Utilizzare la ricerca UDM per esaminare un'entità

Supportato in:

Durante un'indagine, puoi scrivere una query di ricerca UDM per visualizzare i dettagli di una o più entità (ad esempio, un indirizzo IP, un utente o un asset) oltre agli eventi e agli avvisi che corrispondono ai termini della query di ricerca.

Nei sistemi che utilizzano il controllo degli accessi basato sui ruoli (RBAC) dei dati, puoi visualizzare solo i dati che corrispondono ai tuoi ambiti. Per saperne di più, consulta Impatto di RBAC sui dati sulla Ricerca.

Quando una query di ricerca include una condizione che identifica un'entità specifica (ad esempio, principal.ip="10.0.31.20"), i risultati di ricerca includono dettagli sull'entità (se presente nella tua azienda) oltre agli eventi UDM che corrispondono all'intera query di ricerca.

Il riquadro dei risultati di ricerca include le seguenti schede:

  • Panoramica: dettagli su una o più entità specifiche.
  • Eventi: risultati di ricerca che corrispondono all'intera query di ricerca e all'intervallo di tempo di ricerca.
  • Avvisi: avvisi generati da eventi che corrispondono all'intera query di ricerca.

Le condizioni della query di ricerca UDM possono includere sia campi UDM (principal.hostname="alice") sia campi raggruppati (hostname="alice").

La query di ricerca UDM può includere più condizioni, ognuna delle quali specifica un identificatore di entità diverso. Ecco alcuni esempi di query:

  • principal.hostname="alicehost" and user="alice"
  • principal.hostname="alicehost" and (user="kai" or user="alice")
  • principal.hostname="alicehost" and target.hostname="altostrat.com"
  • principal.hostname="alicehost" and hash="40a80612aaa8a8a36aa82a1278aaa02a"
  • hostname="alicehost" and domain=/altostrat.com/ nocase
  • user="alice" and domain=/altostrat.com/ nocase

La seguente tabella include query di ricerca UDM di esempio per una o più entità e il tipo di informazioni visualizzate:

Tipo di informazione Esempi di query di ricerca UDM
Asset
  • hostname="laptop-kai"
  • principal.hostname="laptop-kai"
  • principal.ip="10.0.0.76" //(private IP address)
  • principal.mac="c5:0c:9c:aa:bb:c4"
  • principal.hostname="laptop-kai" and metadata.event_type = "NETWORK_CONNECTION"
  • hostname="laptop-kai" or hostname="desktop-kai"
Dominio
  • domain="example.com"
  • target.hostname="example.com"
File
  • hash="44a88612faa8a8f36ae82a1278aaa02a"
  • principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a"
IP
  • ip="8.8.8.8"
  • target.ip="203.0.113.204" //(public IP address)
Utente
  • user="alice"
  • target.user.email_address="smitha@example.com"
  • principal.user.userid="alice" or target.user.userid = "smitha"
  • email="john@altostrat.com" or email="alice@example.com"
  • principal.user.userid="smitha"

Scheda Panoramica

La scheda Panoramica mostra le informazioni sull'entità in uno dei seguenti tipi di informazioni predefiniti. Le informazioni presentate variano a seconda del tipo di informazioni.

Dettagli asset

Quando la query di ricerca UDM include una condizione che restituisce un asset specifico, ad esempio principal.hostname="laptop-will" o principal.ip="10.0.0.76", la scheda Panoramica mostra la visualizzazione Asset con le informazioni nei seguenti riquadri:

  • Riepilogo della ricerca: mostra le seguenti informazioni:
    • Dettagli sull'entità, inclusi l'indirizzo IP e l'indirizzo MAC associati alla risorsa durante l'intervallo di tempo della ricerca. L'indirizzo IP e l'indirizzo MAC possono essere utilizzati anche per identificare un'entità e possono essere cliccati per visualizzare informazioni aggiuntive nel visualizzatore di entità. Mostra anche la prima volta che l'asset è stato visualizzato nella tua azienda e l'ultima volta che è stato visualizzato. Puoi fare clic sul primo o sull'ultimo timestamp per eseguire una nuova ricerca utilizzando quell'ora.
    • Dettagli sugli avvisi, incluso un grafico che mostra il numero di avvisi che hanno coinvolto l'entità nell'intervallo di tempo della ricerca. Il riquadro elenca anche un sottoinsieme di regole con il maggior numero di avvisi.
    • Fai clic su Apri avvisi e indicatori di compromissione per visualizzare tutti gli avvisi generati nello stesso intervallo di tempo di ricerca.
    • Fai clic su Visualizza nella scheda Avvisi per passare alla scheda Avvisi di questa pagina e avviare una nuova ricerca in base all'entità selezionata.
    • Fai clic su una delle barre del grafico per passare alla scheda Avvisi di questa pagina e avvia una nuova ricerca sull'entità selezionata, utilizzando l'intervallo di tempo della barra su cui hai fatto clic.
    • Fai clic sul link Visualizza altro per aprire la visualizzazione Campi entità e visualizzare tutti i campi entità associati all'asset. Per copiare un campo entità negli appunti, fai clic sulla casella di controllo accanto al campo entità, fai clic su Visualizza azioni e poi su Copia entità. Fai clic sulla casella di controllo in alto per selezionare tutte le entità.
  • IOC pertinenti: mostra gli IOC associati alla risorsa. Gli IOC a cui è assegnata una gravità maggiore vengono visualizzati per primi. Se fai clic sul nome dell'indicatore di compromissione, si apre il visualizzatore di entità a destra.
  • Entità associate: mostra altre entità a cui questo asset è correlato, ad esempio gli utenti che hanno eseguito l'accesso all'asset. Il riquadro mostra il tipo di entità, la prima volta che è stata visualizzata nell'ambiente e l'ultima volta (più recente) che è stata visualizzata. Mostra anche gli spazi dei nomi associati a una risorsa. Fai clic su un'entità per aprire il riquadro Contesto entità. Fai clic su Mostra tutto il periodo di tempo per visualizzare le entità associate nell'intero periodo di tempo disponibile anziché nell'intervallo specificato nella ricerca UDM.
  • Contesto dell'entità: mostra i dettagli dell'entità selezionata nel riquadro Entità associate. Questo riquadro mostra informazioni diverse a seconda del tipo di entità selezionato nel riquadro Entità associate (ad esempio, utente o dominio).
  • Vai alla visualizzazione legacy: vai alla visualizzazione legacy dell'indagine sugli asset. Per saperne di più, consulta Esaminare un asset.

Dettagli del dominio

Quando la query di ricerca UDM include una condizione che specifica un dominio specifico, ad esempio target.hostname="example.com", la scheda Panoramica mostra i dettagli del Dominio con le informazioni nei seguenti riquadri:

  • Riepilogo della ricerca: mostra le seguenti informazioni:
    • Dettagli sul dominio, tra cui le informazioni WHOIS associate al dominio registrato, la prima volta che è stato visualizzato nella tua azienda e l'ultima (più recente) volta che è stato visualizzato. Fai clic su Contesto VT per visualizzare le informazioni sul dominio da VirusTotal.
    • Dettagli sugli avvisi, incluso un grafico che mostra il numero di avvisi che hanno coinvolto l'entità nell'intervallo di tempo della ricerca. Il riquadro elenca anche un sottoinsieme di regole con il maggior numero di avvisi.
    • Fai clic su Apri avvisi e indicatori di compromissione per visualizzare tutti gli avvisi generati nello stesso intervallo di tempo di ricerca.
    • Fai clic su Visualizza nella scheda Avvisi per passare alla scheda Avvisi di questa pagina e avviare una nuova ricerca in base all'entità selezionata.
    • Fai clic su una delle barre del grafico per passare alla scheda Avvisi di questa pagina e avvia una nuova ricerca sull'entità selezionata, utilizzando l'intervallo di tempo della barra su cui hai fatto clic.
    • Fai clic sul link Visualizza altro per aprire la visualizzazione Campi entità e visualizzare tutti i campi entità associati al dominio. Per copiare un campo entità negli appunti, fai clic sulla casella di controllo accanto al campo entità, fai clic su Visualizza azioni e poi su Copia entità. Fai clic sulla casella di controllo in alto per selezionare tutte le entità.
  • IP risolti: mostra tutti gli indirizzi IP risolti visualizzati nella tua azienda per il nome di dominio completo (FQDN). Ad esempio, se cerchi target.hostname="test.altostrat.com", i risultati di ricerca potrebbero mostrare due indirizzi IP risolti (198.51.100.81 e 203.0.113.81).
  • Sottodomini e domini di pari livello: mostra tutti i sottodomini associati che sono stati visualizzati nella tua azienda per un determinato FQDN. Molti avversari utilizzano lo stesso dominio e sottodominio per i loro attacchi. Ad esempio, se cerchi target.hostname="sandbox.altostrat.com", questo pannello mostra due sottodomini, test.sandbox.altostrat.com e staging.sandbox.altostrat.com.
  • Prevalenza degli asset: mostra il numero di asset nella tua azienda che si sono connessi al dominio per l'intero periodo di tempo dei dati memorizzati nel tuo account Google Security Operations. Ogni barra del grafico rappresenta il numero di asset unici nella tua azienda che si sono connessi al dominio in un giorno UTC. Se passi il mouse sopra una barra, vengono visualizzate le entità correlate nel giorno UTC rappresentato dalla barra. Fai clic sul nome dell'entità per visualizzare il riepilogo e la panoramica nell'apposito riquadro visualizzato a destra. Fai clic su Visualizza eventi per visualizzare gli eventi correlati all'entità selezionata nella scheda Eventi di ricerca.
  • Entità associate: mostra altre entità a cui è correlato questo dominio, ad esempio asset che hanno contattato questo dominio. L'elenco include il tipo di entità, la prima volta che è stata visualizzata nella tua azienda e l'ultima volta (più recente) che è stata visualizzata. Fai clic su un'entità per aprire il riquadro Contesto entità.
  • Contesto dell'entità: mostra i dettagli dell'entità selezionata nel riquadro Entità associate. Questo riquadro mostra informazioni diverse a seconda del tipo di entità selezionato nel riquadro Entità associate (ad esempio indirizzo IP o dominio).
  • Vai alla visualizzazione legacy: vai alla visualizzazione legacy dell'indagine Dominio. Per ulteriori informazioni, vedi Esaminare un dominio.

