Usar la búsqueda de UDM para investigar una entidad

Compatible con:

Durante una investigación, puedes escribir una consulta de búsqueda de la AUA para mostrar detalles sobre una o más entidades (por ejemplo, una dirección IP, un usuario o un recurso), además de los eventos y las alertas que coinciden con los términos de la búsqueda.

En los sistemas que usan RBAC de datos, solo puedes ver los datos que coincidan con tus de los permisos de acceso. Para obtener más información, consulta Impacto del RBAC de datos en la Búsqueda.

Cuando una búsqueda incluye una condición que identifica una entidad específica (por ejemplo, principal.ip="10.0.31.20"), los resultados de la búsqueda incluyen detalles sobre la entidad (si está presente en tu empresa), además de los eventos de UDM que coinciden toda la consulta de búsqueda.

El panel de resultados de la búsqueda incluye las siguientes pestañas:

  • Descripción general: Detalles sobre uno o más objetivos entidades.
  • Eventos: Resultados de la búsqueda que coinciden con toda la búsqueda. una consulta y un intervalo de tiempo de búsqueda.
  • Alertas: alertas generadas por eventos que coinciden con en toda la búsqueda.

Las condiciones de búsqueda de la UDM pueden incluir campos de la UDM (principal.hostname="alice") y campos agrupados (hostname="alice").

La búsqueda de la AUA puede incluir varias condiciones, cada una de las cuales especifica un identificador de entidad diferente. Estos son algunos ejemplos de consultas:

  • principal.hostname="alicehost" and user="alice"
  • principal.hostname="alicehost" and (user="kai" or user="alice")
  • principal.hostname="alicehost" and target.hostname="altostrat.com"
  • principal.hostname="alicehost" and hash="40a80612aaa8a8a36aa82a1278aaa02a"
  • hostname="alicehost" and domain=/altostrat.com/ nocase
  • user="alice" and domain=/altostrat.com/ nocase

En la siguiente tabla, se incluyen ejemplos de búsquedas de UDM para una o más entidades y el tipo de información que se muestra:

Tipo de información Ejemplos de búsquedas de UDM
Recurso
  • hostname="laptop-kai"
  • principal.hostname="laptop-kai"
  • principal.ip="10.0.0.76" //(private IP address)
  • principal.mac="c5:0c:9c:aa:bb:c4"
  • principal.hostname="laptop-kai" and metadata.event_type = "NETWORK_CONNECTION"
  • hostname="laptop-kai" or hostname="desktop-kai"
Dominio
  • domain="example.com"
  • target.hostname="example.com"
Archivo
  • hash="44a88612faa8a8f36ae82a1278aaa02a"
  • principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a"
IP
  • ip="8.8.8.8"
  • target.ip="203.0.113.204" //(public IP address)
Usuario
  • user="alice"
  • target.user.email_address="smitha@example.com"
  • principal.user.userid="alice" or target.user.userid = "smitha"
  • email="john@altostrat.com" or email="alice@example.com"
  • principal.user.userid="smitha"

Pestaña Overview (Descripción general)

En la pestaña Resumen, se muestra la información de la entidad en uno de los siguientes tipos de información predefinidos. La información presentada varía según el el tipo de información.

Detalles del recurso

Cuando la búsqueda de UDM incluye una condición que devuelve un recurso específico, Por ejemplo, principal.hostname="laptop-will" o principal.ip="10.0.0.76", el La pestaña Resumen muestra la vista de recursos con la siguiente información: paneles:

  • Resumen de la Búsqueda: Muestra la siguiente información:
    • Detalles sobre la entidad, incluidas la dirección IP y la dirección MAC asociadas con el recurso durante el período de búsqueda La dirección IP y la dirección MAC también se pueden usar para identificar una entidad y pueden Se hizo clic para mostrar información adicional en el visualizador de entidades. También muestra la primera vez que el recurso se vio en tu empresa y cuándo fue la última vez que se vio. Puedes hacer clic en cualquiera de las marcas de tiempo (primera o última) para ejecutar una búsqueda nueva con ese tiempo.
    • Detalles sobre las alertas, incluido un gráfico que muestra el número de alertas que involucró a la entidad dentro del intervalo de tiempo de búsqueda. El panel también muestra un subconjunto de reglas con la mayor cantidad de alertas.
    • Haz clic en Abrir alertas y indicadores de compromiso (IOCs) para ver todas las alertas que se generaron durante la misma un intervalo de tiempo de búsqueda.
    • Haz clic en Ver en la pestaña Alertas para cambiar a la pestaña Alertas en esta y comenzarás una nueva búsqueda con la entidad seleccionada.
    • Haz clic en una de las barras del gráfico para cambiar a la pestaña Alertas en esta página y comenzarás una nueva búsqueda con la entidad seleccionada usando el el intervalo de tiempo de la barra en la que se hizo clic.
    • Haz clic en el vínculo Ver más para abrir la vista Campos de entidad y mostrar todos los campos de entidad asociados con el activo. Para copiar un al portapapeles, haz clic en la casilla de verificación junto a la entidad haz clic en Ver acciones y, luego, en Copiar entidad. Haz clic en el ícono en la parte superior para seleccionar todas las entidades.
  • IOC relevantes: Muestra los IOC asociados con el activo. IOC con una gravedad más alta se muestran primero. Si haces clic en el nombre del IOC, se abrirá el visualizador de entidades a la derecha.
  • Entidades asociadas: Muestra otras entidades con las que se relaciona este activo, como los usuarios que accedieron a él. El panel muestra de entidad, cuándo se vio por primera vez en el entorno y cuándo por última vez (la última vez) que se vio. También muestra los espacios de nombres asociados con un activo. Haz clic en una entidad para abrir el panel Contexto de la entidad (Entity context). Haz clic en Mostrar Todo el tiempo para mostrar las entidades asociadas durante todo el tiempo disponible a diferencia del intervalo especificado en la búsqueda de UDM.
  • Contexto de la entidad: Muestra detalles sobre la entidad que seleccionaste en el panel Entidades asociadas. En este panel, se muestra información diferente según el tipo de entidad que seleccionaste en el panel Entidades asociadas (por ejemplo, usuario o dominio).
  • Ir a la vista heredada: Navega a la vista de investigación de Recurso heredada. Para obtener más información, consulta Cómo investigar un recurso.

Detalles del dominio

Cuando la búsqueda de UDM incluye una condición que especifica un dominio específico, (por ejemplo, target.hostname="example.com"), la pestaña Overview muestra el Detalles del dominio con información en los siguientes paneles:

  • Resumen de la Búsqueda: Muestra la siguiente información:
    • Detalles sobre el dominio, incluido el WHOIS asociada con el dominio registrado, la primera vez que se en su empresa y la última vez (más reciente) que se vio. Haz clic en VT Context para ver información sobre el dominio de VirusTotal.
    • Detalles sobre las alertas, incluido un gráfico que muestra la cantidad de alertas que involucraron a la entidad dentro del período de búsqueda. El panel también muestra un subconjunto de reglas con la mayor cantidad de alertas.
    • Haz clic en Abrir alertas y indicadores de compromiso (IOCs) para ver todas las alertas que se generaron durante la misma un intervalo de tiempo de búsqueda.
    • Haz clic en Ver en la pestaña Alertas para cambiar a la pestaña Alertas en esta y comenzarás una nueva búsqueda con la entidad seleccionada.
    • Haz clic en una de las barras del gráfico para cambiar a la pestaña Alertas en esta página y comenzarás una nueva búsqueda con la entidad seleccionada usando el el intervalo de tiempo de la barra en la que se hizo clic.
    • Haz clic en el vínculo Ver más para abrir la vista Campos de entidad y mostrar todos los campos de entidad asociados con el dominio. Para copiar un al portapapeles, haz clic en la casilla de verificación junto a la entidad haz clic en Ver acciones y, luego, en Copiar entidad. Haz clic en la casilla de verificación en la parte superior para seleccionar todas las entidades.
  • IP resueltas: muestra todas las direcciones IP resueltas que se que se ve en su empresa para el nombre de dominio completamente calificado (FQDN). Para Por ejemplo, si buscas target.hostname="test.altostrat.com", el los resultados de la búsqueda podrían mostrar dos direcciones IP resueltas (198.51.100.81 y 203.0.113.81).
  • Subdominios y dominios del mismo nivel: Muestra todos los subdominios asociados. que se hayan visto en tu empresa para un FQDN determinado. Muchos adversarios usan el mismo dominio y subdominio para sus ataques. Por ejemplo, si buscas target.hostname="sandbox.altostrat.com", este panel mostrará dos subdominios, test.sandbox.altostrat.com y staging.sandbox.altostrat.com.
  • Prevalencia de recursos: Muestra la cantidad de recursos en tu empresa. que se hayan conectado al dominio durante todo el período de tiempo de los datos almacenados en tu cuenta de Google Security Operations. Cada barra del gráfico representa la cantidad de recursos únicos de tu empresa que están conectados al dominio en un día UTC. Si colocas el cursor sobre una barra, se mostrarán las entidades relacionadas en el día UTC representado por la barra. Haz clic en el nombre de la entidad para ver su resumen y descripción general en el panel contextual de la entidad que se muestra a la derecha. Haz clic en Ver eventos para ver los eventos relacionados con la entidad seleccionada en la pestaña de eventos de búsqueda.
  • Entidades asociadas: Muestra otras entidades con las que se relaciona este dominio, como los recursos que se comunicaron con él. La lista Incluye el tipo de entidad, cuándo se vio por primera vez en tu empresa y cuando se vio por última vez (la última vez). Haz clic en una entidad para abrir el elemento Entity de contexto.
  • Contexto de la entidad: Muestra detalles sobre la entidad que seleccionaste. el panel Entidades asociadas En este panel, se muestra información diferente según el tipo de entidad que hayas seleccionado en el panel Entidades asociadas (por ejemplo, dirección IP o dominio).
  • Ir a la vista heredada: Navega a la investigación de Dominio heredada vista. Para obtener más información, consulta Investiga un dominio.

