Use a pesquisa UDM para investigar uma entidade

Compatível com:

Durante uma investigação, pode escrever uma consulta de pesquisa UDM para apresentar detalhes acerca de uma ou mais entidades (por exemplo, um endereço IP, um utilizador ou um recurso) além dos eventos e alertas que correspondem aos termos da consulta de pesquisa.

Nos sistemas que usam RBAC de dados, só pode ver dados que correspondam aos seus âmbitos. Para mais informações, consulte o artigo Impacto do RBAC de dados na Pesquisa.

Quando uma consulta de pesquisa inclui uma condição que identifica uma entidade específica (por exemplo, principal.ip="10.0.31.20"), os resultados da pesquisa incluem detalhes sobre a entidade (se estiver presente na sua empresa), além de eventos UDM que correspondem a toda a consulta de pesquisa.

O painel de resultados da pesquisa inclui os seguintes separadores:

  • Vista geral: detalhes sobre uma ou mais entidades específicas.
  • Eventos: resultados da pesquisa que correspondem a toda a consulta de pesquisa e ao intervalo de tempo de pesquisa.
  • Alertas: alertas gerados por eventos que correspondem à consulta de pesquisa completa.

As condições de consulta de pesquisa da UDM podem incluir campos da UDM (principal.hostname="alice") e campos agrupados (hostname="alice").

A consulta de pesquisa da UDM pode incluir várias condições, cada uma a especificar um identificador de entidade diferente. Alguns exemplos de consultas:

  • principal.hostname="alicehost" and user="alice"
  • principal.hostname="alicehost" and (user="kai" or user="alice")
  • principal.hostname="alicehost" and target.hostname="altostrat.com"
  • principal.hostname="alicehost" and hash="40a80612aaa8a8a36aa82a1278aaa02a"
  • hostname="alicehost" and domain=/altostrat.com/ nocase
  • user="alice" and domain=/altostrat.com/ nocase

A tabela seguinte inclui exemplos de consultas de pesquisa da UDM para uma ou mais entidades e o tipo de informações apresentadas:

Tipo de informação Exemplos de consultas de pesquisa UDM
Recurso
  • hostname="laptop-kai"
  • principal.hostname="laptop-kai"
  • principal.ip="10.0.0.76" //(private IP address)
  • principal.mac="c5:0c:9c:aa:bb:c4"
  • principal.hostname="laptop-kai" and metadata.event_type = "NETWORK_CONNECTION"
  • hostname="laptop-kai" or hostname="desktop-kai"
Domínio
  • domain="example.com"
  • target.hostname="example.com"
Ficheiro
  • hash="44a88612faa8a8f36ae82a1278aaa02a"
  • principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a"
PI
  • ip="8.8.8.8"
  • target.ip="203.0.113.204" //(public IP address)
Utilizador
  • user="alice"
  • target.user.email_address="smitha@example.com"
  • principal.user.userid="alice" or target.user.userid = "smitha"
  • email="john@altostrat.com" or email="alice@example.com"
  • principal.user.userid="smitha"

Separador Vista geral

O separador Vista geral apresenta informações da entidade num dos seguintes tipos de informações predefinidos. As informações apresentadas variam consoante o tipo de informações.

Detalhes dos recursos

Quando a consulta de pesquisa da UDM inclui uma condição que devolve um recurso específico, por exemplo, principal.hostname="laptop-will" ou principal.ip="10.0.0.76", o separador Vista geral apresenta a vista de recursos com informações nos seguintes painéis:

  • Resumo da pesquisa: apresenta as seguintes informações:
    • Detalhes sobre a entidade, incluindo o endereço IP e o endereço MAC associados ao recurso durante o intervalo de tempo de pesquisa. O endereço IP e o endereço MAC também podem ser usados para identificar uma entidade e pode clicar neles para apresentar informações adicionais no visualizador de entidades. Também apresenta a primeira vez que o recurso foi visto na sua empresa e quando foi visto pela última vez (mais recentemente). Pode clicar na data/hora (primeira ou última) para executar uma nova pesquisa com essa hora.
    • Detalhes sobre os alertas, incluindo um gráfico que mostra o número de alertas que envolveram a entidade no intervalo de tempo de pesquisa. O painel também apresenta um subconjunto de regras com o maior número de alertas.
    • Clique em Abrir alertas e IOCs para ver todos os alertas gerados durante o mesmo intervalo de tempo de pesquisa.
    • Clique em Ver no separador Alertas para mudar para o separador Alertas nesta página e iniciar uma nova pesquisa na entidade selecionada.
    • Clique numa das barras no gráfico para mudar para o separador Alertas nesta página e iniciar uma nova pesquisa na entidade selecionada, usando o intervalo de tempo da barra clicada.
    • Clique no link Ver mais para abrir a vista Campos de entidades e apresentar todos os campos de entidades associados ao recurso. Para copiar um campo de entidade para a área de transferência, clique na caixa de verificação junto ao campo de entidade, clique em Ver ações e clique em Copiar entidade. Clique na caixa de verificação na parte superior para selecionar todas as entidades.
  • IOCs relevantes: apresenta IOCs associados ao recurso. Os IOCs aos quais foi atribuída uma gravidade mais elevada são apresentados primeiro. Clicar no nome do IOC abre o visualizador de entidades à direita.
  • Entidades associadas: apresenta outras entidades às quais este recurso está relacionado, como utilizadores que iniciaram sessão no recurso. O painel apresenta o tipo de entidade, quando foi vista pela primeira vez no ambiente e quando foi vista pela última vez (mais recentemente). Também apresenta todos os espaços de nomes associados a um recurso. Clique numa entidade para abrir o painel Contexto da entidade. Clique em Mostrar todo o período para apresentar as entidades associadas durante todo o período disponível, em vez do intervalo especificado na pesquisa da UDM.
  • Contexto da entidade: apresenta detalhes acerca da entidade que selecionou no painel Entidades associadas. Este painel apresenta informações diferentes consoante o tipo de entidade que selecionou no painel Entidades associadas (por exemplo, utilizador ou domínio).
  • Aceda à vista antiga: navegue para a vista antiga de investigação de recursos. Para mais informações, consulte o artigo Investigue um recurso.

Detalhes do domínio

Quando a consulta de pesquisa UDM inclui uma condição que especifica um domínio específico, por exemplo, target.hostname="example.com", o separador Vista geral apresenta os detalhes do domínio com informações nos seguintes painéis:

  • Resumo da pesquisa: apresenta as seguintes informações:
    • Detalhes sobre o domínio, incluindo as informações do WHOIS associadas ao domínio registado, a primeira vez que foi visto na sua empresa e a última (mais recente) vez que foi visto. Clique em Contexto do VT para ver informações sobre o domínio a partir do VirusTotal.
    • Detalhes sobre os alertas, incluindo um gráfico que mostra o número de alertas que envolveram a entidade no intervalo de tempo de pesquisa. O painel também apresenta um subconjunto de regras com o maior número de alertas.
    • Clique em Abrir alertas e IOCs para ver todos os alertas gerados durante o mesmo intervalo de tempo de pesquisa.
    • Clique em Ver no separador Alertas para mudar para o separador Alertas nesta página e iniciar uma nova pesquisa na entidade selecionada.
    • Clique numa das barras no gráfico para mudar para o separador Alertas nesta página e iniciar uma nova pesquisa na entidade selecionada, usando o intervalo de tempo da barra clicada.
    • Clique no link Ver mais para abrir a vista Campos de entidades e apresentar todos os campos de entidades associados ao domínio. Para copiar um campo de entidade para a área de transferência, clique na caixa de verificação junto ao campo de entidade, clique em Ver ações e clique em Copiar entidade. Clique na caixa de verificação na parte superior para selecionar todas as entidades.
  • IPs resolvidos: apresenta todos os endereços IP resolvidos que foram vistos na sua empresa para o nome de domínio totalmente qualificado (FQDN). Por exemplo, se pesquisar target.hostname="test.altostrat.com", os resultados da pesquisa podem apresentar dois endereços IP resolvidos (198.51.100.81 e 203.0.113.81).
  • Subdomínios e domínios irmãos: apresenta todos os subdomínios associados que foram vistos na sua empresa para um determinado FQDN. Muitos adversários usam o mesmo domínio e subdomínio para os respetivos ataques. Por exemplo, se pesquisar target.hostname="sandbox.altostrat.com", este painel apresenta dois subdomínios, test.sandbox.altostrat.com e staging.sandbox.altostrat.com.
  • Prevalência de recursos: mostra o número de recursos na sua empresa que se ligaram ao domínio durante todo o período dos dados armazenados na sua conta do Google Security Operations. Cada barra do gráfico representa o número de recursos únicos na sua empresa que se ligaram ao domínio num dia UTC. Passar o cursor do rato sobre uma barra apresenta as entidades relacionadas no dia UTC representado pela barra. Clique no nome da entidade para ver o resumo e a vista geral da entidade no painel de contexto da entidade apresentado à direita. Clique em Ver eventos para ver os eventos relacionados com a entidade selecionada no separador de eventos de pesquisa.
  • Entidades associadas: apresenta outras entidades relacionadas com este domínio, como recursos que contactaram este domínio. A lista inclui o tipo de entidade, quando foi vista pela primeira vez na sua empresa e quando foi vista pela última vez (mais recentemente). Clique numa entidade para abrir o painel Contexto da entidade.
  • Contexto da entidade: apresenta detalhes sobre a entidade que selecionou no painel Entidades associadas. Este painel apresenta informações diferentes consoante o tipo de entidade que selecionou no painel Entidades associadas (por exemplo, endereço IP ou domínio).
  • Aceda à vista antiga: navegue para a vista antiga de investigação de domínios. Para mais informações, consulte o artigo Investigue um domínio.

