注册到的网域列表 包括实体类型、实体在您的企业中首次出现的时间,以及 上次(最近)发现的时间。点击实体以打开 实体上下文面板。
  • 实体上下文 - 显示您在关联的实体面板中选择的实体的详细信息。此面板显示的信息 具体取决于您在关联实体中选择的实体类型 面板(例如域名或素材资源)。如果显示了链接,请点击 VT Context,以查看 VirusTotal 中有关实体的信息。
  • 转到旧版视图 - 转到旧版 IP 地址调查 视图。如需了解详情,请参阅调查 IP 地址

用户详细信息

当 UDM 搜索查询包含返回特定用户的条件时, 例如 principal.user.userid="alice"Overview 标签页会显示 包含以下面板中信息的用户详细信息:

  • 搜索摘要:显示以下信息:
    • 实体的详细信息(包括全名),首次出现于 您的企业以及最近一次(最近)看到账号的时间、标题和电子邮件地址 地址。
    • 提醒的详细信息,包括一张图表,显示搜索时间范围内涉及相应实体的提醒数量。该面板还会列出发出警报次数最多的一组规则。
    • 点击打开提醒和IOC,以查看在同一时间段内生成的所有提醒 搜索时间范围。
    • 点击在提醒标签中查看可切换到此标签页上的提醒标签。 页面并开始针对所选实体的新搜索。
    • 点击图表上的某个条柱,即可切换到此页面上的提醒标签页,并使用点击的条柱对所选实体发起新的搜索。
    • 点击查看更多链接,打开实体字段视图并 显示与该用户关联的所有实体字段。如需将实体字段复制到剪贴板,请点击实体字段旁边的复选框,点击查看操作,然后点击复制实体。点击顶部的复选框,选择所有实体。
  • 关联的实体 - 显示此用户关联的实体,例如用户联系过的网域或用户访问过的资源。该列表包含实体的类型、在贵企业中首次出现的时间以及上次(最近一次)出现的时间。点击实体以打开该实体 上下文面板中查看相关信息。
  • 实体上下文 - 显示有关您在 关联的实体面板。此面板中的信息有所不同 具体取决于实体类型(例如资产或域名)。
  • 转到旧版视图:转到旧版用户调查 视图。如需更多信息 请参阅调查用户

“事件”标签页

事件标签页会显示在指定时间范围内与您的 UDM 搜索相关联的事件。这些事件列在“事件”表格中。点击事件的时间戳会打开一个对话框,其中会显示与该事件关联的资源和文件。点击其中任何一项都会打开实体情境面板,其中提供了有关实体的其他信息,包括所有关联提醒的列表,以及显示这些提醒随时间推移的频率的提醒图表。

有关 UDM 事件的信息,请参阅 UDM 的结构 事件

使用数据透视选项以打开数据透视设置。借助这些设置 使用表达式和函数根据 UDM 结果分析事件 搜索。如需了解详情,请参阅使用数据透视表分析事件

特定时间段内的趋势图

一段时间内的趋势图表会显示 UDM 搜索中指定时间段内的事件。提醒会以红色显示在图表下方。点击其中一个 柱形会将“事件”标签页的显示范围缩小到相应时间段。通过 与相应时段关联的活动会显示在“活动”表格中。

网域普遍性图表

网域普及率图表显示了网域的普遍性 与您搜索的内容相关。将鼠标悬停在某个 图表上的圆圈会显示特定的网域 仅搜索与该域相关的事件。图表仅显示 。

提醒标签

提醒标签页中,您可以显示与 UDM 搜索相关的提醒的详细信息。

  • 图表 - 显示一段时间内每个时间段的提醒数量 (英文句点因搜索时长而异)。 通过已过滤的提醒复选框,您可以查看或隐藏通过过滤条件选项处理的提醒。通过查询提醒复选框,您可以查看或隐藏 通过 UDM 搜索处理的所有警报。
  • 过滤条件:允许您根据列出的选项过滤提醒。例如,您可以点击严重程度,点击的菜单选项,然后选择仅显示。图表和表格会重新加载,以便仅显示严重程度为中度的提醒。
  • 提醒表格 - 显示与 UDM 搜索相关的提醒。 点击提醒即可打开提醒查看器,以显示更多信息。点击查看详情可打开提醒和 IOC 视图(请参阅查看提醒和 IOC)。如果 点击图表中的特定过滤条件栏后,系统只会显示与 会随该条显示。同样,如果您添加过滤条件,表格会重新加载,并仅显示与您的选择相关的提醒。