Usa la Búsqueda de UDM para investigar una entidad

Compatible con:

Durante una investigación, puedes escribir una búsqueda de UDM para mostrar detalles sobre una o más entidades (por ejemplo, una dirección IP, un usuario o un activo) además de los eventos y las alertas que coinciden con los términos de la búsqueda.

En los sistemas que usan el RBAC de datos, solo puedes ver los datos que coinciden con tus permisos. Para obtener más información, consulta el impacto del RBAC de datos en la Búsqueda.

Cuando una búsqueda incluye una condición que identifica una entidad específica (por ejemplo, principal.ip="10.0.31.20"), los resultados de la búsqueda incluyen detalles sobre la entidad (si está presente en tu empresa), además de los eventos del UDM que coinciden con toda la búsqueda.

El panel de resultados de la búsqueda incluye las siguientes pestañas:

  • Resumen: Detalles sobre una o más entidades específicas
  • Eventos: Son los resultados de la búsqueda que coinciden con toda la consulta de búsqueda y el período de búsqueda.
  • Alertas: Son alertas generadas por eventos que coinciden con toda la búsqueda.

Las condiciones de la búsqueda de UDM pueden incluir tanto campos de UDM (principal.hostname="alice") como campos agrupados (hostname="alice").

La búsqueda de UDM puede incluir varias condiciones, cada una de las cuales especifica un identificador de entidad diferente. Estos son algunos ejemplos de consultas:

  • principal.hostname="alicehost" and user="alice"
  • principal.hostname="alicehost" and (user="kai" or user="alice")
  • principal.hostname="alicehost" and target.hostname="altostrat.com"
  • principal.hostname="alicehost" and hash="40a80612aaa8a8a36aa82a1278aaa02a"
  • hostname="alicehost" and domain=/altostrat.com/ nocase
  • user="alice" and domain=/altostrat.com/ nocase

En la siguiente tabla, se incluyen ejemplos de consultas de búsqueda de UDM para una o más entidades y el tipo de información que se muestra:

Tipo de información Ejemplo de consultas de búsqueda de UDM
Recurso
  • hostname="laptop-kai"
  • principal.hostname="laptop-kai"
  • principal.ip="10.0.0.76" //(private IP address)
  • principal.mac="c5:0c:9c:aa:bb:c4"
  • principal.hostname="laptop-kai" and metadata.event_type = "NETWORK_CONNECTION"
  • hostname="laptop-kai" or hostname="desktop-kai"
Dominio
  • domain="example.com"
  • target.hostname="example.com"
Archivo
  • hash="44a88612faa8a8f36ae82a1278aaa02a"
  • principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a"
IP
  • ip="8.8.8.8"
  • target.ip="203.0.113.204" //(public IP address)
Usuario
  • user="alice"
  • target.user.email_address="smitha@example.com"
  • principal.user.userid="alice" or target.user.userid = "smitha"
  • email="john@altostrat.com" or email="alice@example.com"
  • principal.user.userid="smitha"

Pestaña de descripción general

En la pestaña Resumen, se muestra la información de la entidad en uno de los siguientes tipos de información predefinidos. La información que se presenta varía según el tipo de información.

Detalles del recurso

Cuando la búsqueda de UDM incluye una condición que devuelve un activo específico, por ejemplo, principal.hostname="laptop-will" o principal.ip="10.0.0.76", en la pestaña Descripción general, se muestra la Vista de activos con información en los siguientes paneles:

  • Resumen de la búsqueda: Muestra la siguiente información:
    • Detalles sobre la entidad, incluidas la dirección IP y la dirección MAC asociadas con el activo durante el período de búsqueda. La dirección IP y la dirección MAC también se pueden usar para identificar una entidad y se puede hacer clic en ellas para mostrar información adicional en el visualizador de entidades. También se muestra la primera vez que se vio el activo en tu empresa y cuándo se vio por última vez (más recientemente). Puedes hacer clic en cualquiera de las marcas de tiempo (primera o última) para ejecutar una nueva búsqueda con esa hora.
    • Detalles sobre las alertas, incluido un gráfico que muestra la cantidad de alertas que involucraron a la entidad dentro del período de búsqueda En el panel, también se muestra una lista de un subconjunto de reglas con la mayor cantidad de alertas.
    • Haz clic en Abrir alertas y IOC para ver todas las alertas generadas durante el mismo período de búsqueda.
    • Haz clic en Ver en la pestaña Alertas para cambiar a la pestaña Alertas en esta página y comenzar una nueva búsqueda en la entidad seleccionada.
    • Haz clic en una de las barras del gráfico para cambiar a la pestaña Alertas en esta página y comenzar una nueva búsqueda en la entidad seleccionada, con el intervalo de tiempo de la barra en la que hiciste clic.
    • Haz clic en el vínculo Ver más para abrir la vista Campos de entidad y mostrar todos los campos de entidad asociados con el activo. Para copiar un campo de entidad en el portapapeles, haz clic en la casilla de verificación junto al campo de entidad, luego en Ver acciones y, por último, en Copiar entidad. Haz clic en la casilla de verificación que se encuentra en la parte superior para seleccionar todas las entidades.
  • IOCs relevantes: Muestra los IOCs asociados con el activo. Los IOC a los que se les asignó una gravedad mayor se muestran primero. Si haces clic en el nombre del IOC, se abrirá el visualizador de entidades a la derecha.
  • Entidades asociadas: Muestra otras entidades con las que se relaciona este activo, como los usuarios que accedieron a él. En el panel, se muestran el tipo de entidad, el momento en que se vio por primera vez en el entorno y el momento en que se vio por última vez (más recientemente). También muestra los espacios de nombres asociados a un activo. Haz clic en una entidad para abrir el panel Contexto de la entidad. Haz clic en Mostrar todo el período para mostrar las entidades asociadas durante todo el período disponible, en lugar del rango especificado en la búsqueda del UDM.
  • Contexto de la entidad: Muestra detalles sobre la entidad que seleccionaste en el panel Entidades asociadas. En este panel, se muestra información diferente según el tipo de entidad que seleccionaste en el panel Entidades asociadas (por ejemplo, usuario o dominio).
  • Go to legacy view: Navega a la vista heredada de investigación de Activos. Para obtener más información, consulta Cómo investigar un activo.

Detalles del dominio

Cuando la búsqueda de UDM incluye una condición que especifica un dominio determinado, por ejemplo, target.hostname="example.com", en la pestaña Overview, se muestran los detalles de Domain con información en los siguientes paneles:

  • Resumen de la búsqueda: Muestra la siguiente información:
    • Detalles sobre el dominio, incluida la información de WHOIS asociada al dominio registrado, la primera vez que se vio en tu empresa y la última vez (más reciente) que se vio. Haz clic en VT Context para ver información sobre el dominio de VirusTotal.
    • Detalles sobre las alertas, incluido un gráfico que muestra la cantidad de alertas que involucraron a la entidad dentro del período de búsqueda En el panel, también se muestra una lista de un subconjunto de reglas con la mayor cantidad de alertas.
    • Haz clic en Abrir alertas y IOC para ver todas las alertas generadas durante el mismo período de búsqueda.
    • Haz clic en Ver en la pestaña Alertas para cambiar a la pestaña Alertas en esta página y comenzar una nueva búsqueda en la entidad seleccionada.
    • Haz clic en una de las barras del gráfico para cambiar a la pestaña Alertas en esta página y comenzar una nueva búsqueda en la entidad seleccionada, con el intervalo de tiempo de la barra en la que hiciste clic.
    • Haz clic en el vínculo Ver más para abrir la vista Campos de entidad y mostrar todos los campos de entidad asociados con el dominio. Para copiar un campo de entidad en el portapapeles, haz clic en la casilla de verificación junto al campo de entidad, luego en Ver acciones y, por último, en Copiar entidad. Haz clic en la casilla de verificación que se encuentra en la parte superior para seleccionar todas las entidades.
  • IPs resueltas: Muestra todas las direcciones IP resueltas que se vieron en tu empresa para el nombre de dominio completamente calificado (FQDN). Por ejemplo, si buscas target.hostname="test.altostrat.com", es posible que los resultados de la búsqueda muestren dos direcciones IP resueltas (198.51.100.81 y 203.0.113.81).
  • Subdominios y dominios hermanos: Muestra todos los subdominios asociados que se vieron en tu empresa para un FQDN determinado. Muchos adversarios usan el mismo dominio y subdominio para sus ataques. Por ejemplo, si buscas target.hostname="sandbox.altostrat.com", en este panel se muestran dos subdominios, test.sandbox.altostrat.com y staging.sandbox.altostrat.com.
  • Prevalence of assets: Muestra la cantidad de activos de tu empresa que se conectaron al dominio durante todo el período de los datos almacenados en tu cuenta de Google Security Operations. Cada barra del gráfico representa la cantidad de activos únicos de tu empresa que se conectaron al dominio en un día UTC. Si te desplazas sobre una barra, se muestran las entidades relacionadas en el día en UTC que representa la barra. Haz clic en el nombre de la entidad para ver su resumen y descripción general en el panel de contexto de la entidad que se muestra a la derecha. Haz clic en Ver eventos para ver los eventos relacionados con la entidad seleccionada en la pestaña de eventos de búsqueda.
  • Entidades asociadas: Muestra otras entidades con las que se relaciona este dominio, como los recursos que se comunicaron con él. La lista incluye el tipo de entidad, cuándo se vio por primera vez en tu empresa y cuándo se vio por última vez (más recientemente). Haz clic en una entidad para abrir el panel Contexto de la entidad.
  • Contexto de la entidad: Muestra detalles sobre la entidad que seleccionaste en el panel Entidades asociadas. En este panel, se muestra información diferente según el tipo de entidad que seleccionaste en el panel Entidades asociadas (por ejemplo, dirección IP o dominio).
  • Ir a la vista heredada: Navega a la vista heredada de investigación de Dominio. Para obtener más información, consulta Cómo investigar un dominio.