Detalles del archivo

Cuando la consulta de búsqueda de UDM incluye una condición que devuelve un solo archivo, por principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a" de ejemplo, el En la pestaña Overview, se muestran los detalles de File con la siguiente información: paneles:

  • Resumen de la Búsqueda: Muestra la siguiente información:
    • Detalles sobre el archivo, incluidos los valores de hash, el tamaño del archivo, la primera vez que se vio en tu empresa y la última vez (más reciente) que se vio Haz clic en Contexto de VT para ver información sobre el archivo de VirusTotal.
    • Detalles sobre las alertas, incluido un gráfico que muestra la cantidad de alertas que involucró a la entidad dentro del intervalo de tiempo de búsqueda. El panel también muestra un subconjunto de reglas con la mayor cantidad de alertas.
    • Haz clic en Abrir alertas y indicadores de compromiso (IOCs) para ver todas las alertas que se generaron durante la misma un intervalo de tiempo de búsqueda.
    • Haz clic en Ver en la pestaña Alertas para cambiar a la pestaña Alertas en esta y comenzarás una nueva búsqueda con la entidad seleccionada.
    • Haz clic en una de las barras del gráfico para cambiar a la pestaña Alertas en esta página y comenzarás una nueva búsqueda con la entidad seleccionada usando el el intervalo de tiempo de la barra en la que se hizo clic.
    • Haz clic en el vínculo Ver más para abrir la vista Campos de la entidad y Mostrar todos los campos de entidad asociados con el archivo Para copiar un al portapapeles, haz clic en la casilla de verificación junto a la entidad haz clic en Ver acciones y, luego, en Copiar entidad. Haz clic en el ícono en la parte superior para seleccionar todas las entidades.
  • IOC relevantes: Muestra los IOC asociados con el archivo. IOC con una gravedad más alta se muestran primero. Si haces clic en el nombre del IOC, se abrirá el visualizador de entidades a la derecha.
  • Prevalencia de recursos: Muestra la cantidad de recursos en tu empresa. asociados con el archivo durante todo el período de tiempo de los datos almacenados en tu cuenta de Google Security Operations.
  • Entidades asociadas: Muestra otras entidades incluidas en este archivo. relacionados, como un recurso en el que se ejecutó este archivo o los usuarios que accedió al archivo. La lista incluye el tipo de entidad, cuando se incluyó por primera vez. en su empresa y cuándo fue la última vez que se vio. Haz clic en un para abrir el panel Contexto de la entidad.
  • Propiedades de VirusTotal y Metadatos: Muestra información sobre la de la base de datos de VirusTotal. Haz clic en Ver más para abrir un VirusTotal. y muestra información adicional sobre el archivo.
  • Entidades asociadas: muestra información diferente según el tipo de entidad que seleccionaste en el panel Entidades asociadas (para el ejemplo, usuario o recurso).
  • Contexto de la entidad: Muestra detalles sobre la entidad que seleccionaste en el panel Entidades asociadas. Este panel muestra información diferente según el tipo de entidad que hayas seleccionado en la sección Entidades asociadas panel (por ejemplo, usuario o recurso).
  • Ir a la vista heredada: Navega a la vista de investigación de Archivo heredada. Para obtener más información, consulta Cómo investigar un archivo.