Detalhes do ficheiro

Quando a consulta de pesquisa da UDM inclui uma condição que devolve um único ficheiro, por exemplo, principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a", o separador Vista geral apresenta os detalhes do Ficheiro com informações nos seguintes painéis:

  • Resumo da pesquisa: apresenta as seguintes informações:
    • Detalhes sobre o ficheiro, incluindo valores hash, tamanho do ficheiro, a primeira vez que foi visto na sua empresa e a última (mais recente) vez que foi visto. Clique em Contexto do VT para ver informações sobre o ficheiro do VirusTotal.
    • Detalhes sobre os alertas, incluindo um gráfico que mostra o número de alertas que envolveram a entidade no intervalo de tempo de pesquisa. O painel também apresenta um subconjunto de regras com o maior número de alertas.
    • Clique em Abrir alertas e IOCs para ver todos os alertas gerados durante o mesmo intervalo de tempo de pesquisa.
    • Clique em Ver no separador Alertas para mudar para o separador Alertas nesta página e iniciar uma nova pesquisa na entidade selecionada.
    • Clique numa das barras no gráfico para mudar para o separador Alertas nesta página e iniciar uma nova pesquisa na entidade selecionada, usando o intervalo de tempo da barra clicada.
    • Clique no link Ver mais para abrir a vista Campos de entidades e apresentar todos os campos de entidades associados ao ficheiro. Para copiar um campo de entidade para a área de transferência, clique na caixa de verificação junto ao campo de entidade, clique em Ver ações e clique em Copiar entidade. Clique na caixa de verificação na parte superior para selecionar todas as entidades.
  • IOCs relevantes: apresenta IOCs associados ao ficheiro. Os IOCs aos quais foi atribuída uma gravidade mais elevada são apresentados primeiro. Clicar no nome do IOC abre o visualizador de entidades à direita.
  • Prevalência de recursos: mostra o número de recursos na sua empresa associados ao ficheiro durante todo o período dos dados armazenados na sua conta do Google SecOps.
  • Entidades associadas: apresenta outras entidades com as quais este ficheiro está relacionado, como um recurso onde este ficheiro foi executado ou utilizadores que acederam ao ficheiro. A lista inclui o tipo de entidade, quando foi vista pela primeira vez na sua empresa e quando foi vista pela última vez (mais recentemente). Clique numa entidade para abrir o painel Contexto da entidade.
  • Propriedades e metadados do VirusTotal: apresenta informações sobre o ficheiro da base de dados do VirusTotal. Clique em Ver mais para abrir uma caixa de diálogo do VirusTotal e apresentar informações adicionais sobre o ficheiro.
  • Entidades associadas: apresenta informações diferentes consoante o tipo de entidade que selecionou no painel Entidades associadas (por exemplo, utilizador ou recurso).
  • Contexto da entidade: apresenta detalhes sobre a entidade que selecionou no painel Entidades associadas. Este painel apresenta informações diferentes consoante o tipo de entidade que selecionou no painel Entidades associadas (por exemplo, utilizador ou recurso).
  • Aceda à vista antiga: navegue para a vista antiga de investigação de ficheiros. Para mais informações, consulte o artigo Investigue um ficheiro.