Detalles del archivo

Cuando la búsqueda en el UDM incluye una condición que devuelve un solo archivo, por ejemplo, principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a", la pestaña Descripción general muestra los detalles del Archivo con información en los siguientes paneles:

  • Resumen de la búsqueda: Muestra la siguiente información:
    • Detalles sobre el archivo, incluidos los valores hash, el tamaño del archivo, la primera vez que se vio en tu empresa y la última vez (más reciente) que se vio. Haz clic en VT Context para ver información sobre el archivo de VirusTotal.
    • Detalles sobre las alertas, incluido un gráfico que muestra la cantidad de alertas que involucraron a la entidad dentro del período de búsqueda En el panel, también se muestra una lista de un subconjunto de reglas con la mayor cantidad de alertas.
    • Haz clic en Abrir alertas y IOC para ver todas las alertas generadas durante el mismo período de búsqueda.
    • Haz clic en Ver en la pestaña Alertas para cambiar a la pestaña Alertas en esta página y comenzar una nueva búsqueda en la entidad seleccionada.
    • Haz clic en una de las barras del gráfico para cambiar a la pestaña Alertas en esta página y comenzar una nueva búsqueda en la entidad seleccionada, con el intervalo de tiempo de la barra en la que hiciste clic.
    • Haz clic en el vínculo Ver más para abrir la vista Campos de entidad y mostrar todos los campos de entidad asociados con el archivo. Para copiar un campo de entidad en el portapapeles, haz clic en la casilla de verificación junto al campo de entidad, luego en Ver acciones y, por último, en Copiar entidad. Haz clic en la casilla de verificación que se encuentra en la parte superior para seleccionar todas las entidades.
  • IOCs relevantes: Muestra los IOC asociados con el archivo. Los IOC a los que se les asignó una gravedad mayor se muestran primero. Si haces clic en el nombre del IOC, se abrirá el visualizador de entidades a la derecha.
  • Prevalence of assets: Muestra la cantidad de recursos de tu empresa asociados con el archivo durante todo el período de los datos almacenados en tu cuenta de Google SecOps.
  • Entidades asociadas: Muestra otras entidades con las que se relaciona este archivo, como un activo en el que se ejecutó este archivo o los usuarios que accedieron a él. La lista incluye el tipo de entidad, la primera vez que se vio en tu empresa y la última vez (más reciente) que se vio. Haz clic en una entidad para abrir el panel Contexto de la entidad.
  • Propiedades y metadatos de VirusTotal: Muestra información sobre el archivo de la base de datos de VirusTotal. Haz clic en Ver más para abrir un diálogo de VirusTotal y mostrar información adicional sobre el archivo.
  • Entidades asociadas: Muestra información diferente según el tipo de entidad que seleccionaste en el panel Entidades asociadas (por ejemplo, usuario o activo).
  • Contexto de la entidad: Muestra detalles sobre la entidad que seleccionaste en el panel Entidades asociadas. En este panel, se muestra información diferente según el tipo de entidad que seleccionaste en el panel Entidades asociadas (por ejemplo, usuario o activo).
  • Go to legacy view: Navega a la vista heredada de la investigación de Archivo. Para obtener más información, consulta Cómo investigar un archivo.

