Usar la búsqueda de UDM para investigar una entidad

Disponible en:

Durante una investigación, puede escribir una consulta de búsqueda de UDM para mostrar detalles sobre una o varias entidades (por ejemplo, una dirección IP, un usuario o un recurso) además de los eventos y las alertas que coincidan con los términos de la consulta de búsqueda.

En los sistemas que usan RBAC de datos, solo puedes ver los datos que coincidan con tus ámbitos. Para obtener más información, consulta el artículo sobre el impacto del control de acceso basado en roles de datos en la búsqueda.

Cuando una consulta de búsqueda incluye una condición que identifica una entidad específica (por ejemplo, principal.ip="10.0.31.20"), los resultados de búsqueda incluyen detalles sobre la entidad (si está presente en tu empresa), además de los eventos del UDM que coincidan con toda la consulta de búsqueda.

El panel de resultados de búsqueda incluye las siguientes pestañas:

  • Resumen: detalles sobre una o varias entidades específicas.
  • Eventos: resultados de búsqueda que coinciden con toda la consulta de búsqueda y el periodo de búsqueda.
  • Alertas: alertas generadas por eventos que coinciden con toda la consulta de búsqueda.

Las condiciones de las consultas de búsqueda de UDM pueden incluir tanto campos de UDM (principal.hostname="alice") como campos agrupados (hostname="alice").

La consulta de búsqueda de UDM puede incluir varias condiciones, cada una de las cuales especifica un identificador de entidad diferente. Estas son algunas consultas de ejemplo:

  • principal.hostname="alicehost" and user="alice"
  • principal.hostname="alicehost" and (user="kai" or user="alice")
  • principal.hostname="alicehost" and target.hostname="altostrat.com"
  • principal.hostname="alicehost" and hash="40a80612aaa8a8a36aa82a1278aaa02a"
  • hostname="alicehost" and domain=/altostrat.com/ nocase
  • user="alice" and domain=/altostrat.com/ nocase

En la siguiente tabla se incluyen consultas de búsqueda de UDM de ejemplo para una o varias entidades, así como el tipo de información que se muestra:

Tipo de información Ejemplos de consultas de búsqueda de UDM
Recurso
  • hostname="laptop-kai"
  • principal.hostname="laptop-kai"
  • principal.ip="10.0.0.76" //(private IP address)
  • principal.mac="c5:0c:9c:aa:bb:c4"
  • principal.hostname="laptop-kai" and metadata.event_type = "NETWORK_CONNECTION"
  • hostname="laptop-kai" or hostname="desktop-kai"
Dominio
  • domain="example.com"
  • target.hostname="example.com"
Archivo
  • hash="44a88612faa8a8f36ae82a1278aaa02a"
  • principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a"
IP
  • ip="8.8.8.8"
  • target.ip="203.0.113.204" //(public IP address)
Usuario
  • user="alice"
  • target.user.email_address="smitha@example.com"
  • principal.user.userid="alice" or target.user.userid = "smitha"
  • email="john@altostrat.com" or email="alice@example.com"
  • principal.user.userid="smitha"

Pestaña "Visión general"

En la pestaña Vista general se muestra información de la entidad en uno de los siguientes tipos de información predefinidos. La información que se muestra varía en función del tipo de información.

Información sobre los recursos

Cuando la consulta de búsqueda de UDM incluye una condición que devuelve un recurso específico (por ejemplo, principal.hostname="laptop-will" o principal.ip="10.0.0.76"), la pestaña Resumen muestra la vista de recurso con información en los siguientes paneles:

  • Resumen de la búsqueda: muestra la siguiente información:
    • Detalles sobre la entidad, incluidas la dirección IP y la dirección MAC asociadas al recurso durante el periodo de búsqueda. La dirección IP y la dirección MAC también se pueden usar para identificar una entidad. Si se hace clic en ellas, se muestra información adicional en el visor de entidades. También muestra la primera vez que se vio el recurso en tu empresa y cuándo se vio por última vez (más recientemente). Puedes hacer clic en cualquiera de las marcas de tiempo (la primera o la última) para realizar una nueva búsqueda con esa hora.
    • Detalles sobre las alertas, incluido un gráfico que muestra el número de alertas que han implicado a la entidad en el periodo de búsqueda. El panel también muestra un subconjunto de reglas con el mayor número de alertas.
    • Haz clic en Abrir alertas e IOCs para ver todas las alertas generadas durante el mismo intervalo de tiempo de búsqueda.
    • Haga clic en Ver en la pestaña Alertas para cambiar a la pestaña Alertas de esta página y empezar una nueva búsqueda de la entidad seleccionada.
    • Haga clic en una de las barras del gráfico para cambiar a la pestaña Alertas de esta página y empezar una nueva búsqueda de la entidad seleccionada con el periodo de la barra en la que ha hecho clic.
    • Haga clic en el enlace Ver más para abrir la vista Campos de entidad y mostrar todos los campos de entidad asociados al recurso. Para copiar un campo de entidad en el portapapeles, marca la casilla situada junto al campo de entidad, haz clic en Ver acciones y, a continuación, en Copiar entidad. Marca la casilla de verificación situada en la parte superior para seleccionar todas las entidades.
  • IOCs pertinentes: muestra los IOCs asociados al recurso. Los IOCs a los que se les ha asignado una gravedad mayor se muestran primero. Al hacer clic en el nombre del IOC, se abre el visor de entidades a la derecha.
  • Entidades asociadas: muestra otras entidades relacionadas con este recurso, como los usuarios que han iniciado sesión en él. En el panel se muestra el tipo de entidad, cuándo se detectó por primera vez en el entorno y cuándo se detectó por última vez. También muestra los espacios de nombres asociados a un recurso. Haz clic en una entidad para abrir el panel Contexto de la entidad. Haz clic en Mostrar todo el tiempo para ver las entidades asociadas durante todo el periodo disponible, en lugar del intervalo especificado en la búsqueda de UDM.
  • Contexto de la entidad: muestra detalles sobre la entidad que has seleccionado en el panel Entidades asociadas. En este panel se muestra información diferente en función del tipo de entidad que hayas seleccionado en el panel Entidades asociadas (por ejemplo, usuario o dominio).
  • Ir a la vista antigua: ve a la vista antigua de investigación de recursos. Para obtener más información, consulta Investigar un recurso.

Detalles del dominio

Cuando la consulta de búsqueda de UDM incluye una condición que especifica un dominio concreto, por ejemplo target.hostname="example.com", en la pestaña Resumen se muestran los detalles del dominio con información en los siguientes paneles:

  • Resumen de la búsqueda: muestra la siguiente información:
    • Detalles sobre el dominio, incluida la información de WHOIS asociada al dominio registrado, la primera vez que se vio en tu empresa y la última vez que se vio. Haz clic en Contexto de VT para ver información sobre el dominio de VirusTotal.
    • Detalles sobre las alertas, incluido un gráfico que muestra el número de alertas que han implicado a la entidad en el periodo de búsqueda. El panel también muestra un subconjunto de reglas con el mayor número de alertas.
    • Haz clic en Abrir alertas e IOCs para ver todas las alertas generadas durante el mismo intervalo de tiempo de búsqueda.
    • Haga clic en Ver en la pestaña Alertas para cambiar a la pestaña Alertas de esta página y empezar una nueva búsqueda de la entidad seleccionada.
    • Haga clic en una de las barras del gráfico para cambiar a la pestaña Alertas de esta página y empezar una nueva búsqueda de la entidad seleccionada con el periodo de la barra en la que ha hecho clic.
    • Haga clic en el enlace Ver más para abrir la vista Campos de entidad y mostrar todos los campos de entidad asociados al dominio. Para copiar un campo de entidad en el portapapeles, marca la casilla situada junto al campo de entidad, haz clic en Ver acciones y, a continuación, en Copiar entidad. Marca la casilla de verificación situada en la parte superior para seleccionar todas las entidades.
  • IPs resueltas: muestra todas las direcciones IP resueltas que se han visto en tu empresa para el nombre de dominio completo (FQDN). Por ejemplo, si buscas target.hostname="test.altostrat.com", los resultados de búsqueda pueden mostrar dos direcciones IP resueltas (198.51.100.81 y 203.0.113.81).
  • Subdominios y dominios del mismo nivel: muestra todos los subdominios asociados que se han visto en tu empresa para un FQDN determinado. Muchos adversarios usan el mismo dominio y subdominio para sus ataques. Por ejemplo, si buscas target.hostname="sandbox.altostrat.com", en este panel se muestran dos subdominios: test.sandbox.altostrat.com y staging.sandbox.altostrat.com.
  • Prevalencia de los recursos: muestra el número de recursos de tu empresa que se han conectado al dominio durante todo el periodo de los datos almacenados en tu cuenta de Google Security Operations. Cada barra del gráfico representa el número de recursos únicos de tu empresa que se han conectado al dominio en un día UTC. Al colocar el cursor sobre una barra, se muestran las entidades relacionadas en el día UTC representado por la barra. Haga clic en el nombre de la entidad para ver el resumen y la descripción general de la entidad en el panel de contexto de la entidad, que se muestra a la derecha. Haga clic en Ver eventos para ver los eventos relacionados con la entidad seleccionada en la pestaña de eventos de búsqueda.
  • Entidades asociadas: muestra otras entidades con las que está relacionado este dominio, como los recursos que se han puesto en contacto con él. La lista incluye el tipo de entidad, cuándo se detectó por primera vez en tu empresa y cuándo se detectó por última vez. Haz clic en una entidad para abrir el panel Contexto de la entidad.
  • Contexto de la entidad: muestra detalles sobre la entidad que has seleccionado en el panel Entidades asociadas. En este panel se muestra información diferente en función del tipo de entidad que haya seleccionado en el panel Entidades asociadas (por ejemplo, una dirección IP o un dominio).
  • Ir a la vista antigua: vaya a la vista antigua Dominio. Para obtener más información, consulta Investigar un dominio.