Detalhes do IP

Quando a consulta de pesquisa UDM inclui uma condição que devolve um endereço IP externo específico, por exemplo, target.ip="203.0.113.254", o separador Vista geral apresenta os detalhes do IP com informações nos seguintes painéis:

  • Resumo da pesquisa: apresenta as seguintes informações:
    • Detalhes sobre o endereço IP, incluindo a primeira vez que foi visto na sua empresa e a última (mais recente) vez que foi visto. Clique em VT Context para ver as informações disponíveis sobre este endereço IP no VirusTotal.
    • Detalhes sobre os alertas, incluindo um gráfico que mostra o número de alertas que envolveram a entidade no intervalo de tempo de pesquisa. O painel também apresenta um subconjunto de regras com o maior número de alertas.
    • Clique em Abrir alertas e IOCs para ver todos os alertas gerados durante o mesmo intervalo de tempo de pesquisa.
    • Clique em Ver no separador Alertas para mudar para o separador Alertas nesta página e iniciar uma nova pesquisa na entidade selecionada.
    • Clique numa das barras no gráfico para mudar para o separador Alertas nesta página e iniciar uma nova pesquisa na entidade selecionada, usando o intervalo de tempo da barra clicada.
    • Clique no link Ver mais para abrir a vista Campos de entidades e apresentar todos os campos de entidades associados ao endereço IP. Para copiar um campo de entidade para a área de transferência, clique na caixa de verificação junto ao campo de entidade, clique em Ver ações e clique em Copiar entidade. Clique na caixa de verificação na parte superior para selecionar todas as entidades.
  • IOCs relevantes: apresenta IOCs associados ao endereço IP. Os IOCs aos quais foi atribuída uma gravidade mais elevada são apresentados primeiro. Clicar no nome do IOC abre o visualizador de entidades à direita.
  • Prevalência de recursos: mostra o número de recursos na sua empresa que se ligaram ao endereço IP durante o período especificado na pesquisa da UDM.
  • Entidades associadas: apresenta outras entidades às quais este endereço IP está relacionado, como domínios nos quais o endereço IP está registado. A lista inclui o tipo de entidade, quando foi vista pela primeira vez na sua empresa e quando foi vista pela última vez (mais recentemente). Clique numa entidade para abrir o painel Contexto da entidade.
  • Contexto da entidade: apresenta detalhes acerca da entidade que selecionou no painel Entidades associadas. Este painel apresenta informações diferentes consoante o tipo de entidade que selecionou no painel Entidades associadas (por exemplo, domínio ou recurso). Se o link for apresentado, clique em VT Context para ver informações sobre a entidade do VirusTotal.
  • Aceda à vista antiga: navegue para a vista de investigação antiga de endereços IP. Para mais informações, consulte o artigo Investigue um endereço IP.

Detalhes do utilizador

Quando a consulta de pesquisa da UDM inclui uma condição que devolve um utilizador específico, por exemplo, principal.user.userid="alice", o separador Vista geral apresenta os detalhes do utilizador com informações nos seguintes painéis:

  • Resumo da pesquisa: apresenta as seguintes informações:
    • Detalhes sobre a entidade, incluindo o nome completo, a primeira vez que foi vista na sua empresa e a última (mais recente) vez que foi vista, o título e o endereço de email.
    • Detalhes sobre os alertas, incluindo um gráfico que mostra o número de alertas que envolveram a entidade no intervalo de tempo de pesquisa. O painel também apresenta um subconjunto de regras com o maior número de alertas.
    • Clique em Abrir alertas e IOCs para ver todos os alertas gerados durante o mesmo intervalo de tempo de pesquisa.
    • Clique em Ver no separador Alertas para mudar para o separador Alertas nesta página e iniciar uma nova pesquisa na entidade selecionada.
    • Clique numa das barras no gráfico para mudar para o separador Alertas nesta página e iniciar uma nova pesquisa na entidade selecionada, usando o intervalo de tempo da barra clicada.
    • Clique no link Ver mais para abrir a vista Campos de entidades e apresentar todos os campos de entidades associados ao utilizador. Para copiar um campo de entidade para a área de transferência, clique na caixa de verificação junto ao campo de entidade, clique em Ver ações e clique em Copiar entidade. Clique na caixa de verificação na parte superior para selecionar todas as entidades.
  • Entidades associadas: apresenta entidades com as quais este utilizador está relacionado, como domínios que o utilizador contactou ou recursos aos quais o utilizador acedeu. A lista inclui o tipo de entidade, quando foi vista pela primeira vez na sua empresa e quando foi vista pela última vez (mais recentemente). Clique numa entidade para abrir o painel Contexto da entidade.
  • Contexto da entidade: apresenta detalhes sobre a entidade que seleciona no painel Entidades associadas. As informações neste painel são diferentes consoante o tipo de entidade (por exemplo, recurso ou domínio).
  • Aceda à vista antiga: navegue para a vista antiga de investigação de utilizadores. Para mais informações, consulte o artigo Investigue um utilizador.

Separador Eventos

O separador Eventos apresenta os eventos associados à sua pesquisa na UDM durante o intervalo de tempo indicado. Estes eventos estão listados na tabela Eventos. Se clicar na data/hora de um evento, abre uma caixa de diálogo que apresenta os recursos e os ficheiros associados ao evento. Se clicar em qualquer um destes itens, abre-se o painel Contexto da entidade, que fornece informações adicionais sobre a entidade, incluindo uma lista de todos os alertas associados e um gráfico de alertas que mostra a frequência desses alertas ao longo do tempo.

Para informações sobre eventos da UDM, consulte o artigo Estrutura de um evento da UDM.

Use a opção Girar para abrir as Definições de rotação. Estas definições permitem-lhe analisar eventos através de expressões e funções em relação aos resultados da pesquisa UDM. Para mais informações, consulte o artigo Use a tabela dinâmica para analisar eventos.

Gráfico de tendências ao longo do tempo

O gráfico Tendência ao longo do tempo apresenta os eventos ao longo do período especificado na pesquisa da UDM. Os alertas são apresentados a vermelho abaixo do gráfico. Se clicar numa das barras, restringe o foco do separador Eventos a esse período. Os eventos associados a esse horário são apresentados na tabela Eventos.

Gráfico de prevalência do domínio

O gráfico Prevalência do domínio apresenta a prevalência dos domínios associados à sua pesquisa na sua empresa. Se passar o cursor do rato sobre um dos círculos no gráfico, é apresentado o domínio específico e pode restringir a pesquisa a eventos associados apenas a esse domínio. O gráfico só é apresentado se a sua pesquisa de UDM incluir um domínio.

Separador Alertas

O separador Alertas permite-lhe apresentar informações detalhadas sobre os alertas associados à sua pesquisa de UDM.

  • Gráfico: apresenta o número de alertas por período ao longo do tempo especificado na pesquisa da UDM (o período varia consoante a duração da pesquisa). A caixa de verificação Alertas filtrados permite-lhe ver ou ocultar os alertas processados pelas opções de Filtros. A caixa de verificação Alertas de consulta permite-lhe ver ou ocultar todos os alertas processados pela pesquisa da UDM.
  • Filtros: permite filtrar os alertas com base nas opções apresentadas. Por exemplo, pode clicar em Gravidade, clicar na opção de menu Média e selecionar Mostrar apenas. O gráfico e a tabela são recarregados para apresentar apenas os alertas com gravidade média.
  • Tabela Alertas: apresenta os alertas associados à pesquisa de UDM. Se clicar num alerta, abre o Visualizador de alertas para apresentar informações adicionais. Se clicar em Ver detalhes, abre a vista Alertas e IOCs (consulte Ver alertas e IOCs). Se clicar numa barra de filtro específica no gráfico, são apresentados apenas os alertas associados a essa barra. Da mesma forma, se adicionar filtros, a tabela é recarregada e apresenta apenas os alertas associados às suas seleções.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.