Usar a pesquisa do UDM para investigar uma entidade

Compatível com:

Durante uma investigação, você pode escrever uma consulta de pesquisa da UDM para mostrar detalhes sobre uma ou mais entidades (por exemplo, um endereço IP, um usuário ou um recurso), além dos eventos e alertas que correspondem aos termos da consulta de pesquisa.

Em sistemas que usam o RBAC de dados, só é possível ver dados que correspondem aos seus escopos. Para mais informações, consulte Impacto do RBAC de dados na Pesquisa.

Quando uma consulta de pesquisa inclui uma condição que identifica uma entidade específica (por exemplo, principal.ip="10.0.31.20"), os resultados da pesquisa incluem detalhes sobre a entidade (se ela estiver presente na sua empresa), além de eventos do UDM que correspondem a toda a consulta de pesquisa.

O painel de resultados da pesquisa inclui as seguintes guias:

  • Visão geral: detalhes sobre uma ou mais entidades específicas.
  • Eventos: resultados da pesquisa que correspondem a toda a consulta e ao período da pesquisa.
  • Alertas: alertas gerados por eventos que correspondem a toda a consulta de pesquisa.

As condições de consulta da pesquisa do UDM podem incluir campos do UDM (principal.hostname="alice") e campos agrupados (hostname="alice").

A consulta de pesquisa da UDM pode incluir várias condições, cada uma especificando um identificador de entidade diferente. Exemplos de consultas:

  • principal.hostname="alicehost" and user="alice"
  • principal.hostname="alicehost" and (user="kai" or user="alice")
  • principal.hostname="alicehost" and target.hostname="altostrat.com"
  • principal.hostname="alicehost" and hash="40a80612aaa8a8a36aa82a1278aaa02a"
  • hostname="alicehost" and domain=/altostrat.com/ nocase
  • user="alice" and domain=/altostrat.com/ nocase

A tabela a seguir inclui exemplos de consultas de pesquisa da UDM para uma ou mais entidades e o tipo de informação exibida:

Tipo de informação Exemplo de consultas de pesquisa do UDM
Recurso
  • hostname="laptop-kai"
  • principal.hostname="laptop-kai"
  • principal.ip="10.0.0.76" //(private IP address)
  • principal.mac="c5:0c:9c:aa:bb:c4"
  • principal.hostname="laptop-kai" and metadata.event_type = "NETWORK_CONNECTION"
  • hostname="laptop-kai" or hostname="desktop-kai"
Domínio
  • domain="example.com"
  • target.hostname="example.com"
Arquivo
  • hash="44a88612faa8a8f36ae82a1278aaa02a"
  • principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a"
IP
  • ip="8.8.8.8"
  • target.ip="203.0.113.204" //(public IP address)
Usuário
  • user="alice"
  • target.user.email_address="smitha@example.com"
  • principal.user.userid="alice" or target.user.userid = "smitha"
  • email="john@altostrat.com" or email="alice@example.com"
  • principal.user.userid="smitha"

Guia Visão Geral

A guia Visão geral mostra informações da entidade em um dos seguintes tipos de informações predefinidos. As informações apresentadas variam de acordo com o tipo.

Detalhes dos recursos

Quando a consulta de pesquisa da UDM inclui uma condição que retorna um recurso específico, por exemplo, principal.hostname="laptop-will" ou principal.ip="10.0.0.76", a guia Visão geral mostra a Visualização de recursos com informações nos seguintes painéis:

  • Resumo da pesquisa: mostra as seguintes informações:
    • Detalhes sobre a entidade, incluindo o endereço IP e o endereço MAC associados ao recurso durante o período da pesquisa. O endereço IP e o endereço MAC também podem ser usados para identificar uma entidade e podem ser clicados para mostrar mais informações no visualizador de entidades. Ele também mostra a primeira vez que o recurso foi visto na sua empresa e quando ele foi visto pela última vez (mais recentemente). Clique em qualquer um dos carimbos de data/hora (primeiro ou último) para fazer uma nova pesquisa usando esse horário.
    • Detalhes sobre alertas, incluindo um gráfico que mostra o número de alertas que envolveram a entidade no período de pesquisa. O painel também lista um subconjunto de regras com o maior número de alertas.
    • Clique em Abrir alertas e IOCs para ver todos os alertas gerados durante o mesmo período de pesquisa.
    • Clique em Ver na guia "Alertas" para mudar para a guia Alertas nesta página e iniciar uma nova pesquisa na entidade selecionada.
    • Clique em uma das barras do gráfico para mudar para a guia Alertas nesta página e iniciar uma nova pesquisa na entidade selecionada, usando o período da barra clicada.
    • Clique no link Ver mais para abrir a visualização Campos de entidade e mostrar todos os campos de entidade associados ao recurso. Para copiar um campo de entidade para a área de transferência, clique na caixa de seleção ao lado dele, em Ver ações e em Copiar entidade. Clique na caixa de seleção na parte de cima para selecionar todas as entidades.
  • IOCs relevantes: mostra os IOCs associados ao recurso. Os IOCs com maior gravidade aparecem primeiro. Ao clicar no nome do IOC, o visualizador de entidades é aberto à direita.
  • Entidades associadas: mostra outras entidades relacionadas ao recurso, como usuários que fizeram login nele. O painel mostra o tipo de entidade, quando ela foi vista pela primeira vez no ambiente e quando foi vista pela última vez (mais recentemente). Ele também mostra os namespaces associados a um recurso. Clique em uma entidade para abrir o painel Contexto da entidade. Clique em Mostrar todo o período para exibir as entidades associadas em todo o período disponível, em vez do intervalo especificado na pesquisa da UDM.
  • Contexto da entidade: mostra detalhes sobre a entidade selecionada no painel Entidades associadas. Esse painel mostra informações diferentes dependendo do tipo de entidade selecionada no painel Entidades associadas (por exemplo, usuário ou domínio).
  • Acessar a visualização legada: navegue até a visualização legada de investigação de recursos. Para mais informações, consulte Investigar um recurso.

Detalhes do domínio

Quando a consulta da Pesquisa UDM inclui uma condição que especifica um domínio específico, por exemplo, target.hostname="example.com", a guia Visão geral mostra os detalhes de Domínio com informações nos seguintes painéis:

  • Resumo da pesquisa: mostra as seguintes informações:
    • Detalhes sobre o domínio, incluindo as informações do WHOIS associadas ao domínio registrado, a primeira vez que ele foi visto na sua empresa e a última vez (mais recente) que ele foi visto. Clique em Contexto do VT para ver informações sobre o domínio do VirusTotal.
    • Detalhes sobre alertas, incluindo um gráfico que mostra o número de alertas que envolveram a entidade no período de pesquisa. O painel também lista um subconjunto de regras com o maior número de alertas.
    • Clique em Abrir alertas e IOCs para ver todos os alertas gerados durante o mesmo período de pesquisa.
    • Clique em Ver na guia "Alertas" para mudar para a guia Alertas nesta página e iniciar uma nova pesquisa na entidade selecionada.
    • Clique em uma das barras do gráfico para mudar para a guia Alertas nesta página e iniciar uma nova pesquisa na entidade selecionada, usando o período da barra clicada.
    • Clique no link Ver mais para abrir a visualização Campos de entidade e mostrar todos os campos de entidade associados ao domínio. Para copiar um campo de entidade para a área de transferência, clique na caixa de seleção ao lado dele, em Ver ações e em Copiar entidade. Clique na caixa de seleção na parte de cima para selecionar todas as entidades.
  • IPs resolvidos: mostra todos os endereços IP resolvidos que foram detectados na sua empresa para o nome de domínio totalmente qualificado (FQDN). Por exemplo, se você pesquisar target.hostname="test.altostrat.com", os resultados da pesquisa poderão mostrar dois endereços IP resolvidos (198.51.100.81 e 203.0.113.81).
  • Subdomínios e domínios irmãos: mostra todos os subdomínios associados que foram vistos na sua empresa para um determinado FQDN. Muitos adversários usam o mesmo domínio e subdomínio para os ataques. Por exemplo, se você pesquisar target.hostname="sandbox.altostrat.com", esse painel vai mostrar dois subdomínios, test.sandbox.altostrat.com e staging.sandbox.altostrat.com.
  • Prevalência de recursos: mostra o número de recursos na sua empresa que se conectaram ao domínio durante todo o período dos dados armazenados na sua conta do Google Security Operations. Cada barra do gráfico representa o número de recursos únicos na sua empresa que se conectaram ao domínio em um dia UTC. Passar o cursor sobre uma barra mostra as entidades relacionadas no dia UTC representado por ela. Clique no nome da entidade para ver o resumo e a visão geral dela no painel de contexto à direita. Clique em Ver eventos para conferir os eventos relacionados à entidade selecionada na guia "Eventos de pesquisa".
  • Entidades associadas: mostra outras entidades relacionadas a esse domínio, como recursos que entraram em contato com ele. A lista inclui o tipo de entidade, quando ela foi vista pela primeira vez na sua empresa e quando foi vista pela última vez (mais recentemente). Clique em uma entidade para abrir o painel Contexto da entidade.
  • Contexto da entidade: mostra detalhes sobre a entidade selecionada no painel Entidades associadas. Esse painel mostra informações diferentes dependendo do tipo de entidade selecionada no painel Entidades associadas (por exemplo, endereço IP ou domínio).
  • Acessar a visualização legada: navegue até a visualização legada de investigação de domínio. Para mais informações, consulte Investigar um domínio.