Detalles del archivo

Cuando la consulta de búsqueda de UDM incluye una condición que devuelve un solo archivo, por ejemplo, principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a", la pestaña Resumen muestra los detalles del Archivo con información en los siguientes paneles:

  • Resumen de la búsqueda: muestra la siguiente información:
    • Detalles sobre el archivo, incluidos los valores hash, el tamaño del archivo, la primera vez que se vio en tu empresa y la última vez que se vio. Haz clic en Contexto de VT para ver información sobre el archivo de VirusTotal.
    • Detalles sobre las alertas, incluido un gráfico que muestra el número de alertas que han implicado a la entidad en el periodo de búsqueda. El panel también muestra un subconjunto de reglas con el mayor número de alertas.
    • Haz clic en Abrir alertas e IOCs para ver todas las alertas generadas durante el mismo intervalo de tiempo de búsqueda.
    • Haga clic en Ver en la pestaña Alertas para cambiar a la pestaña Alertas de esta página y empezar una nueva búsqueda de la entidad seleccionada.
    • Haga clic en una de las barras del gráfico para cambiar a la pestaña Alertas de esta página y empezar una nueva búsqueda de la entidad seleccionada con el periodo de la barra en la que ha hecho clic.
    • Haga clic en el enlace Ver más para abrir la vista Campos de entidad y mostrar todos los campos de entidad asociados al archivo. Para copiar un campo de entidad en el portapapeles, marca la casilla situada junto al campo de entidad, haz clic en Ver acciones y, a continuación, en Copiar entidad. Marca la casilla de verificación situada en la parte superior para seleccionar todas las entidades.
  • IOCs pertinentes: muestra los IOCs asociados al archivo. Los IOCs a los que se les ha asignado una gravedad mayor se muestran primero. Al hacer clic en el nombre del IOC, se abre el visor de entidades a la derecha.
  • Prevalencia de los recursos: muestra el número de recursos de tu empresa asociados al archivo durante todo el periodo de los datos almacenados en tu cuenta de Google SecOps.
  • Entidades asociadas: muestra otras entidades con las que está relacionado este archivo, como un recurso en el que se ha ejecutado o los usuarios que han accedido a él. La lista incluye el tipo de entidad, cuándo se detectó por primera vez en tu empresa y cuándo se detectó por última vez. Haz clic en una entidad para abrir el panel Contexto de la entidad.
  • Propiedades y metadatos de VirusTotal: muestra información sobre el archivo de la base de datos de VirusTotal. Haz clic en Ver más para abrir un cuadro de diálogo de VirusTotal y mostrar información adicional sobre el archivo.
  • Entidades asociadas: muestra información diferente en función del tipo de entidad que haya seleccionado en el panel Entidades asociadas (por ejemplo, usuario o recurso).
  • Contexto de la entidad: muestra detalles sobre la entidad que has seleccionado en el panel Entidades asociadas. En este panel se muestra información diferente en función del tipo de entidad que hayas seleccionado en el panel Entidades asociadas (por ejemplo, usuario o recurso).
  • Ir a la vista antigua: ve a la vista antigua de la investigación Archivo. Para obtener más información, consulta Investigar un archivo.