Dettagli file

Quando la query di ricerca UDM include una condizione che restituisce un singolo file, ad esempio principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a", la scheda Panoramica mostra i dettagli del File con le informazioni nei seguenti riquadri:

  • Riepilogo della ricerca: mostra le seguenti informazioni:
    • Dettagli sul file, inclusi valori hash, dimensioni del file, la prima volta che è stato visto nella tua azienda e l'ultima (più recente) volta che è stato visto. Fai clic su Contesto VT per visualizzare le informazioni sul file di VirusTotal.
    • Dettagli sugli avvisi, incluso un grafico che mostra il numero di avvisi che hanno coinvolto l'entità nell'intervallo di tempo della ricerca. Il riquadro elenca anche un sottoinsieme di regole con il maggior numero di avvisi.
    • Fai clic su Apri avvisi e indicatori di compromissione per visualizzare tutti gli avvisi generati nello stesso intervallo di tempo di ricerca.
    • Fai clic su Visualizza nella scheda Avvisi per passare alla scheda Avvisi di questa pagina e avviare una nuova ricerca in base all'entità selezionata.
    • Fai clic su una delle barre del grafico per passare alla scheda Avvisi di questa pagina e avvia una nuova ricerca sull'entità selezionata, utilizzando l'intervallo di tempo della barra su cui hai fatto clic.
    • Fai clic sul link Visualizza altro per aprire la visualizzazione Campi entità e visualizzare tutti i campi entità associati al file. Per copiare un campo entità negli appunti, fai clic sulla casella di controllo accanto al campo entità, fai clic su Visualizza azioni e poi su Copia entità. Fai clic sulla casella di controllo in alto per selezionare tutte le entità.
  • IOC pertinenti: mostra gli IOC associati al file. Gli IOC a cui è assegnata una gravità maggiore vengono visualizzati per primi. Se fai clic sul nome dell'indicatore di compromissione, si apre il visualizzatore di entità a destra.
  • Prevalenza degli asset: mostra il numero di asset nella tua azienda associati al file per l'intero periodo di tempo dei dati archiviati nel tuo account Google SecOps.
  • Entità associate: mostra altre entità a cui questo file è correlato, ad esempio un asset in cui è stato eseguito questo file o gli utenti che hanno eseguito l'accesso al file. L'elenco include il tipo di entità, la data della prima visualizzazione nell'azienda e la data dell'ultima (più recente) visualizzazione. Fai clic su un'entità per aprire il riquadro Contesto entità.
  • Proprietà e metadati di VirusTotal: mostra informazioni sul file dal database di VirusTotal. Fai clic su Visualizza altro per aprire una finestra di dialogo di VirusTotal e visualizzare ulteriori informazioni sul file.
  • Entità associate: mostra informazioni diverse a seconda del tipo di entità selezionato nel riquadro Entità associate (ad esempio, utente o asset).
  • Contesto dell'entità: mostra i dettagli dell'entità selezionata nel riquadro Entità associate. Questo riquadro mostra informazioni diverse a seconda del tipo di entità selezionata nel riquadro Entità associate (ad esempio, utente o asset).
  • Vai alla visualizzazione legacy: vai alla visualizzazione legacy dell'indagine sui file. Per ulteriori informazioni, vedi Analizzare un file.

