Utiliser la recherche UDM pour examiner une entité

Compatible avec :

Lors d'une investigation, vous pouvez écrire une requête de recherche UDM pour afficher des informations sur une ou plusieurs entités (par exemple, une adresse IP, un utilisateur ou un asset) en plus des événements et des alertes qui correspondent aux termes de la requête de recherche.

Sur les systèmes qui utilisent le RBAC des données, vous ne pouvez voir que les données qui correspondent à vos niveaux d'accès. Pour en savoir plus, consultez Impact du RBAC sur les données dans la recherche.

Lorsqu'une requête de recherche inclut une condition qui identifie une entité spécifique (par exemple, principal.ip="10.0.31.20"), les résultats de recherche incluent des informations sur l'entité (si elle est présente dans votre entreprise) en plus des événements UDM qui correspondent à l'intégralité de la requête de recherche.

Le volet des résultats de recherche comprend les onglets suivants :

  • Présentation : détails sur une ou plusieurs entités spécifiques.
  • Événements : résultats de recherche correspondant à l'intégralité de la requête de recherche et à la période de recherche.
  • Alertes : alertes générées par des événements correspondant à l'intégralité de la requête de recherche.

Les conditions de requête de recherche UDM peuvent inclure à la fois des champs UDM (principal.hostname="alice") et des champs groupés (hostname="alice").

La requête de recherche UDM peut inclure plusieurs conditions, chacune spécifiant un identifiant d'entité différent. Voici quelques exemples de requêtes :

  • principal.hostname="alicehost" and user="alice"
  • principal.hostname="alicehost" and (user="kai" or user="alice")
  • principal.hostname="alicehost" and target.hostname="altostrat.com"
  • principal.hostname="alicehost" and hash="40a80612aaa8a8a36aa82a1278aaa02a"
  • hostname="alicehost" and domain=/altostrat.com/ nocase
  • user="alice" and domain=/altostrat.com/ nocase

Le tableau suivant inclut des exemples de requêtes de recherche UDM pour une ou plusieurs entités, ainsi que le type d'informations affichées :

Type d'information Exemples de requêtes de recherche UDM
Élément
  • hostname="laptop-kai"
  • principal.hostname="laptop-kai"
  • principal.ip="10.0.0.76" //(private IP address)
  • principal.mac="c5:0c:9c:aa:bb:c4"
  • principal.hostname="laptop-kai" and metadata.event_type = "NETWORK_CONNECTION"
  • hostname="laptop-kai" or hostname="desktop-kai"
Domaine
  • domain="example.com"
  • target.hostname="example.com"
Fichier
  • hash="44a88612faa8a8f36ae82a1278aaa02a"
  • principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a"
IP
  • ip="8.8.8.8"
  • target.ip="203.0.113.204" //(public IP address)
Utilisateur
  • user="alice"
  • target.user.email_address="smitha@example.com"
  • principal.user.userid="alice" or target.user.userid = "smitha"
  • email="john@altostrat.com" or email="alice@example.com"
  • principal.user.userid="smitha"

Onglet "Vue d'ensemble"

L'onglet Présentation affiche des informations sur l'entité dans l'un des types d'informations prédéfinis suivants. Les informations présentées varient en fonction du type d'informations.

Détails de l'élément

Lorsque la requête de recherche UDM inclut une condition qui renvoie un élément spécifique, par exemple principal.hostname="laptop-will" ou principal.ip="10.0.0.76", l'onglet Présentation affiche la vue de l'élément avec des informations dans les panneaux suivants :