Detalles de IP

Cuando la búsqueda de UDM incluye una condición que devuelve un valor externo específico dirección IP pública, por ejemplo target.ip="203.0.113.254", el La pestaña Descripción general muestra los detalles de IP con la siguiente información: paneles:

  • Resumen de la Búsqueda: Muestra la siguiente información:
    • Detalles sobre la dirección IP, incluida la primera vez que se vio en su empresa y la última vez (más reciente) que se vio. Haz clic en VT Context para ver la información disponible sobre esta dirección IP de VirusTotal.
    • Detalles sobre las alertas, incluido un gráfico que muestra el número de alertas que involucró a la entidad dentro del intervalo de tiempo de búsqueda. El panel también muestra un subconjunto de reglas con la mayor cantidad de alertas.
    • Haz clic en Abrir alertas y indicadores de compromiso (IOCs) para ver todas las alertas que se generaron durante la misma un intervalo de tiempo de búsqueda.
    • Haz clic en Ver en la pestaña Alertas para cambiar a la pestaña Alertas en esta y comenzarás una nueva búsqueda con la entidad seleccionada.
    • Haz clic en una de las barras del gráfico para cambiar a la pestaña Alertas en esta página y comenzarás una nueva búsqueda con la entidad seleccionada usando el el intervalo de tiempo de la barra en la que se hizo clic.
    • Haz clic en el vínculo Ver más para abrir la vista Campos de la entidad y mostrar todos los campos de entidad asociados con la dirección IP Para copiar un campo de entidad al portapapeles, haz clic en la casilla de verificación junto a la entidad haz clic en Ver acciones y, luego, en Copiar entidad. Haz clic en el ícono en la parte superior para seleccionar todas las entidades.
  • IOC relevantes: Muestra los IOC asociados con la dirección IP. IOC con una gravedad más alta se muestran primero. Si haces clic en el nombre del IOC, se abrirá el visualizador de entidades a la derecha.
  • Prevalencia de recursos: Muestra la cantidad de recursos en tu empresa. que se conectaron a una dirección IP durante el período especificado en la Búsqueda de UDM.
  • Entidades asociadas: Muestra otras entidades con las que se relaciona esta dirección IP, como los dominios en los que está registrada. La lista Incluye el tipo de entidad, cuándo se vio por primera vez en tu empresa y cuando se vio por última vez (la última vez). Haz clic en una entidad para abrir la Panel Entity context (Contexto de la entidad).
  • Contexto de la entidad: Muestra detalles sobre la entidad que seleccionaste en el panel Entidades asociadas. Este panel muestra información diferente según el tipo de entidad que hayas seleccionado en la sección Entidades asociadas (por ejemplo, dominio o recurso). Si se muestra el vínculo, haz clic en VT Context para ver información sobre la entidad de VirusTotal.
  • Ir a la vista heredada: Navega a la vista de investigación de dirección IP heredada. Para obtener más información, consulta Cómo investigar una dirección IP.

Detalles del usuario

Cuando la búsqueda de la AUA incluye una condición que muestra un usuario específico, por ejemplo, principal.user.userid="alice", la pestaña Resumen muestra los detalles del usuario con información en los siguientes paneles:

  • Resumen de la búsqueda: Muestra la siguiente información:
    • Detalles sobre la entidad, incluidos el nombre completo, la primera vez que se vio en tu empresa y la última vez (la más reciente), el título y la dirección de correo electrónico
    • Detalles sobre las alertas, incluido un gráfico que muestra la cantidad de alertas que involucraron a la entidad dentro del período de búsqueda El panel también muestra un subconjunto de reglas con la mayor cantidad de alertas.
    • Haz clic en Abrir alertas y indicadores de compromiso (IOCs) para ver todas las alertas que se generaron durante la misma un intervalo de tiempo de búsqueda.
    • Haz clic en Ver en la pestaña Alertas para cambiar a la pestaña Alertas en esta y comenzarás una nueva búsqueda con la entidad seleccionada.
    • Haz clic en una de las barras del gráfico para cambiar a la pestaña Alertas en esta página y comenzarás una nueva búsqueda con la entidad seleccionada usando el el intervalo de tiempo de la barra en la que se hizo clic.
    • Haz clic en el vínculo Ver más para abrir la vista Campos de la entidad y mostrar todos los campos de entidad asociados con el usuario Para copiar un al portapapeles, haz clic en la casilla de verificación junto a la entidad haz clic en Ver acciones y, luego, en Copiar entidad. Haz clic en el ícono en la parte superior para seleccionar todas las entidades.
  • Entidades asociadas: Muestra las entidades con las que está relacionada el usuario como los dominios con los que se comunicó el usuario o los recursos a los que accedió. La lista incluye el tipo de entidad, cuándo se vio por primera vez en tu empresa y cuándo se vio por última vez. Haz clic en una entidad para abrir el panel Contexto de la entidad.
  • Contexto de la entidad: Muestra detalles sobre la entidad que seleccionas en el panel Entidades asociadas. La información de este panel es diferente según el tipo de entidad (por ejemplo, activo o dominio).
  • Ir a la vista heredada: Navega a la investigación de Usuarios heredada vista. Para obtener más información, consulta Cómo investigar a un usuario.

Pestaña Eventos

La pestaña Eventos muestra los eventos conectados a tu búsqueda de UDM en la durante un período determinado. Estos eventos se enumeran en la tabla Eventos. Al hacer clic en un marca de tiempo del evento abre un diálogo que muestra los recursos y archivos asociados con el evento. Si haces clic en cualquiera de estos elementos, se abrirá el panel Contexto de la entidad (Entity context) que brinda información adicional sobre la entidad, incluida una lista de todos alertas asociadas y un gráfico de alerta que muestra la frecuencia de esas alertas en tiempo.

Para obtener información sobre los eventos de UDM, consulte Estructura de una UDM. Evento.

Usa la opción Tabla dinámica para abrir la Configuración de Tabla dinámica. Esta configuración te permite Analizar eventos usando expresiones y funciones con respecto a los resultados de la UDM Búsqueda. Para obtener más información, consulta Cómo usar la tabla dinámica para analizar eventos.

Gráfico de tendencias en el tiempo

El gráfico Tendencia a lo largo del tiempo muestra los eventos durante el período especificado en la búsqueda de la AUA. Las alertas se muestran en rojo debajo del gráfico. Al hacer clic en uno de Las barras reducen el enfoque de la pestaña Eventos a ese período. El los eventos asociados con ese horario disponible se muestran en la tabla Eventos.

Gráfico de prevalencia de dominios

El gráfico Prevalencia del dominio muestra la prevalencia de los dominios. asociados con la búsqueda en tu empresa. Si colocas el cursor sobre uno de los Los círculos del gráfico muestran el dominio específico y te permiten acotar tus buscar solo en eventos asociados con ese dominio. Solo se muestra el gráfico si tu búsqueda de UDM incluye un dominio.

Pestaña Alertas

La pestaña Alertas te permite mostrar información detallada sobre las alertas. conectada a tu búsqueda de UDM.

  • Gráfico: muestra la cantidad de alertas por período a lo largo del tiempo especificadas en la búsqueda de UDM (el período varía según la duración de la búsqueda). El La casilla de verificación Alertas filtradas permite ver u ocultar las alertas que procesamos las opciones de Filtros. La casilla de verificación Alertas de consulta te permite ver u ocultar todas las alertas procesadas por la búsqueda de UDM.
  • Filtros: Te permiten filtrar alertas según las opciones que aparecen. Por ejemplo, puedes hacer clic en Gravedad, en la opción de menú de Media y seleccionar Mostrar solo. El gráfico y la tabla se vuelven a cargar para mostrar solo el alertas con gravedad media.
  • Tabla Alertas: Muestra las alertas asociadas con la búsqueda de UDM. Si haces clic en una alerta, se abrirá el Visor de alertas para mostrar información información. Si haces clic en Ver detalles, se abrirá la vista IOC y alertas. (consulta Ver IOC y alertas). Si haces clic en una barra de filtro específica del gráfico, solo se mostrarán con esa barra. Del mismo modo, si agregas filtros, la tabla se vuelve a cargar y solo se muestran las alertas vinculadas a tus selecciones.