Detalles de IP

Cuando la búsqueda de UDM incluye una condición que devuelve una dirección IP externa específica, por ejemplo, target.ip="203.0.113.254", la pestaña Overview muestra los detalles de la IP con información en los siguientes paneles:

  • Resumen de la búsqueda: Muestra la siguiente información:
    • Detalles sobre la dirección IP, incluida la primera vez que se vio en tu empresa y la última vez (más reciente) que se vio. Haz clic en Contexto de VT para ver la información disponible sobre esta dirección IP en VirusTotal.
    • Detalles sobre las alertas, incluido un gráfico que muestra la cantidad de alertas que involucraron a la entidad dentro del período de búsqueda En el panel, también se muestra una lista de un subconjunto de reglas con la mayor cantidad de alertas.
    • Haz clic en Abrir alertas y IOC para ver todas las alertas generadas durante el mismo período de búsqueda.
    • Haz clic en Ver en la pestaña Alertas para cambiar a la pestaña Alertas en esta página y comenzar una nueva búsqueda en la entidad seleccionada.
    • Haz clic en una de las barras del gráfico para cambiar a la pestaña Alertas en esta página y comenzar una nueva búsqueda en la entidad seleccionada, con el intervalo de tiempo de la barra en la que hiciste clic.
    • Haz clic en el vínculo Ver más para abrir la vista Campos de la entidad y mostrar todos los campos de la entidad asociados con la dirección IP. Para copiar un campo de entidad en el portapapeles, haz clic en la casilla de verificación junto al campo de entidad, haz clic en Ver acciones y, luego, en Copiar entidad. Haz clic en la casilla de verificación que se encuentra en la parte superior para seleccionar todas las entidades.
  • IOCs relevantes: Muestra los IOCs asociados a la dirección IP. Los IOC a los que se les asignó una gravedad mayor se muestran primero. Si haces clic en el nombre del IOC, se abrirá el visualizador de entidades a la derecha.
  • Prevalencia de activos: Muestra la cantidad de activos de tu empresa que se conectaron a la dirección IP durante el período especificado en la búsqueda del UDM.
  • Entidades asociadas: Muestra otras entidades con las que se relaciona esta dirección IP, como los dominios en los que está registrada. La lista incluye el tipo de entidad, cuándo se vio por primera vez en tu empresa y cuándo se vio por última vez (más recientemente). Haz clic en una entidad para abrir el panel Contexto de la entidad.
  • Contexto de la entidad: Muestra detalles sobre la entidad que seleccionaste en el panel Entidades asociadas. En este panel, se muestra información diferente según el tipo de entidad que seleccionaste en el panel Entidades asociadas (por ejemplo, dominio o recurso). Si se muestra el vínculo, haz clic en Contexto de VT para ver la información de la entidad en VirusTotal.
  • Ir a la vista heredada: Navega a la vista heredada de investigación de direcciones IP. Para obtener más información, consulta Cómo investigar una dirección IP.

Detalles del usuario

Cuando la búsqueda de UDM incluye una condición que devuelve un usuario específico, por ejemplo, principal.user.userid="alice", en la pestaña Resumen, se muestran los detalles del usuario con información en los siguientes paneles:

  • Resumen de la búsqueda: Muestra la siguiente información:
    • Detalles sobre la entidad, incluidos el nombre completo, la primera vez que se vio en tu empresa y la última vez (más reciente) que se vio, el título y la dirección de correo electrónico.
    • Detalles sobre las alertas, incluido un gráfico que muestra la cantidad de alertas que involucraron a la entidad dentro del período de búsqueda En el panel, también se muestra una lista de un subconjunto de reglas con la mayor cantidad de alertas.
    • Haz clic en Abrir alertas y IOC para ver todas las alertas generadas durante el mismo período de búsqueda.
    • Haz clic en Ver en la pestaña Alertas para cambiar a la pestaña Alertas en esta página y comenzar una nueva búsqueda en la entidad seleccionada.
    • Haz clic en una de las barras del gráfico para cambiar a la pestaña Alertas en esta página y comenzar una nueva búsqueda en la entidad seleccionada, con el intervalo de tiempo de la barra en la que hiciste clic.
    • Haz clic en el vínculo Ver más para abrir la vista Campos de la entidad y mostrar todos los campos de la entidad asociados con el usuario. Para copiar un campo de entidad en el portapapeles, haz clic en la casilla de verificación junto al campo de entidad, luego en Ver acciones y, por último, en Copiar entidad. Haz clic en la casilla de verificación que se encuentra en la parte superior para seleccionar todas las entidades.
  • Entidades asociadas: Muestra las entidades con las que se relaciona este usuario, como los dominios con los que se comunicó o los recursos a los que accedió. La lista incluye el tipo de entidad, cuándo se vio por primera vez en tu empresa y cuándo se vio por última vez (más recientemente). Haz clic en una entidad para abrir el panel Contexto de la entidad.
  • Contexto de la entidad: Muestra detalles sobre la entidad que seleccionas en el panel Entidades asociadas. La información de este panel varía según el tipo de entidad (por ejemplo, activo o dominio).
  • Ir a la vista heredada: Navega a la vista heredada de investigación de Usuarios. Para obtener más información, consulta Cómo investigar a un usuario.

Pestaña Eventos

En la pestaña Eventos, se muestran los eventos conectados a tu búsqueda en UDM durante el período determinado. Estos eventos se enumeran en la tabla Eventos. Si haces clic en la marca de tiempo de un evento, se abrirá un diálogo en el que se mostrarán los activos y los archivos asociados con el evento. Si haces clic en cualquiera de estos elementos, se abrirá el panel Contexto de la entidad, que proporciona información adicional sobre la entidad, incluida una lista de las alertas asociadas y un gráfico de alertas que muestra la frecuencia de esas alertas a lo largo del tiempo.

Para obtener información sobre los eventos del UDM, consulta Estructura de un evento del UDM.

Usa la opción Pivot para abrir la configuración de Pivot. Estos parámetros de configuración te permiten analizar eventos con expresiones y funciones en función de los resultados de la búsqueda de UDM. Para obtener más información, consulta Cómo usar la tabla dinámica para analizar eventos.

Gráfico de tendencias en el tiempo

En el gráfico Tendencia a lo largo del tiempo, se muestran los eventos durante el período especificado en la búsqueda del UDM. Las alertas se muestran en rojo debajo del gráfico. Si haces clic en una de las barras, se reducirá el enfoque de la pestaña Eventos a ese período. Los eventos asociados con ese intervalo se muestran en la tabla Eventos.

Gráfico de prevalencia del dominio

En el gráfico de Prevalencia del dominio, se muestra la prevalencia de los dominios asociados con tu búsqueda dentro de tu empresa. Si te desplazas sobre uno de los círculos del gráfico, se mostrará el dominio específico y podrás limitar tu búsqueda solo a los eventos asociados con ese dominio. El gráfico solo se muestra si tu búsqueda de UDM incluye un dominio.

Pestaña Alertas

La pestaña Alertas te permite mostrar información detallada sobre las alertas conectadas a tu búsqueda en UDM.

  • Gráfico: Muestra la cantidad de alertas por período durante el tiempo especificado en la búsqueda de UDM (el período varía según la duración de la búsqueda). La casilla de verificación Alertas filtradas te permite ver u ocultar las alertas procesadas por las opciones de Filtros. La casilla de verificación Alertas de consulta te permite ver u ocultar todas las alertas que procesó la búsqueda de UDM.
  • Filtros: Te permite filtrar las alertas según las opciones que se indican. Por ejemplo, puedes hacer clic en Gravedad, en la opción del menú Media y, luego, en Mostrar solo. El gráfico y la tabla se vuelven a cargar para mostrar solo las alertas con gravedad media.
  • Tabla Alerts: Muestra las alertas asociadas con la búsqueda en el UDM. Cuando haces clic en una alerta, se abre el Visualizador de alertas para mostrar información adicional. Si haces clic en Ver detalles, se abrirá la vista Alertas y IOC (consulta Cómo ver alertas y IOC). Si haces clic en una barra de filtro específica en el gráfico, solo se mostrarán las alertas asociadas a esa barra. Del mismo modo, si agregas filtros, la tabla se volverá a cargar y mostrará solo las alertas vinculadas a tus selecciones.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.