  • Récapitulatif de la recherche : affiche les informations suivantes :
    • Détails sur l'entité, y compris l'adresse IP et l'adresse MAC associées au composant pendant la période de recherche. L'adresse IP et l'adresse MAC peuvent également être utilisées pour identifier une entité. Vous pouvez cliquer dessus pour afficher des informations supplémentaires dans le lecteur d'entités. Il indique également la première et la dernière fois que l'élément a été vu dans votre entreprise. Vous pouvez cliquer sur le code temporel (le premier ou le dernier) pour effectuer une nouvelle recherche à cette heure.
    • Détails sur les alertes, y compris un graphique indiquant le nombre d'alertes impliquant l'entité au cours de la période de recherche. Le panneau liste également un sous-ensemble de règles avec le plus grand nombre d'alertes.
    • Cliquez sur Ouvrir les alertes et les IOC pour afficher toutes les alertes générées au cours de la même période de recherche.
    • Cliquez sur Afficher dans l'onglet "Alertes" pour accéder à l'onglet Alertes de cette page et lancer une nouvelle recherche sur l'entité sélectionnée.
    • Cliquez sur l'une des barres du graphique pour accéder à l'onglet Alertes de cette page et lancer une nouvelle recherche sur l'entité sélectionnée, en utilisant la période de la barre sur laquelle vous avez cliqué.
    • Cliquez sur le lien Afficher plus pour ouvrir la vue Champs d'entité et afficher tous les champs d'entité associés au composant. Pour copier un champ d'entité dans le presse-papiers, cochez la case à côté du champ d'entité, cliquez sur Afficher les actions, puis sur Copier l'entité. Cochez la case en haut de la page pour sélectionner toutes les entités.
  • IOC pertinents : affiche les IOC associés au composant. Les IOC auxquels un niveau de gravité plus élevé a été attribué s'affichent en premier. Cliquez sur le nom de l'IOC pour ouvrir le lecteur d'entités à droite.
  • Entités associées : affiche les autres entités auxquelles cet élément est associé, comme les utilisateurs qui se sont connectés à l'élément. Le panneau affiche le type d'entité, la date de sa première apparition dans l'environnement et la date de sa dernière apparition. Il affiche également tous les espaces de noms associés à un élément. Cliquez sur une entité pour ouvrir le panneau Contexte de l'entité. Cliquez sur Afficher toute la période pour afficher les entités associées sur toute la période disponible, et non sur la plage spécifiée dans la recherche UDM.
  • Contexte de l'entité : affiche des informations sur l'entité que vous avez sélectionnée dans le panneau Entités associées. Ce panneau affiche différentes informations selon le type d'entité que vous avez sélectionné dans le panneau Entités associées (par exemple, un utilisateur ou un domaine).
  • Accéder à l'ancienne vue : accédez à l'ancienne vue d'investigation des composants. Pour en savoir plus, consultez Examiner un composant.

Détails du domaine

Lorsque la requête de recherche UDM inclut une condition qui spécifie un domaine particulier, par exemple target.hostname="example.com", l'onglet Vue d'ensemble affiche les détails du domaine avec des informations dans les panneaux suivants :

  • Récapitulatif de la recherche : affiche les informations suivantes :
    • Détails sur le domaine, y compris les informations WHOIS associées au domaine enregistré, la première fois qu'il a été détecté dans votre entreprise et la dernière fois (la plus récente) qu'il a été détecté. Cliquez sur Contexte VT pour afficher les informations sur le domaine provenant de VirusTotal.
    • Détails sur les alertes, y compris un graphique indiquant le nombre d'alertes impliquant l'entité au cours de la période de recherche. Le panneau liste également un sous-ensemble de règles avec le plus grand nombre d'alertes.
    • Cliquez sur Ouvrir les alertes et les IOC pour afficher toutes les alertes générées au cours de la même période de recherche.
    • Cliquez sur Afficher dans l'onglet "Alertes" pour accéder à l'onglet Alertes de cette page et lancer une nouvelle recherche sur l'entité sélectionnée.
    • Cliquez sur l'une des barres du graphique pour accéder à l'onglet Alertes de cette page et lancer une nouvelle recherche sur l'entité sélectionnée, en utilisant la période de la barre sur laquelle vous avez cliqué.
    • Cliquez sur le lien Afficher plus pour ouvrir la vue Champs d'entité et afficher tous les champs d'entité associés au domaine. Pour copier un champ d'entité dans le presse-papiers, cochez la case à côté du champ d'entité, cliquez sur Afficher les actions, puis sur Copier l'entité. Cochez la case en haut de la page pour sélectionner toutes les entités.
  • Adresses IP résolues : affiche toutes les adresses IP résolues qui ont été observées dans votre entreprise pour le nom de domaine complet (FQDN). Par exemple, si vous recherchez target.hostname="test.altostrat.com", les résultats de recherche peuvent afficher deux adresses IP résolues (198.51.100.81 et 203.0.113.81).
  • Sous-domaines et domaines frères : affiche tous les sous-domaines associés qui ont été détectés dans votre entreprise pour un nom de domaine complet donné. De nombreux pirates informatiques utilisent le même domaine et le même sous-domaine pour leurs attaques. Par exemple, si vous recherchez target.hostname="sandbox.altostrat.com", ce panneau affiche deux sous-domaines, test.sandbox.altostrat.com et staging.sandbox.altostrat.com.
  • Prévalence des composants : indique le nombre de composants de votre entreprise qui se sont connectés au domaine pendant toute la période des données stockées dans votre compte Google Security Operations. Chaque barre du graphique représente le nombre d'éléments uniques de votre entreprise qui se sont connectés au domaine au cours d'une journée UTC. Si vous pointez sur une barre, les entités associées s'affichent pour le jour UTC représenté par la barre. Cliquez sur le nom de l'entité pour afficher son récapitulatif et son aperçu dans le panneau contextuel de l'entité, à droite. Cliquez sur Afficher les événements pour afficher les événements liés à l'entité sélectionnée dans l'onglet "Événements de recherche".
  • Entités associées : affiche les autres entités auxquelles ce domaine est associé, comme les composants qui ont contacté ce domaine. La liste inclut le type d'entité, la date de sa première apparition dans votre entreprise et la date de sa dernière apparition. Cliquez sur une entité pour ouvrir le panneau Contexte de l'entité.
  • Contexte de l'entité : affiche des informations sur l'entité que vous avez sélectionnée dans le panneau Entités associées. Ce panneau affiche différentes informations selon le type d'entité que vous avez sélectionné dans le panneau Entités associées (par exemple, une adresse IP ou un domaine).
  • Accéder à l'ancienne vue : accédez à l'ancienne vue Domaine pour examiner les données. Pour en savoir plus, consultez Examiner un domaine.

