使用 UDM 搜索功能调查实体

支持的语言:

在调查期间,您可以编写 UDM 搜索查询,以显示一个或多个实体(例如 IP 地址、用户或资产)的详细信息,以及与搜索查询字词匹配的事件和提醒。

在采用数据 RBAC 的系统中,您只能看到与您的范围匹配的数据。如需了解详情,请参阅数据 RBAC 对搜索的影响

当搜索查询包含用于标识特定实体(例如 principal.ip="10.0.31.20")的条件时,搜索结果除了包含与整个搜索查询匹配的 UDM 事件之外,还会包含有关该实体的详细信息(如果您的企业中存在该实体)。

搜索结果窗格包含以下标签页:

  • 概览 - 有关一个或多个特定实体的详细信息。
  • 活动 - 与整个搜索查询和搜索时间范围相匹配的搜索结果。
  • 提醒 - 由与整个搜索查询匹配的事件生成的提醒。

UDM 搜索查询条件可以同时包含 UDM 字段 (principal.hostname="alice") 和分组字段 (hostname="alice")。

UDM 搜索查询可以包含多个条件,每个条件指定不同的实体标识符。查询示例包括:

  • principal.hostname="alicehost" and user="alice"
  • principal.hostname="alicehost" and (user="kai" or user="alice")
  • principal.hostname="alicehost" and target.hostname="altostrat.com"
  • principal.hostname="alicehost" and hash="40a80612aaa8a8a36aa82a1278aaa02a"
  • hostname="alicehost" and domain=/altostrat.com/ nocase
  • user="alice" and domain=/altostrat.com/ nocase

下表列出了一个或多个实体的 UDM 搜索查询示例以及显示的信息类型:

信息类型 UDM 搜索查询示例
素材资源
  • hostname="laptop-kai"
  • principal.hostname="laptop-kai"
  • principal.ip="10.0.0.76" //(private IP address)
  • principal.mac="c5:0c:9c:aa:bb:c4"
  • principal.hostname="laptop-kai" and metadata.event_type = "NETWORK_CONNECTION"
  • hostname="laptop-kai" or hostname="desktop-kai"
网域
  • domain="example.com"
  • target.hostname="example.com"
文件
  • hash="44a88612faa8a8f36ae82a1278aaa02a"
  • principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a"
IP
  • ip="8.8.8.8"
  • target.ip="203.0.113.204" //(public IP address)
用户
  • user="alice"
  • target.user.email_address="smitha@example.com"
  • principal.user.userid="alice" or target.user.userid = "smitha"
  • email="john@altostrat.com" or email="alice@example.com"
  • principal.user.userid="smitha"

“概览”标签页

概览标签页会以以下预定义的信息类型之一显示实体信息。显示的信息因信息类型而异。

资源详情

如果 UDM 搜索查询包含返回特定资产(例如 principal.hostname="laptop-will"principal.ip="10.0.0.76")的条件,则概览标签页会显示资产视图,其中包含以下面板中的信息:

  • 搜索摘要 - 显示以下信息:
    • 有关实体的详细信息,包括在搜索时间范围内与资产关联的 IP 地址和 MAC 地址。IP 地址和 MAC 地址也可用于识别实体,并且可以点击这些地址以在实体查看器中显示更多信息。它还会显示首次在您的企业中看到该资产的时间,以及上次(最近一次)看到该资产的时间。您可以点击任一时间戳(首次或最后一次),以使用该时间运行新的搜索。
    • 有关提醒的详细信息,包括一个图表,其中显示了在搜索时间范围内涉及相应实体的提醒数量。该面板还会列出发出提醒次数最多的部分规则。
    • 点击打开提醒和 IOC,查看在同一搜索时间范围内生成的所有提醒。
    • 点击在“提醒”标签页中查看,即可切换到此页面上的提醒标签页,并针对所选实体开始新的搜索。
    • 点击图表中的某个条形,即可切换到此页面上的提醒标签页,并使用所点击条形的时间范围针对所选实体开始新的搜索。
    • 点击查看更多链接以打开实体字段视图,并显示与相应资产关联的所有实体字段。如需将实体字段复制到剪贴板,请点击实体字段旁边的复选框,然后依次点击查看操作复制实体。点击顶部的复选框,选择所有实体。
  • 相关 IOC - 显示与相应资产相关联的 IOC。系统会先显示严重程度较高的 IOC。点击 IOC 名称会在右侧打开实体查看器。
  • 关联的实体 - 显示与相应资产相关的其他实体,例如登录相应资产的用户。该面板会显示实体的类型、首次在环境中出现的时间以及上次(最近一次)出现的时间。它还会显示与资产关联的任何命名空间。点击实体以打开实体上下文面板。点击显示所有时间,即可显示整个可用时间段内的关联实体,而不是 UDM 搜索中指定的范围。
  • 实体上下文 - 显示您在关联实体面板中选择的实体的详细信息。此面板会根据您在关联的实体面板中选择的实体类型(例如用户或网域)显示不同的信息。
  • 前往旧版视图 - 前往旧版资产调查视图。如需了解详情,请参阅调查素材资源

