Menggunakan Penelusuran UDM untuk menyelidiki entity

Didukung di:

Selama penyelidikan, Anda dapat menulis kueri Penelusuran UDM untuk menampilkan detail tentang satu atau beberapa entitas (misalnya, alamat IP, pengguna, atau aset) selain peristiwa dan notifikasi yang cocok dengan istilah kueri penelusuran.

Pada sistem yang menggunakan RBAC data, Anda hanya dapat melihat data yang cocok dengan cakupan Anda. Untuk mengetahui informasi selengkapnya, lihat dampak RBAC data pada Penelusuran.

Jika kueri penelusuran menyertakan kondisi yang mengidentifikasi entitas tertentu (misalnya, principal.ip="10.0.31.20"), hasil penelusuran akan menyertakan detail tentang entitas tersebut (jika ada di perusahaan Anda) selain peristiwa UDM yang cocok dengan seluruh kueri penelusuran.

Panel hasil penelusuran mencakup tab berikut:

  • Ringkasan—Detail tentang satu atau beberapa entitas tertentu.
  • Peristiwa—Hasil penelusuran yang cocok dengan seluruh kueri penelusuran dan rentang waktu penelusuran.
  • Pemberitahuan—Pemberitahuan yang dihasilkan oleh peristiwa yang cocok dengan seluruh kueri penelusuran.

Kondisi kueri Penelusuran UDM dapat mencakup kolom UDM (principal.hostname="alice") dan kolom yang dikelompokkan (hostname="alice").

Kueri Penelusuran UDM dapat menyertakan beberapa kondisi, yang masing-masing menentukan ID entity yang berbeda. Contoh kueri mencakup:

  • principal.hostname="alicehost" and user="alice"
  • principal.hostname="alicehost" and (user="kai" or user="alice")
  • principal.hostname="alicehost" and target.hostname="altostrat.com"
  • principal.hostname="alicehost" and hash="40a80612aaa8a8a36aa82a1278aaa02a"
  • hostname="alicehost" and domain=/altostrat.com/ nocase
  • user="alice" and domain=/altostrat.com/ nocase

Tabel berikut mencakup contoh kueri Penelusuran UDM untuk satu atau beberapa entitas dan jenis informasi yang ditampilkan:

Jenis informasi Contoh kueri Penelusuran UDM
Aset
  • hostname="laptop-kai"
  • principal.hostname="laptop-kai"
  • principal.ip="10.0.0.76" //(private IP address)
  • principal.mac="c5:0c:9c:aa:bb:c4"
  • principal.hostname="laptop-kai" and metadata.event_type = "NETWORK_CONNECTION"
  • hostname="laptop-kai" or hostname="desktop-kai"
Domain
  • domain="example.com"
  • target.hostname="example.com"
File
  • hash="44a88612faa8a8f36ae82a1278aaa02a"
  • principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a"
IP
  • ip="8.8.8.8"
  • target.ip="203.0.113.204" //(public IP address)
Pengguna
  • user="alice"
  • target.user.email_address="smitha@example.com"
  • principal.user.userid="alice" or target.user.userid = "smitha"
  • email="john@altostrat.com" or email="alice@example.com"
  • principal.user.userid="smitha"

Tab Ringkasan

Tab Ringkasan menampilkan informasi entitas dalam salah satu jenis informasi standar berikut. Informasi yang ditampilkan bervariasi, bergantung pada jenis informasi.