Détails du fichier

Lorsque la requête de recherche UDM inclut une condition qui renvoie un seul fichier (par exemple, principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a"), l'onglet Présentation affiche les détails du fichier avec des informations dans les panneaux suivants :

  • Récapitulatif de la recherche : affiche les informations suivantes :
    • Des informations sur le fichier, y compris les valeurs de hachage, la taille du fichier, la première fois qu'il a été détecté dans votre entreprise et la dernière fois (la plus récente) qu'il a été détecté. Cliquez sur Contexte VT pour afficher des informations sur le fichier provenant de VirusTotal.
    • Des informations sur les alertes, y compris un graphique indiquant le nombre d'alertes impliquant l'entité au cours de la période de recherche. Le panneau liste également un sous-ensemble de règles avec le plus grand nombre d'alertes.
    • Cliquez sur Ouvrir les alertes et les IOC pour afficher toutes les alertes générées au cours de la même période de recherche.
    • Cliquez sur Afficher dans l'onglet "Alertes" pour accéder à l'onglet Alertes de cette page et lancer une nouvelle recherche sur l'entité sélectionnée.
    • Cliquez sur l'une des barres du graphique pour accéder à l'onglet Alertes de cette page et lancer une nouvelle recherche sur l'entité sélectionnée, en utilisant la période de la barre sur laquelle vous avez cliqué.
    • Cliquez sur le lien Afficher plus pour ouvrir la vue Champs d'entité et afficher tous les champs d'entité associés au fichier. Pour copier un champ d'entité dans le presse-papiers, cochez la case à côté du champ d'entité, cliquez sur Afficher les actions, puis sur Copier l'entité. Cochez la case en haut de la page pour sélectionner toutes les entités.
  • IOC pertinents : affiche les IOC associés au fichier. Les IOC auxquels un niveau de gravité plus élevé a été attribué s'affichent en premier. Cliquez sur le nom de l'IOC pour ouvrir le lecteur d'entités à droite.
  • Prévalence des composants : indique le nombre de composants de votre entreprise associés au fichier pour toute la période de données stockée dans votre compte Google SecOps.
  • Entités associées : affiche les autres entités auxquelles ce fichier est associé, comme un composant sur lequel ce fichier a été exécuté ou les utilisateurs qui y ont accédé. La liste inclut le type d'entité, la date de sa première apparition dans votre entreprise et la date de sa dernière apparition. Cliquez sur une entité pour ouvrir le panneau Contexte de l'entité.
  • Propriétés et métadonnées VirusTotal : affiche les informations sur le fichier issues de la base de données VirusTotal. Cliquez sur Afficher plus pour ouvrir une boîte de dialogue VirusTotal et afficher des informations supplémentaires sur le fichier.
  • Entités associées : affiche différentes informations en fonction du type d'entité que vous avez sélectionné dans le panneau Entités associées (par exemple, utilisateur ou composant).
  • Contexte de l'entité : affiche des informations sur l'entité que vous avez sélectionnée dans le panneau Entités associées. Ce panneau affiche différentes informations selon le type d'entité que vous avez sélectionné dans le panneau Entités associées (par exemple, un utilisateur ou un composant).
  • Accéder à l'ancienne vue : accédez à l'ancienne vue Fichier pour les investigations. Pour en savoir plus, consultez Examiner un fichier.