网域详情

当 UDM 搜索查询包含指定特定网域的条件(例如 target.hostname="example.com")时,概览标签页会显示网域详情,其中包含以下面板中的信息:

  • 搜索摘要 - 显示以下信息:
    • 有关网域的详细信息,包括与注册网域相关联的 WHOIS 信息、首次在您的企业中发现该网域的时间,以及最后(最近)一次发现该网域的时间。 点击 VT Context(VT 上下文),查看 VirusTotal 提供的有关该网域的信息。
    • 有关提醒的详细信息,包括一个图表,其中显示了在搜索时间范围内涉及相应实体的提醒数量。该面板还会列出发出提醒次数最多的部分规则。
    • 点击打开提醒和 IOC,查看在同一搜索时间范围内生成的所有提醒。
    • 点击在“提醒”标签页中查看,即可切换到此页面上的提醒标签页,并针对所选实体开始新的搜索。
    • 点击图表中的某个条形,即可切换到此页面上的提醒标签页,并使用所点击条形的时间范围针对所选实体开始新的搜索。
    • 点击查看更多链接以打开实体字段视图,并显示与网域关联的所有实体字段。如需将实体字段复制到剪贴板,请点击实体字段旁边的复选框,然后依次点击查看操作复制实体。点击顶部的复选框,选择所有实体。
  • 已解析的 IP - 显示贵企业中已指定的完全限定域名 (FQDN) 的所有已解析 IP 地址。例如,如果您搜索 target.hostname="test.altostrat.com",搜索结果可能会显示两个已解析的 IP 地址(198.51.100.81203.0.113.81)。
  • 子网域和同级网域 - 显示贵企业中采用给定 FQDN 的所有关联子网域。许多攻击者都使用同一网域和子网域进行攻击。例如,如果您搜索 target.hostname="sandbox.altostrat.com",此面板会显示两个子网域:test.sandbox.altostrat.comstaging.sandbox.altostrat.com
  • 资产普及率 - 显示企业中在 Google Security Operations 账号中存储的数据所对应的整个时间段内已连接到网域的资产数量。图表的每个条形表示企业中在某个世界协调时间 (UTC) 日期连接到相应网域的唯一资产数量。将鼠标悬停在某个柱形上,即可在柱形所代表的 UTC 日期显示相关实体。点击实体名称,即可在右侧显示的实体上下文面板中查看实体摘要和概览。 点击查看事件,即可在“搜索事件”标签页中查看与所选实体相关的事件。
  • 关联的实体 - 显示与此网域相关的其他实体,例如曾与此网域联系过的资产。该列表包含实体类型、首次在企业中发现该实体的时间,以及上次(最近一次)发现该实体的时间。点击实体以打开实体上下文面板。
  • 实体上下文 - 显示您在关联实体面板中选择的实体的详细信息。此面板会根据您在关联实体面板中选择的实体类型(例如 IP 地址或网域)显示不同的信息。
  • 前往旧版视图 - 前往旧版网域调查视图。如需了解详情,请参阅调查网域

文件详细信息

如果 UDM 搜索查询包含返回单个文件的条件(例如 principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a"),概览标签页会显示文件详细信息,其中包含以下面板中的信息:

  • 搜索摘要 - 显示以下信息:
    • 有关文件的详细信息,包括哈希值、文件大小、首次在企业中发现该文件的时间,以及最后(最近)一次发现该文件的时间。点击 VT Context 可查看 VirusTotal 提供的有关该文件的信息。
    • 有关提醒的详细信息,包括一张图表,其中显示了在搜索时间范围内涉及相应实体的提醒数量。该面板还会列出发出提醒次数最多的部分规则。
    • 点击打开提醒和 IOC,查看在同一搜索时间范围内生成的所有提醒。
    • 点击在“提醒”标签页中查看,即可切换到此页面上的提醒标签页,并针对所选实体开始新的搜索。
    • 点击图表中的某个条形,即可切换到此页面上的提醒标签页,并使用所点击条形的时间范围针对所选实体开始新的搜索。
    • 点击查看更多链接,打开实体字段视图,并显示与文件关联的所有实体字段。如需将实体字段复制到剪贴板,请点击实体字段旁边的复选框,然后依次点击查看操作复制实体。点击顶部的复选框,选择所有实体。
  • 相关 IOC - 显示与文件关联的 IOC。系统会先显示严重程度较高的 IOC。点击 IOC 名称会在右侧打开实体查看器。
  • 资产普及率 - 显示企业中与相应文件关联的资产数量,统计范围为 Google SecOps 账号中存储的数据所对应的整个时间段。
  • 关联的实体 - 显示与此文件相关的其他实体,例如执行此文件的资产或访问此文件的用户。该列表包含实体类型、首次在企业中发现该实体的时间,以及最近一次发现该实体的时间。点击实体以打开实体上下文面板。
  • VirusTotal 属性和元数据 - 显示 VirusTotal 数据库中有关文件的信息。点击查看更多,打开 VirusTotal 对话框并显示有关该文件的更多信息。
  • 关联的实体 - 根据您在关联的实体面板中选择的实体类型(例如用户或资产)显示不同的信息。
  • 实体上下文 - 显示您在关联实体面板中选择的实体的详细信息。此面板会根据您在关联实体面板中选择的实体类型(例如用户或资源)显示不同的信息。
  • 前往旧版视图 - 前往旧版文件调查视图。如需了解详情,请参阅调查文件

IP 详细信息

当 UDM 搜索查询包含返回特定外部 IP 地址(例如 target.ip="203.0.113.254")的条件时,概览标签页会显示 IP 详细信息,其中包含以下面板中的信息:

  • 搜索摘要 - 显示以下信息:
    • 有关 IP 地址的详细信息,包括首次在您的企业中发现该 IP 地址的时间,以及最后一次(最近一次)发现该 IP 地址的时间。点击 VT Context(VT 上下文),即可查看 VirusTotal 提供的有关此 IP 地址的信息。
    • 有关提醒的详细信息,包括一个图表,其中显示了在搜索时间范围内涉及相应实体的提醒数量。该面板还会列出发出提醒次数最多的部分规则。
    • 点击打开提醒和 IOC,查看在同一搜索时间范围内生成的所有提醒。
    • 点击在“提醒”标签页中查看,即可切换到此页面上的提醒标签页,并针对所选实体开始新的搜索。
    • 点击图表中的某个条形,即可切换到此页面上的提醒标签页,并使用所点击条形的时间范围针对所选实体开始新的搜索。
    • 点击查看更多链接以打开实体字段视图,并显示与 IP 地址关联的所有实体字段。如需将实体字段复制到剪贴板,请点击实体字段旁边的复选框,然后依次点击查看操作复制实体。点击顶部的复选框,选择所有实体。
  • 相关 IOC - 显示与 IP 地址关联的 IOC。系统会先显示严重程度较高的 IOC。点击 IOC 名称会在右侧打开实体查看器。
  • 资产普及率 - 显示企业内在 UDM 搜索中指定的时间段内与相应 IP 地址关联的资产数量。
  • 关联的实体 - 显示与此 IP 地址相关的其他实体,例如 IP 地址注册到的网域。该列表包含实体类型、首次在企业中发现该实体的时间,以及上次(最近一次)发现该实体的时间。点击实体以打开实体上下文面板。
  • 实体上下文 - 显示您在关联实体面板中选择的实体的详细信息。此面板会根据您在关联实体面板中选择的实体类型(例如网域或资产)显示不同的信息。如果显示该链接,请点击 VT Context(VT 上下文)以查看 VirusTotal 提供的有关该实体的信息。
  • 前往旧版视图 - 前往旧版 IP 地址调查视图。如需了解详情,请参阅调查 IP 地址