Detail aset

Jika kueri Penelusuran UDM menyertakan kondisi yang menampilkan aset tertentu, misalnya principal.hostname="laptop-will" atau principal.ip="10.0.0.76", tab Ringkasan akan menampilkan Tampilan aset dengan informasi di panel berikut:

  • Ringkasan penelusuran—Menampilkan informasi berikut:
    • Detail tentang entitas, termasuk alamat IP dan alamat MAC yang terkait dengan aset selama rentang waktu penelusuran. Alamat IP dan alamat MAC juga dapat digunakan untuk mengidentifikasi entitas dan dapat diklik untuk menampilkan informasi tambahan di penampil entitas. Selain itu, aset ini menampilkan pertama kali aset terlihat di perusahaan Anda dan kapan terakhir kali (paling baru) terlihat. Anda dapat mengklik stempel waktu (pertama atau terakhir) untuk menjalankan penelusuran baru menggunakan waktu tersebut.
    • Detail tentang pemberitahuan, termasuk grafik yang menunjukkan jumlah pemberitahuan yang melibatkan entity dalam rentang waktu penelusuran. Panel ini juga mencantumkan subset aturan dengan jumlah pemberitahuan tertinggi.
    • Klik Open Alerts & IOCs untuk melihat semua pemberitahuan yang dihasilkan selama rentang waktu penelusuran yang sama.
    • Klik Lihat di Tab Pemberitahuan untuk beralih ke tab Pemberitahuan di halaman ini dan memulai penelusuran baru terhadap entitas yang dipilih.
    • Klik salah satu batang pada diagram untuk beralih ke tab Alerts di halaman ini dan memulai penelusuran baru terhadap entitas yang dipilih, menggunakan rentang waktu batang yang diklik.
    • Klik link Lihat lainnya untuk membuka tampilan Kolom entitas dan menampilkan semua kolom entitas yang terkait dengan aset. Untuk menyalin kolom entitas ke papan klip, klik kotak centang di samping kolom entitas, klik Lihat tindakan, lalu klik Salin entitas. Klik kotak centang di bagian atas untuk memilih semua entitas.
  • IOC yang relevan—Menampilkan IOC yang terkait dengan aset. IOC yang diberi tingkat keparahan lebih tinggi ditampilkan terlebih dahulu. Mengklik nama IOC akan membuka penampil entity di sebelah kanan.
  • Entitas terkait—Menampilkan entitas lain yang terkait dengan aset ini, seperti pengguna yang login ke aset. Panel menampilkan jenis entitas, kapan pertama kali terlihat di lingkungan, dan kapan terakhir (paling baru) terlihat. Bagian ini juga menampilkan namespace yang terkait dengan aset. Klik entity untuk membuka panel Konteks entity. Klik Tampilkan semua waktu untuk menampilkan entitas terkait selama seluruh periode waktu yang tersedia, bukan rentang yang ditentukan dalam penelusuran UDM.
  • Konteks entitas—Menampilkan detail tentang entitas yang Anda pilih di panel Entitas terkait. Panel ini menampilkan informasi yang berbeda-beda bergantung pada jenis entitas yang Anda pilih di panel Entitas terkait (misalnya, pengguna atau domain).
  • Buka tampilan lama—Buka tampilan investigasi Aset lama. Untuk mengetahui informasi selengkapnya, lihat artikel Menyelidiki aset.

Detail domain

Jika kueri Penelusuran UDM menyertakan kondisi yang menentukan domain tertentu, misalnya target.hostname="example.com", tab Ringkasan akan menampilkan detail Domain dengan informasi di panel berikut:

  • Ringkasan penelusuran—Menampilkan informasi berikut:
    • Detail tentang domain, termasuk informasi WHOIS yang terkait dengan domain terdaftar, pertama kali domain tersebut terlihat di perusahaan Anda, dan terakhir kali (paling baru) domain tersebut terlihat. Klik Konteks VT untuk melihat informasi tentang domain dari VirusTotal.
    • Detail tentang pemberitahuan, termasuk grafik yang menunjukkan jumlah pemberitahuan yang melibatkan entity dalam rentang waktu penelusuran. Panel ini juga mencantumkan subset aturan dengan jumlah pemberitahuan tertinggi.
    • Klik Open Alerts & IOCs untuk melihat semua pemberitahuan yang dihasilkan selama rentang waktu penelusuran yang sama.
    • Klik Lihat di Tab Pemberitahuan untuk beralih ke tab Pemberitahuan di halaman ini dan memulai penelusuran baru terhadap entitas yang dipilih.
    • Klik salah satu batang pada diagram untuk beralih ke tab Alerts di halaman ini dan memulai penelusuran baru terhadap entitas yang dipilih, menggunakan rentang waktu batang yang diklik.
    • Klik link Lihat lainnya untuk membuka tampilan Kolom entitas dan menampilkan semua kolom entitas yang terkait dengan domain. Untuk menyalin kolom entitas ke papan klip, klik kotak centang di samping kolom entitas, klik Lihat tindakan, lalu klik Salin entitas. Klik kotak centang di bagian atas untuk memilih semua entitas.
  • IP yang diselesaikan—Menampilkan semua alamat IP yang telah diselesaikan dan terlihat di perusahaan Anda untuk nama domain yang sepenuhnya memenuhi syarat (FQDN). Misalnya, jika Anda menelusuri target.hostname="test.altostrat.com", hasil penelusuran mungkin menampilkan dua alamat IP yang telah diselesaikan (198.51.100.81 dan 203.0.113.81).
  • Subdomain dan domain selevel—Menampilkan semua subdomain terkait yang telah terlihat di perusahaan Anda untuk FQDN tertentu. Banyak penyerang menggunakan domain dan subdomain yang sama untuk serangan mereka. Misalnya, jika Anda menelusuri target.hostname="sandbox.altostrat.com", panel ini akan menampilkan dua subdomain, test.sandbox.altostrat.com dan staging.sandbox.altostrat.com.
  • Prevalensi aset—Menampilkan jumlah aset di perusahaan Anda yang telah terhubung ke domain selama seluruh jangka waktu data yang disimpan di akun Google Security Operations Anda. Setiap batang grafik menunjukkan jumlah aset unik di perusahaan Anda yang telah terhubung ke domain pada hari UTC. Mengarahkan kursor ke batang akan menampilkan entitas terkait pada hari UTC yang diwakili oleh batang tersebut. Klik nama entitas untuk melihat ringkasan dan ringkasan entitas di panel konteks entitas yang ditampilkan di sebelah kanan. Klik Lihat peristiwa untuk melihat peristiwa yang terkait dengan entitas yang dipilih di tab peristiwa penelusuran.
  • Entitas terkait—Menampilkan entitas lain yang terkait dengan domain ini, seperti aset yang telah menghubungi domain ini. Daftar ini mencakup jenis entitas, kapan pertama kali terlihat di perusahaan Anda, dan kapan terakhir kali (paling baru) terlihat. Klik entity untuk membuka panel Konteks entity.
  • Konteks entitas—Menampilkan detail tentang entitas yang Anda pilih di panel Entitas terkait. Panel ini menampilkan informasi yang berbeda-beda bergantung pada jenis entitas yang Anda pilih di panel Entitas terkait (misalnya, alamat IP atau domain).
  • Buka tampilan lama—Buka tampilan lama penyelidikan Domain. Untuk mengetahui informasi selengkapnya, lihat Menyelidiki domain.

Detail file

Jika kueri Penelusuran UDM menyertakan kondisi yang menampilkan satu file, misalnya principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a", tab Ringkasan akan menampilkan detail File dengan informasi di panel berikut:

  • Ringkasan penelusuran—Menampilkan informasi berikut:
    • Detail tentang file, termasuk nilai hash, ukuran file, pertama kali dilihat di perusahaan Anda, dan terakhir kali (paling baru) dilihat. Klik Konteks VT untuk melihat informasi tentang file dari VirusTotal.
    • Detail tentang pemberitahuan, termasuk diagram yang menunjukkan jumlah pemberitahuan yang melibatkan entity dalam rentang waktu penelusuran. Panel ini juga mencantumkan subset aturan dengan jumlah pemberitahuan tertinggi.
    • Klik Open Alerts & IOCs untuk melihat semua pemberitahuan yang dihasilkan selama rentang waktu penelusuran yang sama.
    • Klik Lihat di Tab Pemberitahuan untuk beralih ke tab Pemberitahuan di halaman ini dan memulai penelusuran baru terhadap entitas yang dipilih.
    • Klik salah satu batang pada diagram untuk beralih ke tab Alerts di halaman ini dan memulai penelusuran baru terhadap entitas yang dipilih, menggunakan rentang waktu batang yang diklik.
    • Klik link Lihat lainnya untuk membuka tampilan Kolom entitas dan menampilkan semua kolom entitas yang terkait dengan file. Untuk menyalin kolom entitas ke papan klip, klik kotak centang di samping kolom entitas, klik Lihat tindakan, lalu klik Salin entitas. Klik kotak centang di bagian atas untuk memilih semua entitas.
  • IOC yang relevan—Menampilkan IOC yang terkait dengan file. IOC yang diberi tingkat keparahan lebih tinggi ditampilkan terlebih dahulu. Mengklik nama IOC akan membuka penampil entity di sebelah kanan.
  • Prevalensi aset—Menampilkan jumlah aset di perusahaan Anda yang terkait dengan file untuk seluruh jangka waktu data yang disimpan di akun Google SecOps Anda.
  • Entitas terkait—Menampilkan entitas lain yang terkait dengan file ini, seperti aset tempat file ini dieksekusi atau pengguna yang mengakses file. Daftar ini mencakup jenis entitas, kapan pertama kali terlihat di perusahaan Anda, dan kapan terakhir kali (paling baru) terlihat. Klik entity untuk membuka panel Konteks entity.
  • Properti & metadata VirusTotal—Menampilkan informasi tentang file dari database VirusTotal. Klik Lihat lainnya untuk membuka dialog VirusTotal dan menampilkan informasi tambahan tentang file.
  • Entitas terkait—Menampilkan informasi yang berbeda, bergantung pada jenis entitas yang Anda pilih di panel Entitas terkait (misalnya, pengguna atau aset).
  • Konteks entitas—Menampilkan detail tentang entitas yang Anda pilih di panel Entitas terkait. Panel ini menampilkan informasi yang berbeda-beda, bergantung pada jenis entitas yang Anda pilih di panel Entitas terkait (misalnya, pengguna atau aset).
  • Buka tampilan lama—Buka tampilan lama File penyelidikan. Untuk mengetahui informasi selengkapnya, lihat Menyelidiki file.

Detail IP

Jika kueri Penelusuran UDM menyertakan kondisi yang menampilkan alamat IP eksternal tertentu, misalnya target.ip="203.0.113.254", tab Ringkasan akan menampilkan detail IP dengan informasi di panel berikut:

  • Ringkasan penelusuran—Menampilkan informasi berikut:
    • Detail tentang alamat IP, termasuk pertama kali alamat IP tersebut terlihat di perusahaan Anda dan terakhir kali (paling baru) alamat IP tersebut terlihat. Klik Konteks VT untuk melihat informasi yang tersedia tentang alamat IP ini dari VirusTotal.
    • Detail tentang pemberitahuan, termasuk grafik yang menunjukkan jumlah pemberitahuan yang melibatkan entity dalam rentang waktu penelusuran. Panel ini juga mencantumkan subset aturan dengan jumlah pemberitahuan tertinggi.
    • Klik Open Alerts & IOCs untuk melihat semua pemberitahuan yang dihasilkan selama rentang waktu penelusuran yang sama.
    • Klik Lihat di Tab Pemberitahuan untuk beralih ke tab Pemberitahuan di halaman ini dan memulai penelusuran baru terhadap entitas yang dipilih.
    • Klik salah satu batang pada diagram untuk beralih ke tab Alerts di halaman ini dan memulai penelusuran baru terhadap entitas yang dipilih, menggunakan rentang waktu batang yang diklik.
    • Klik link Lihat lainnya untuk membuka tampilan Kolom entitas dan menampilkan semua kolom entitas yang terkait dengan alamat IP. Untuk menyalin kolom entitas ke papan klip, klik kotak centang di samping kolom entitas, klik Lihat tindakan, lalu klik Salin entitas. Klik kotak centang di bagian atas untuk memilih semua entitas.
  • IOC yang relevan—Menampilkan IOC yang terkait dengan alamat IP. IOC yang diberi tingkat keparahan lebih tinggi ditampilkan terlebih dahulu. Mengklik nama IOC akan membuka penampil entity di sebelah kanan.
  • Prevalensi aset—Menampilkan jumlah aset di perusahaan Anda yang telah terhubung ke alamat IP selama jangka waktu yang ditentukan dalam penelusuran UDM.
  • Entitas terkait—Menampilkan entitas lain yang terkait dengan alamat IP ini, seperti domain yang alamat IP-nya terdaftar. Daftar ini mencakup jenis entitas, kapan pertama kali terlihat di perusahaan Anda, dan kapan terakhir kali (paling baru) terlihat. Klik entity untuk membuka panel Konteks entity.
  • Konteks entitas—Menampilkan detail tentang entitas yang Anda pilih di panel Entitas terkait. Panel ini menampilkan informasi yang berbeda-beda bergantung pada jenis entitas yang Anda pilih di panel Entitas terkait (misalnya, domain atau aset). Jika link ditampilkan, klik VT Context untuk melihat informasi tentang entitas dari VirusTotal.
  • Buka tampilan lama—Buka tampilan lama penyelidikan Alamat IP. Untuk mengetahui informasi selengkapnya, lihat Menyelidiki alamat IP.

Detail pengguna

Jika kueri Penelusuran UDM menyertakan kondisi yang menampilkan pengguna tertentu, misalnya principal.user.userid="alice", tab Ringkasan akan menampilkan detail Pengguna dengan informasi di panel berikut:

  • Ringkasan penelusuran—Menampilkan informasi berikut:
    • Detail tentang entitas, termasuk nama lengkap, pertama kali terlihat di perusahaan Anda dan terakhir kali (paling baru) terlihat, jabatan, dan alamat email.
    • Detail tentang pemberitahuan, termasuk grafik yang menunjukkan jumlah pemberitahuan yang melibatkan entity dalam rentang waktu penelusuran. Panel ini juga mencantumkan subset aturan dengan jumlah pemberitahuan tertinggi.
    • Klik Open Alerts & IOCs untuk melihat semua pemberitahuan yang dihasilkan selama rentang waktu penelusuran yang sama.
    • Klik Lihat di Tab Pemberitahuan untuk beralih ke tab Pemberitahuan di halaman ini dan memulai penelusuran baru terhadap entitas yang dipilih.
    • Klik salah satu batang pada diagram untuk beralih ke tab Alerts di halaman ini dan memulai penelusuran baru terhadap entitas yang dipilih, menggunakan rentang waktu batang yang diklik.
    • Klik link Lihat lainnya untuk membuka tampilan Kolom entitas dan menampilkan semua kolom entitas yang terkait dengan pengguna. Untuk menyalin kolom entitas ke papan klip, klik kotak centang di samping kolom entitas, klik Lihat tindakan, lalu klik Salin entitas. Klik kotak centang di bagian atas untuk memilih semua entitas.
  • Entitas terkait—Menampilkan entitas yang terkait dengan pengguna ini, seperti domain yang dihubungi pengguna atau aset yang diakses pengguna. Daftar ini mencakup jenis entitas, kapan pertama kali terlihat di perusahaan Anda, dan kapan terakhir kali (paling baru) terlihat. Klik entity untuk membuka panel Konteks entity.
  • Konteks entitas—Menampilkan detail tentang entitas yang Anda pilih di panel Entitas terkait. Informasi di panel ini berbeda-beda, bergantung pada jenis entitas (misalnya, aset atau domain).
  • Buka tampilan lama—Buka tampilan investigasi Pengguna lama. Untuk mengetahui informasi selengkapnya, lihat Menyelidiki pengguna.