Informations sur l'adresse IP

Lorsque la requête de recherche UDM inclut une condition qui renvoie une adresse IP externe spécifique, par exemple target.ip="203.0.113.254", l'onglet Présentation affiche les détails de l'adresse IP avec des informations dans les panneaux suivants :

  • Récapitulatif de la recherche : affiche les informations suivantes :
    • Détails sur l'adresse IP, y compris la première et la dernière (la plus récente) fois qu'elle a été détectée dans votre entreprise. Cliquez sur Contexte VT pour afficher les informations disponibles sur cette adresse IP dans VirusTotal.
    • Détails sur les alertes, y compris un graphique indiquant le nombre d'alertes impliquant l'entité au cours de la période de recherche. Le panneau liste également un sous-ensemble de règles avec le plus grand nombre d'alertes.
    • Cliquez sur Ouvrir les alertes et les IOC pour afficher toutes les alertes générées au cours de la même période de recherche.
    • Cliquez sur Afficher dans l'onglet "Alertes" pour accéder à l'onglet Alertes de cette page et lancer une nouvelle recherche sur l'entité sélectionnée.
    • Cliquez sur l'une des barres du graphique pour accéder à l'onglet Alertes de cette page et lancer une nouvelle recherche sur l'entité sélectionnée, en utilisant la période de la barre sur laquelle vous avez cliqué.
    • Cliquez sur le lien Afficher plus pour ouvrir la vue Champs d'entité et afficher tous les champs d'entité associés à l'adresse IP. Pour copier un champ d'entité dans le presse-papiers, cochez la case à côté du champ d'entité, cliquez sur Afficher les actions, puis sur Copier l'entité. Cochez la case en haut de la page pour sélectionner toutes les entités.
  • IOC pertinents : affiche les IOC associés à l'adresse IP. Les IOC auxquels un niveau de gravité plus élevé a été attribué s'affichent en premier. Cliquez sur le nom de l'IOC pour ouvrir le lecteur d'entités à droite.
  • Prévalence des composants : indique le nombre de composants de votre entreprise qui se sont connectés à l'adresse IP au cours de la période spécifiée dans la recherche UDM.
  • Entités associées : affiche les autres entités auxquelles cette adresse IP est associée, comme les domaines auxquels l'adresse IP est enregistrée. La liste inclut le type d'entité, la date de sa première apparition dans votre entreprise et la date de sa dernière apparition. Cliquez sur une entité pour ouvrir le panneau Contexte de l'entité.
  • Contexte de l'entité : affiche des informations sur l'entité que vous avez sélectionnée dans le panneau Entités associées. Ce panneau affiche différentes informations selon le type d'entité que vous avez sélectionné dans le panneau Entités associées (par exemple, un domaine ou un composant). Si le lien s'affiche, cliquez sur Contexte VT pour afficher les informations sur l'entité provenant de VirusTotal.
  • Accéder à l'ancienne vue : accédez à l'ancienne vue d'investigation des adresses IP. Pour en savoir plus, consultez Examiner une adresse IP.

Détails relatifs à l'utilisateur

Lorsque la requête de recherche UDM inclut une condition qui renvoie un utilisateur spécifique, par exemple principal.user.userid="alice", l'onglet Vue d'ensemble affiche les détails de l'utilisateur avec des informations dans les panneaux suivants :