Detalhes do arquivo

Quando a consulta de pesquisa do UDM inclui uma condição que retorna um único arquivo, por exemplo, principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a", a guia Visão geral mostra os detalhes do Arquivo com informações nos seguintes painéis:

  • Resumo da pesquisa: mostra as seguintes informações:
    • Detalhes sobre o arquivo, incluindo valores de hash, tamanho, a primeira vez que ele foi visto na sua empresa e a última vez (mais recente) que ele foi visto. Clique em Contexto do VT para ver informações sobre o arquivo do VirusTotal.
    • Detalhes sobre alertas, incluindo um gráfico mostrando o número de alertas que envolveram a entidade no período de pesquisa. O painel também lista um subconjunto de regras com o maior número de alertas.
    • Clique em Abrir alertas e IOCs para ver todos os alertas gerados durante o mesmo período de pesquisa.
    • Clique em Ver na guia "Alertas" para mudar para a guia Alertas nesta página e iniciar uma nova pesquisa na entidade selecionada.
    • Clique em uma das barras do gráfico para mudar para a guia Alertas nesta página e iniciar uma nova pesquisa na entidade selecionada, usando o período da barra clicada.
    • Clique no link Ver mais para abrir a visualização Campos de entidade e mostrar todos os campos de entidade associados ao arquivo. Para copiar um campo de entidade para a área de transferência, clique na caixa de seleção ao lado dele, em Ver ações e em Copiar entidade. Clique na caixa de seleção na parte de cima para selecionar todas as entidades.
  • IOCs relevantes: mostra os IOCs associados ao arquivo. Os IOCs com maior gravidade aparecem primeiro. Ao clicar no nome do IOC, o visualizador de entidades é aberto à direita.
  • Prevalência de recursos: mostra o número de recursos na sua empresa associados ao arquivo durante todo o período dos dados armazenados na sua conta do Google SecOps.
  • Entidades associadas: mostra outras entidades relacionadas ao arquivo, como um recurso em que ele foi executado ou usuários que acessaram o arquivo. A lista inclui o tipo de entidade, quando ela foi vista pela primeira vez na sua empresa e quando foi vista pela última vez (mais recentemente). Clique em uma entidade para abrir o painel Contexto da entidade.
  • Propriedades e metadados do VirusTotal: mostram informações sobre o arquivo do banco de dados do VirusTotal. Clique em Ver mais para abrir uma caixa de diálogo do VirusTotal e mostrar mais informações sobre o arquivo.
  • Entidades associadas: mostra informações diferentes dependendo do tipo de entidade selecionada no painel Entidades associadas (por exemplo, usuário ou recurso).
  • Contexto da entidade: mostra detalhes sobre a entidade selecionada no painel Entidades associadas. Esse painel mostra informações diferentes dependendo do tipo de entidade selecionada no painel Entidades associadas (por exemplo, usuário ou recurso).
  • Acessar a visualização legada: navegue até a visualização legada de investigação de Arquivo. Para mais informações, consulte Investigar um arquivo.