用户详细信息

如果 UDM 搜索查询包含返回特定用户的条件(例如 principal.user.userid="alice"),则概览标签页会显示用户详细信息,其中包含以下面板中的信息:

  • 搜索摘要 - 显示以下信息:
    • 实体的详细信息,包括全名、首次在企业中出现的时间和最后(最近)一次出现的时间、职位和电子邮件地址。
    • 有关提醒的详细信息,包括一个图表,其中显示了在搜索时间范围内涉及相应实体的提醒数量。该面板还会列出发出提醒次数最多的部分规则。
    • 点击打开提醒和 IOC,查看在同一搜索时间范围内生成的所有提醒。
    • 点击在“提醒”标签页中查看,即可切换到此页面上的提醒标签页,并针对所选实体开始新的搜索。
    • 点击图表中的某个条形,即可切换到此页面上的提醒标签页,并使用所点击条形的时间范围针对所选实体开始新的搜索。
    • 点击查看更多链接以打开实体字段视图,并显示与用户关联的所有实体字段。如需将实体字段复制到剪贴板,请点击实体字段旁边的复选框,然后依次点击查看操作复制实体。点击顶部的复选框,选择所有实体。
  • 关联实体 - 显示与此用户相关的实体,例如用户联系过的网域或用户访问过的资产。该列表包含实体类型、首次在企业中发现该实体的时间,以及上次(最近一次)发现该实体的时间。点击实体以打开实体上下文面板。
  • 实体上下文 - 显示您在关联实体面板中选择的实体的详细信息。此面板中的信息因实体类型(例如,资产或网域)而异。
  • 前往旧版视图 - 前往旧版用户调查视图。如需了解详情,请参阅调查用户

“活动”标签页

事件标签页会显示在指定时间范围内与您的 UDM 搜索相关联的事件。这些事件会列在事件表格中。点击活动的时间戳会打开一个对话框,其中显示与该活动相关联的素材资源和文件。点击上述任一项即可打开实体上下文面板,其中提供了有关实体的其他信息,包括任何关联的提醒的列表以及显示这些提醒随时间推移的频率的提醒图表。

如需了解 UDM 事件,请参阅 UDM 事件的结构

使用透视选项打开透视设置。借助这些设置,您可以根据 UDM 搜索的结果,使用表达式和函数来分析事件。如需了解详情,请参阅使用数据透视表分析活动

随时间变化的趋势图表

随时间变化的趋势图表会显示 UDM 搜索中指定时间段内的事件。提醒会以红色显示在图表下方。点击其中一个条形图会将事件标签页的焦点缩小到相应时间段。与相应时间段关联的活动会显示在活动表格中。

网域普及率图表

网域普及率图表会显示与您的搜索内容关联的网域在您企业中的普及率。将鼠标悬停在图表中的某个圆圈上,即可显示特定网域,并让您将搜索范围缩小到仅与该网域关联的事件。仅当 UDM 搜索包含网域时,系统才会显示图表。

提醒标签

通过提醒标签页,您可以显示与 UDM 搜索相关的提醒的详细信息。

  • 图表 - 显示 UDM 搜索中指定时间段内每个时间段的提醒数量(时间段因搜索时长而异)。借助过滤后的提醒复选框,您可以查看或隐藏通过过滤条件选项处理的提醒。借助查询提醒复选框,您可以查看或隐藏 UDM 搜索处理的所有提醒。
  • 过滤条件 - 可让您根据列出的选项过滤提醒。例如,您可以点击严重程度,然后点击的菜单选项,并选择仅显示。图表和表格会重新加载,以仅显示中等严重程度的提醒。
  • “提醒”表格 - 显示与 UDM 搜索关联的提醒。 点击提醒即可打开提醒查看器,以显示更多信息。点击查看详情会打开提醒和 IOC 视图(请参阅查看提醒和 IOC)。如果您点击图表中的特定过滤条件栏,系统将仅显示与该栏关联的提醒。同样,如果您添加过滤条件,表格会重新加载,并仅显示与所选内容相关的提醒。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。