  • Récapitulatif de la recherche : affiche les informations suivantes :
    • Détails sur l'entité, y compris le nom complet, la première et la dernière fois qu'elle a été vue dans votre entreprise, le titre et l'adresse e-mail.
    • Détails sur les alertes, y compris un graphique indiquant le nombre d'alertes impliquant l'entité au cours de la période de recherche. Le panneau liste également un sous-ensemble de règles avec le plus grand nombre d'alertes.
    • Cliquez sur Ouvrir les alertes et les IOC pour afficher toutes les alertes générées au cours de la même période de recherche.
    • Cliquez sur Afficher dans l'onglet "Alertes" pour accéder à l'onglet Alertes de cette page et lancer une nouvelle recherche sur l'entité sélectionnée.
    • Cliquez sur l'une des barres du graphique pour accéder à l'onglet Alertes de cette page et lancer une nouvelle recherche sur l'entité sélectionnée, en utilisant la période de la barre sur laquelle vous avez cliqué.
    • Cliquez sur le lien Afficher plus pour ouvrir la vue Champs d'entité et afficher tous les champs d'entité associés à l'utilisateur. Pour copier un champ d'entité dans le presse-papiers, cochez la case à côté du champ d'entité, cliquez sur Afficher les actions, puis sur Copier l'entité. Cochez la case en haut de la page pour sélectionner toutes les entités.
  • Entités associées : affiche les entités auxquelles cet utilisateur est associé, comme les domaines qu'il a contactés ou les composants auxquels il a accédé. La liste inclut le type d'entité, la date de sa première apparition dans votre entreprise et la date de sa dernière apparition. Cliquez sur une entité pour ouvrir le panneau Contexte de l'entité.
  • Contexte de l'entité : affiche des informations sur l'entité que vous sélectionnez dans le panneau Entités associées. Les informations de ce panneau varient en fonction du type d'entité (par exemple, un composant ou un domaine).
  • Accéder à l'ancienne vue : accédez à l'ancienne vue Utilisateur pour examiner les utilisateurs. Pour en savoir plus, consultez Examiner un utilisateur.

Onglet "Événements"

L'onglet Événements affiche les événements liés à votre recherche UDM au cours de la période donnée. Ces événements sont listés dans le tableau Événements. Si vous cliquez sur le code temporel d'un événement, une boîte de dialogue s'ouvre et affiche les composants et les fichiers associés à l'événement. Cliquez sur l'un de ces éléments pour ouvrir le panneau Contexte de l'entité, qui fournit des informations supplémentaires sur l'entité, y compris la liste des alertes associées et un graphique des alertes montrant leur fréquence au fil du temps.

Pour en savoir plus sur les événements UDM, consultez Structure d'un événement UDM.

Utilisez l'option Croiser pour ouvrir les paramètres de croisement. Ces paramètres vous permettent d'analyser les événements à l'aide d'expressions et de fonctions par rapport aux résultats de la recherche UDM. Pour en savoir plus, consultez Utiliser le tableau croisé dynamique pour analyser les événements.

Graphique de tendance au fil du temps

Le graphique Tendance au fil du temps affiche les événements sur la période spécifiée dans la recherche UDM. Les alertes s'affichent en rouge sous le graphique. Si vous cliquez sur l'une des barres, l'onglet Événements se concentre sur cette période. Les événements associés à ce créneau horaire s'affichent dans le tableau Événements.

Graphique de prévalence du domaine

Le graphique Prévalence du domaine affiche la prévalence des domaines associés à votre recherche dans votre entreprise. Si vous pointez sur l'un des cercles du graphique, le domaine spécifique s'affiche. Vous pouvez ainsi limiter votre recherche aux événements associés à ce domaine uniquement. Le graphique ne s'affiche que si votre recherche UDM inclut un domaine.

Onglet "Alerts" (Alertes)

L'onglet Alertes vous permet d'afficher des informations détaillées sur les alertes associées à votre recherche UDM.

  • Graphique : affiche le nombre d'alertes par période au cours de la période spécifiée dans la recherche UDM (la période varie en fonction de la durée de la recherche). La case à cocher Alertes filtrées vous permet d'afficher ou de masquer les alertes traitées par les options Filtres. La case à cocher Alertes de requête vous permet d'afficher ou de masquer toutes les alertes traitées par la recherche UDM.
  • Filtres : vous permet de filtrer les alertes en fonction des options listées. Par exemple, vous pouvez cliquer sur Gravité, puis sur l'option de menu Moyenne et sélectionner Afficher uniquement. Le graphique et le tableau sont actualisés pour n'afficher que les alertes de gravité moyenne.
  • Tableau Alertes : affiche les alertes associées à la recherche UDM. Cliquez sur une alerte pour ouvrir le lecteur d'alertes et afficher des informations supplémentaires. Si vous cliquez sur Afficher les détails, la vue Alertes et IOC s'ouvre (voir Afficher les alertes et les IOC). Si vous cliquez sur une barre de filtre spécifique dans le graphique, seules les alertes associées à cette barre s'affichent. De même, si vous ajoutez des filtres, le tableau se recharge et n'affiche que les alertes liées à vos sélections.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.