Tab Acara

Tab Peristiwa menampilkan peristiwa yang terhubung ke penelusuran UDM Anda selama rentang waktu tertentu. Peristiwa ini tercantum dalam tabel Peristiwa. Mengklik stempel waktu peristiwa akan membuka dialog yang menampilkan aset dan file yang terkait dengan peristiwa tersebut. Mengklik salah satu item ini akan membuka panel Konteks entitas yang memberikan informasi tambahan tentang entitas, termasuk daftar notifikasi terkait dan grafik notifikasi yang menunjukkan frekuensi notifikasi tersebut dari waktu ke waktu.

Untuk mengetahui informasi tentang peristiwa UDM, lihat Struktur Peristiwa UDM.

Gunakan opsi Pivot untuk membuka Setelan pivot. Setelan ini memungkinkan Anda menganalisis peristiwa menggunakan ekspresi dan fungsi terhadap hasil dari Penelusuran UDM. Untuk mengetahui informasi selengkapnya, lihat Menggunakan Tabel Pivot untuk menganalisis peristiwa.

Diagram tren dari waktu ke waktu

Diagram Tren dari waktu ke waktu menampilkan peristiwa selama jangka waktu yang ditentukan dalam penelusuran UDM. Peringatan ditampilkan dengan warna merah di bawah diagram. Mengklik salah satu batang akan mempersempit fokus tab Peristiwa ke jangka waktu tersebut. Acara yang terkait dengan slot waktu tersebut ditampilkan di tabel Acara.

Diagram prevalensi domain

Diagram Prevalensi domain menampilkan prevalensi domain yang terkait dengan penelusuran Anda dalam perusahaan Anda. Mengarahkan kursor ke salah satu lingkaran pada diagram akan menampilkan domain tertentu dan memungkinkan Anda mempersempit penelusuran ke acara yang terkait dengan domain tersebut saja. Diagram hanya ditampilkan jika penelusuran UDM Anda menyertakan domain.

Tab Peringatan

Tab Peringatan memungkinkan Anda menampilkan informasi mendetail tentang peringatan yang terhubung ke penelusuran UDM Anda.

  • Grafik—Menampilkan jumlah pemberitahuan per periode selama jangka waktu yang ditentukan dalam penelusuran UDM (periode bervariasi bergantung pada durasi penelusuran). Kotak centang Notifikasi yang difilter memungkinkan Anda melihat atau menyembunyikan notifikasi yang diproses oleh opsi Filter. Kotak centang Peringatan kueri memungkinkan Anda melihat atau menyembunyikan semua peringatan yang diproses oleh penelusuran UDM.
  • Filter—Memungkinkan Anda memfilter pemberitahuan berdasarkan opsi yang tercantum. Misalnya, Anda dapat mengklik Tingkat Keseriusan, mengklik opsi menu untuk Sedang, dan memilih Tampilkan saja. Grafik dan tabel dimuat ulang untuk menampilkan hanya peringatan dengan tingkat keparahan sedang.
  • Tabel Pemberitahuan—Menampilkan pemberitahuan yang terkait dengan penelusuran UDM. Mengklik notifikasi akan membuka Penampil notifikasi untuk menampilkan informasi tambahan. Mengklik Lihat detail akan membuka tampilan Pemberitahuan dan IOC (lihat Melihat Pemberitahuan dan IOC). Jika Anda mengklik batang filter tertentu dalam grafik, hanya pemberitahuan yang terkait dengan batang tersebut yang ditampilkan. Demikian pula, jika Anda menambahkan filter, tabel akan dimuat ulang dan hanya menampilkan pemberitahuan yang terkait dengan pilihan Anda.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.