Detalhes do IP

Quando a consulta da Pesquisa UDM inclui uma condição que retorna um endereço IP externo específico, por exemplo, target.ip="203.0.113.254", a guia Visão geral mostra os detalhes do IP com informações nos seguintes painéis:

  • Resumo da pesquisa: mostra as seguintes informações:
    • Detalhes sobre o endereço IP, incluindo a primeira e a última vez (mais recente) que ele foi visto na sua empresa. Clique em Contexto do VT para ver as informações disponíveis sobre esse endereço IP no VirusTotal.
    • Detalhes sobre alertas, incluindo um gráfico que mostra o número de alertas que envolveram a entidade no período de pesquisa. O painel também lista um subconjunto de regras com o maior número de alertas.
    • Clique em Abrir alertas e IOCs para ver todos os alertas gerados durante o mesmo período de pesquisa.
    • Clique em Ver na guia "Alertas" para mudar para a guia Alertas nesta página e iniciar uma nova pesquisa na entidade selecionada.
    • Clique em uma das barras do gráfico para mudar para a guia Alertas nesta página e iniciar uma nova pesquisa na entidade selecionada, usando o período da barra clicada.
    • Clique no link Ver mais para abrir a visualização Campos de entidade e mostrar todos os campos de entidade associados ao endereço IP. Para copiar um campo de entidade para a área de transferência, clique na caixa de seleção ao lado dele, em Ver ações e em Copiar entidade. Clique na caixa de seleção na parte de cima para selecionar todas as entidades.
  • IOCs relevantes: mostra os IOCs associados ao endereço IP. Os IOCs com maior gravidade aparecem primeiro. Ao clicar no nome do IOC, o visualizador de entidades é aberto à direita.
  • Prevalência de recursos: mostra o número de recursos na sua empresa que se conectaram ao endereço IP durante o período especificado na pesquisa da UDM.
  • Entidades associadas: mostra outras entidades relacionadas a esse endereço IP, como domínios em que ele está registrado. A lista inclui o tipo de entidade, quando ela foi vista pela primeira vez na sua empresa e quando foi vista pela última vez (mais recentemente). Clique em uma entidade para abrir o painel Contexto da entidade.
  • Contexto da entidade: mostra detalhes sobre a entidade selecionada no painel Entidades associadas. Esse painel mostra informações diferentes dependendo do tipo de entidade selecionada no painel Entidades associadas (por exemplo, domínio ou recurso). Se o link aparecer, clique em Contexto do VT para ver informações sobre a entidade do VirusTotal.
  • Acessar a visualização legada: navegue até a visualização legada de investigação de endereço IP. Para mais informações, consulte Investigar um endereço IP.

Detalhes do usuário

Quando a consulta de pesquisa da UDM inclui uma condição que retorna um usuário específico, por exemplo, principal.user.userid="alice", a guia Visão geral mostra os detalhes do usuário com informações nos seguintes painéis:

  • Resumo da pesquisa: mostra as seguintes informações:
    • Detalhes sobre a entidade, incluindo o nome completo, a primeira vez que ela foi vista na sua empresa e a última vez (mais recente) que ela foi vista, o título e o endereço de e-mail.
    • Detalhes sobre alertas, incluindo um gráfico que mostra o número de alertas que envolveram a entidade no período de pesquisa. O painel também lista um subconjunto de regras com o maior número de alertas.
    • Clique em Abrir alertas e IOCs para ver todos os alertas gerados durante o mesmo período de pesquisa.
    • Clique em Ver na guia "Alertas" para mudar para a guia Alertas nesta página e iniciar uma nova pesquisa na entidade selecionada.
    • Clique em uma das barras do gráfico para mudar para a guia Alertas nesta página e iniciar uma nova pesquisa na entidade selecionada, usando o período da barra clicada.
    • Clique no link Ver mais para abrir a visualização Campos de entidade e mostrar todos os campos de entidade associados ao usuário. Para copiar um campo de entidade para a área de transferência, clique na caixa de seleção ao lado dele, em Ver ações e em Copiar entidade. Clique na caixa de seleção na parte de cima para selecionar todas as entidades.
  • Entidades associadas: mostra entidades relacionadas ao usuário, como domínios com que ele entrou em contato ou recursos que ele acessou. A lista inclui o tipo de entidade, quando ela foi vista pela primeira vez na sua empresa e quando foi vista pela última vez (mais recentemente). Clique em uma entidade para abrir o painel Contexto da entidade.
  • Contexto da entidade: mostra detalhes sobre a entidade selecionada no painel Entidades associadas. As informações nesse painel variam de acordo com o tipo de entidade (por exemplo, ativo ou domínio).
  • Acessar a visualização legada: navegue até a visualização legada de investigação de usuários. Para mais informações, consulte Investigar um usuário.

Guia "Eventos"

A guia Eventos mostra os eventos conectados à sua pesquisa de UDM no período especificado. Esses eventos são listados na tabela Eventos. Ao clicar no carimbo de data/hora de um evento, uma caixa de diálogo é aberta mostrando os recursos e arquivos associados a ele. Ao clicar em qualquer um desses itens, o painel Contexto da entidade é aberto. Ele fornece mais informações sobre a entidade, incluindo uma lista de alertas associados e um gráfico mostrando a frequência deles ao longo do tempo.

Para informações sobre eventos da UDM, consulte Estrutura de um evento da UDM.

Use a opção Tabela dinâmica para abrir as Configurações da tabela dinâmica. Com elas, você pode analisar eventos usando expressões e funções com base nos resultados da pesquisa de UDM. Para mais informações, consulte Usar a tabela dinâmica para analisar eventos.

Gráfico de tendência ao longo do tempo

O gráfico Tendência ao longo do tempo mostra os eventos no período especificado na pesquisa de UDM. Os alertas aparecem em vermelho abaixo do gráfico. Ao clicar em uma das barras, o foco da guia Eventos é reduzido a esse período. Os eventos associados a esse período são mostrados na tabela Eventos.

Gráfico de prevalência do domínio

O gráfico Prevalência do domínio mostra a prevalência dos domínios associados à sua pesquisa na empresa. Ao passar o cursor sobre um dos círculos no gráfico, o domínio específico é exibido, e você pode restringir a pesquisa a eventos associados apenas a esse domínio. O gráfico só aparece se a pesquisa de UDM incluir um domínio.

Guia Alertas

A guia Alertas mostra informações detalhadas sobre os alertas conectados à sua pesquisa de UDM.

  • Gráfico: mostra o número de alertas por período ao longo do tempo especificado na pesquisa da UDM. O período varia de acordo com a duração da pesquisa. A caixa de seleção Alertas filtrados permite mostrar ou ocultar os alertas processados pelas opções de Filtros. A caixa de seleção Alertas de consulta permite mostrar ou ocultar todos os alertas processados pela pesquisa UDM.
  • Filtros: permite filtrar alertas com base nas opções listadas. Por exemplo, clique em Gravidade, na opção de menu Média e em Mostrar apenas. O gráfico e a tabela são recarregados para mostrar apenas os alertas de gravidade média.
  • Tabela Alertas: mostra os alertas associados à pesquisa da UDM. Clique em um alerta para abrir o Visualizador de alertas e mostrar mais informações. Ao clicar em Ver detalhes, a visualização Alertas e IOCs é aberta (consulte Ver alertas e IOCs). Se você clicar em uma barra de filtro específica no gráfico, somente os alertas associados a ela serão mostrados. Da mesma forma, se você adicionar filtros, a tabela será recarregada e vai mostrar apenas os alertas vinculados às suas seleções.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.