Detalles de la IP

Cuando la consulta de búsqueda de UDM incluye una condición que devuelve una dirección IP externa específica, por ejemplo target.ip="203.0.113.254", en la pestaña Resumen se muestran los detalles de IP con información en los siguientes paneles:

  • Resumen de la búsqueda: muestra la siguiente información:
    • Detalles sobre la dirección IP, incluida la primera vez que se vio en tu empresa y la última (más reciente). Haz clic en Contexto de VT para ver la información disponible sobre esta dirección IP en VirusTotal.
    • Detalles sobre las alertas, incluido un gráfico que muestra el número de alertas que han implicado a la entidad en el periodo de búsqueda. El panel también muestra un subconjunto de reglas con el mayor número de alertas.
    • Haz clic en Abrir alertas e IOCs para ver todas las alertas generadas durante el mismo intervalo de tiempo de búsqueda.
    • Haga clic en Ver en la pestaña Alertas para cambiar a la pestaña Alertas de esta página y empezar una nueva búsqueda de la entidad seleccionada.
    • Haga clic en una de las barras del gráfico para cambiar a la pestaña Alertas de esta página y empezar una nueva búsqueda de la entidad seleccionada con el periodo de la barra en la que ha hecho clic.
    • Haga clic en el enlace Ver más para abrir la vista Campos de entidad y mostrar todos los campos de entidad asociados a la dirección IP. Para copiar un campo de entidad en el portapapeles, marca la casilla situada junto al campo de entidad, haz clic en Ver acciones y, a continuación, en Copiar entidad. Marca la casilla de verificación situada en la parte superior para seleccionar todas las entidades.
  • IOCs pertinentes: muestra los IOCs asociados a la dirección IP. Los IOCs a los que se les ha asignado una gravedad mayor se muestran primero. Al hacer clic en el nombre del IOC, se abre el visor de entidades a la derecha.
  • Prevalencia de los recursos: muestra el número de recursos de tu empresa que se han conectado a la dirección IP durante el periodo especificado en la búsqueda de UDM.
  • Entidades asociadas: muestra otras entidades con las que está relacionada esta dirección IP, como los dominios en los que está registrada. La lista incluye el tipo de entidad, cuándo se detectó por primera vez en tu empresa y cuándo se detectó por última vez. Haz clic en una entidad para abrir el panel Contexto de la entidad.
  • Contexto de la entidad: muestra detalles sobre la entidad que has seleccionado en el panel Entidades asociadas. En este panel se muestra información diferente en función del tipo de entidad que haya seleccionado en el panel Entidades asociadas (por ejemplo, dominio o recurso). Si se muestra el enlace, haz clic en Contexto de VT para ver información sobre la entidad de VirusTotal.
  • Ir a la vista antigua: vaya a la vista antigua de investigación de dirección IP. Para obtener más información, consulta Investigar una dirección IP.

Datos del usuario

Cuando la consulta de búsqueda de UDM incluye una condición que devuelve un usuario específico, por ejemplo principal.user.userid="alice", la pestaña Resumen muestra los detalles del Usuario con información en los siguientes paneles:

  • Resumen de la búsqueda: muestra la siguiente información:
    • Detalles sobre la entidad, como el nombre completo, la primera vez que se vio en tu empresa y la última vez que se vio (la más reciente), el cargo y la dirección de correo electrónico.
    • Detalles sobre las alertas, incluido un gráfico que muestra el número de alertas que han implicado a la entidad en el periodo de búsqueda. El panel también muestra un subconjunto de reglas con el mayor número de alertas.
    • Haz clic en Abrir alertas e IOCs para ver todas las alertas generadas durante el mismo intervalo de tiempo de búsqueda.
    • Haga clic en Ver en la pestaña Alertas para cambiar a la pestaña Alertas de esta página y empezar una nueva búsqueda de la entidad seleccionada.
    • Haga clic en una de las barras del gráfico para cambiar a la pestaña Alertas de esta página y empezar una nueva búsqueda de la entidad seleccionada con el periodo de la barra en la que ha hecho clic.
    • Haz clic en el enlace Ver más para abrir la vista Campos de entidad y mostrar todos los campos de entidad asociados al usuario. Para copiar un campo de entidad en el portapapeles, marca la casilla situada junto al campo de entidad, haz clic en Ver acciones y, a continuación, en Copiar entidad. Marca la casilla de verificación situada en la parte superior para seleccionar todas las entidades.
  • Entidades asociadas: muestra las entidades con las que está relacionado este usuario, como los dominios con los que se ha puesto en contacto o los recursos a los que ha accedido. La lista incluye el tipo de entidad, cuándo se detectó por primera vez en tu empresa y cuándo se detectó por última vez. Haz clic en una entidad para abrir el panel Contexto de la entidad.
  • Contexto de la entidad: muestra detalles sobre la entidad que selecciones en el panel Entidades asociadas. La información de este panel varía en función del tipo de entidad (por ejemplo, recurso o dominio).
  • Ir a la vista antigua: vaya a la vista antigua de la investigación de usuarios. Para obtener más información, consulta el artículo Investigar a un usuario.

Pestaña Eventos

La pestaña Eventos muestra los eventos conectados a tu búsqueda de UDM durante el periodo seleccionado. Estos eventos se muestran en la tabla Eventos. Al hacer clic en la marca de tiempo de un evento, se abre un cuadro de diálogo que muestra los recursos y archivos asociados al evento. Si haces clic en cualquiera de estos elementos, se abrirá el panel Contexto de la entidad, que proporciona información adicional sobre la entidad, como una lista de las alertas asociadas y un gráfico de alertas que muestra la frecuencia de esas alertas a lo largo del tiempo.

Para obtener información sobre los eventos de UDM, consulte Estructura de un evento de UDM.

Usa la opción Giro para abrir los ajustes de Giro. Estos ajustes le permiten analizar eventos mediante expresiones y funciones a partir de los resultados de la búsqueda de UDM. Para obtener más información, consulta Usar la tabla dinámica para analizar eventos.

Gráfico de tendencia a lo largo del tiempo

El gráfico Tendencia a lo largo del tiempo muestra los eventos durante el periodo especificado en la búsqueda de UDM. Las alertas se muestran en rojo debajo del gráfico. Al hacer clic en una de las barras, se acota el periodo de tiempo que se muestra en la pestaña Eventos. Los eventos asociados a ese intervalo de tiempo se muestran en la tabla Eventos.

Gráfico de prevalencia de los dominios

El gráfico Prevalencia de dominio muestra la prevalencia de los dominios asociados a tu búsqueda en tu empresa. Si coloca el cursor sobre uno de los círculos del gráfico, se mostrará el dominio específico y podrá acotar la búsqueda a los eventos asociados a ese dominio. El gráfico solo se muestra si tu búsqueda de UDM incluye un dominio.

Ficha de alertas

La pestaña Alertas te permite mostrar información detallada sobre las alertas conectadas a tu búsqueda de UDM.

  • Gráfico: muestra el número de alertas por periodo a lo largo del tiempo especificado en la búsqueda de UDM (el periodo varía en función de la duración de la búsqueda). La casilla Alertas filtradas te permite ver u ocultar las alertas procesadas por las opciones de Filtros. La casilla Alertas de consulta te permite ver u ocultar todas las alertas procesadas por la búsqueda de UDM.
  • Filtros: le permite filtrar las alertas según las opciones que se muestran. Por ejemplo, puedes hacer clic en Gravedad, en la opción de menú Media y, a continuación, en Mostrar solo. El gráfico y la tabla se vuelven a cargar para mostrar solo las alertas de gravedad media.
  • Tabla Alertas: muestra las alertas asociadas a la búsqueda de UDM. Al hacer clic en una alerta, se abre el visor de alertas, donde se muestra información adicional. Si haces clic en Ver detalles, se abrirá la vista Alertas e IOCs (consulta Ver alertas e IOCs). Si haces clic en una barra de filtro específica del gráfico, solo se mostrarán las alertas asociadas a esa barra. Del mismo modo, si añade filtros, la tabla se vuelve a cargar y solo muestra las alertas vinculadas a sus selecciones.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.