Dettagli IP

Quando la query di ricerca UDM include una condizione che restituisce un indirizzo IP esterno specifico, ad esempio target.ip="203.0.113.254", la scheda Panoramica mostra i dettagli dell'IP con le informazioni nei seguenti riquadri:

  • Riepilogo della ricerca: mostra le seguenti informazioni:
    • Dettagli sull'indirizzo IP, inclusi la prima volta che è stato visualizzato nella tua azienda e l'ultima (più recente) volta che è stato visualizzato. Fai clic su Contesto VT per visualizzare le informazioni disponibili su questo indirizzo IP da VirusTotal.
    • Dettagli sugli avvisi, incluso un grafico che mostra il numero di avvisi che hanno coinvolto l'entità nell'intervallo di tempo della ricerca. Il riquadro elenca anche un sottoinsieme di regole con il maggior numero di avvisi.
    • Fai clic su Apri avvisi e indicatori di compromissione per visualizzare tutti gli avvisi generati nello stesso intervallo di tempo di ricerca.
    • Fai clic su Visualizza nella scheda Avvisi per passare alla scheda Avvisi di questa pagina e avviare una nuova ricerca in base all'entità selezionata.
    • Fai clic su una delle barre del grafico per passare alla scheda Avvisi di questa pagina e avvia una nuova ricerca sull'entità selezionata, utilizzando l'intervallo di tempo della barra su cui hai fatto clic.
    • Fai clic sul link Visualizza altro per aprire la visualizzazione Campi entità e visualizzare tutti i campi entità associati all'indirizzo IP. Per copiare un campo dell'entità negli appunti, fai clic sulla casella di controllo accanto al campo dell'entità, fai clic su Visualizza azioni e poi su Copia entità. Fai clic sulla casella di controllo in alto per selezionare tutte le entità.
  • IOC pertinenti: mostra gli IOC associati all'indirizzo IP. Gli IOC a cui è assegnata una gravità maggiore vengono visualizzati per primi. Se fai clic sul nome dell'indicatore di compromissione, si apre il visualizzatore di entità a destra.
  • Prevalenza degli asset: mostra il numero di asset nella tua azienda che si sono connessi all'indirizzo IP nel periodo di tempo specificato nella ricerca UDM.
  • Entità associate: mostra altre entità a cui è correlato questo indirizzo IP, ad esempio i domini a cui è registrato l'indirizzo IP. L'elenco include il tipo di entità, la prima volta che è stata visualizzata nella tua azienda e l'ultima volta (più recente) che è stata visualizzata. Fai clic su un'entità per aprire il riquadro Contesto entità.
  • Contesto dell'entità: mostra i dettagli dell'entità selezionata nel riquadro Entità associate. Questo riquadro mostra informazioni diverse a seconda del tipo di entità selezionato nel riquadro Entità associate (ad esempio, dominio o asset). Se il link viene visualizzato, fai clic su VT Context per visualizzare le informazioni sull'entità da VirusTotal.
  • Vai alla visualizzazione legacy: vai alla visualizzazione legacy dell'analisi dell'indirizzo IP. Per saperne di più, vedi Esaminare un indirizzo IP.

Dettagli utente

Quando la query di ricerca UDM include una condizione che restituisce un utente specifico, ad esempio principal.user.userid="alice", la scheda Panoramica mostra i dettagli dell'utente con informazioni nei seguenti riquadri:

  • Riepilogo della ricerca: mostra le seguenti informazioni:
    • Dettagli sull'entità, inclusi nome completo, prima volta che è stata visualizzata nella tua azienda e l'ultima (più recente) volta che è stata visualizzata, titolo e indirizzo email.
    • Dettagli sugli avvisi, incluso un grafico che mostra il numero di avvisi che hanno coinvolto l'entità nell'intervallo di tempo della ricerca. Il riquadro elenca anche un sottoinsieme di regole con il maggior numero di avvisi.
    • Fai clic su Apri avvisi e indicatori di compromissione per visualizzare tutti gli avvisi generati nello stesso intervallo di tempo di ricerca.
    • Fai clic su Visualizza nella scheda Avvisi per passare alla scheda Avvisi di questa pagina e avviare una nuova ricerca in base all'entità selezionata.
    • Fai clic su una delle barre del grafico per passare alla scheda Avvisi di questa pagina e avvia una nuova ricerca sull'entità selezionata, utilizzando l'intervallo di tempo della barra su cui hai fatto clic.
    • Fai clic sul link Visualizza altro per aprire la visualizzazione Campi entità e visualizzare tutti i campi entità associati all'utente. Per copiare un campo entità negli appunti, fai clic sulla casella di controllo accanto al campo entità, fai clic su Visualizza azioni e poi su Copia entità. Fai clic sulla casella di controllo in alto per selezionare tutte le entità.
  • Entità associate: mostra le entità a cui è correlato questo utente, ad esempio i domini contattati dall'utente o gli asset a cui ha avuto accesso. L'elenco include il tipo di entità, la prima volta che è stata visualizzata nella tua azienda e l'ultima volta (più recente) che è stata visualizzata. Fai clic su un'entità per aprire il riquadro Contesto entità.
  • Contesto entità: mostra i dettagli dell'entità selezionata nel riquadro Entità associate. Le informazioni in questo riquadro variano a seconda del tipo di entità (ad esempio asset o dominio).
  • Vai alla visualizzazione legacy: vai alla visualizzazione legacy dell'indagine Utente. Per saperne di più, vedi Esaminare un utente.

Scheda Eventi

La scheda Eventi mostra gli eventi collegati alla ricerca UDM nell'intervallo di tempo specificato. Questi eventi sono elencati nella tabella Eventi. Se fai clic sul timestamp di un evento, si apre una finestra di dialogo che mostra gli asset e i file associati all'evento. Se fai clic su uno di questi elementi, si apre il riquadro Contesto entità, che fornisce ulteriori informazioni sull'entità, tra cui un elenco di eventuali avvisi associati e un grafico degli avvisi che mostra la frequenza di questi avvisi nel tempo.

Per informazioni sugli eventi UDM, vedi Struttura di un evento UDM.

Utilizza l'opzione Pivot per aprire le impostazioni della tabella pivot. Queste impostazioni ti consentono di analizzare gli eventi utilizzando espressioni e funzioni in base ai risultati della ricerca UDM. Per ulteriori informazioni, vedi Utilizzare la tabella pivot per analizzare gli eventi.

Grafico della tendenza nel tempo

Il grafico Tendenza nel tempo mostra gli eventi nel periodo di tempo specificato nella ricerca UDM. Gli avvisi vengono visualizzati in rosso sotto il grafico. Se fai clic su una delle barre, l'attenzione della scheda Eventi si concentra su quel periodo di tempo. Gli eventi associati a quella fascia oraria vengono visualizzati nella tabella Eventi.

Grafico della prevalenza del dominio

Il grafico Prevalenza del dominio mostra la prevalenza dei domini associati alla tua ricerca all'interno dell'azienda. Se passi il mouse sopra uno dei cerchi del grafico, viene visualizzato il dominio specifico e puoi restringere la ricerca agli eventi associati solo a quel dominio. Il grafico viene visualizzato solo se la ricerca UDM include un dominio.

Scheda avvisi

La scheda Avvisi consente di visualizzare informazioni dettagliate sugli avvisi collegati alla ricerca UDM.

  • Grafico: mostra il numero di avvisi per periodo nel tempo specificato nella ricerca UDM (il periodo varia a seconda della durata della ricerca). La casella di controllo Avvisi filtrati consente di visualizzare o nascondere gli avvisi elaborati dalle opzioni Filtri. La casella di controllo Avvisi query consente di visualizzare o nascondere tutti gli avvisi elaborati dalla ricerca UDM.
  • Filtri: consente di filtrare gli avvisi in base alle opzioni elencate. Ad esempio, puoi fare clic su Gravità, fare clic sull'opzione di menu per Media e selezionare Mostra solo. Il grafico e la tabella vengono ricaricati per mostrare solo gli avvisi con gravità media.
  • Tabella Avvisi: mostra gli avvisi associati alla ricerca UDM. Se fai clic su un avviso, si apre il visualizzatore di avvisi per visualizzare ulteriori informazioni. Se fai clic su Visualizza dettagli, si apre la visualizzazione Avvisi e indicatori di compromissione (vedi Visualizzare avvisi e indicatori di compromissione). Se fai clic su una barra di filtro specifica nel grafico, vengono visualizzati solo gli avvisi associati a quella barra. Allo stesso modo, se aggiungi filtri, la tabella si ricarica e mostra solo gli avvisi associati alle tue selezioni.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.