使用 UDM 搜尋功能調查實體

支援的國家/地區:

調查期間,您可以編寫 UDM 搜尋查詢,顯示一或多個實體 (例如 IP 位址、使用者或資產) 的詳細資料,以及符合搜尋查詢字詞的事件和快訊。

在採用資料 RBAC 的系統中,您只能查看符合範圍的資料。詳情請參閱「資料 RBAC 對搜尋的影響」。

如果搜尋查詢包含可識別特定實體的條件 (例如 principal.ip="10.0.31.20"),搜尋結果除了會顯示符合完整搜尋查詢的 UDM 事件,也會顯示實體的詳細資料 (如果企業中存在該實體)。

搜尋結果窗格包含下列分頁:

  • 總覽:一或多個特定實體的詳細資料。
  • 活動:符合完整搜尋查詢和搜尋時間範圍的搜尋結果。
  • 快訊:由符合完整搜尋查詢的事件所產生。

UDM 搜尋查詢條件可同時包含 UDM 欄位 (principal.hostname="alice") 和分組欄位 (hostname="alice")。

UDM 搜尋查詢可包含多個條件,每個條件都指定不同的實體 ID。查詢範例包括:

  • principal.hostname="alicehost" and user="alice"
  • principal.hostname="alicehost" and (user="kai" or user="alice")
  • principal.hostname="alicehost" and target.hostname="altostrat.com"
  • principal.hostname="alicehost" and hash="40a80612aaa8a8a36aa82a1278aaa02a"
  • hostname="alicehost" and domain=/altostrat.com/ nocase
  • user="alice" and domain=/altostrat.com/ nocase

下表列出一個或多個實體的 UDM 搜尋查詢範例,以及顯示的資訊類型:

資訊類型 UDM 搜尋查詢範例
資產
  • hostname="laptop-kai"
  • principal.hostname="laptop-kai"
  • principal.ip="10.0.0.76" //(private IP address)
  • principal.mac="c5:0c:9c:aa:bb:c4"
  • principal.hostname="laptop-kai" and metadata.event_type = "NETWORK_CONNECTION"
  • hostname="laptop-kai" or hostname="desktop-kai"
網域
  • domain="example.com"
  • target.hostname="example.com"
檔案
  • hash="44a88612faa8a8f36ae82a1278aaa02a"
  • principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a"
IP
  • ip="8.8.8.8"
  • target.ip="203.0.113.204" //(public IP address)
使用者
  • user="alice"
  • target.user.email_address="smitha@example.com"
  • principal.user.userid="alice" or target.user.userid = "smitha"
  • email="john@altostrat.com" or email="alice@example.com"
  • principal.user.userid="smitha"

總覽分頁

總覽」分頁會以預先定義的資訊類型顯示實體資訊。顯示的資訊會因資訊類型而異。

資產詳細資訊

如果 UDM 搜尋查詢包含傳回特定資產的條件 (例如 principal.hostname="laptop-will"principal.ip="10.0.0.76"),「總覽」分頁會顯示「資產檢視畫面」,並在下列面板中提供資訊:

  • 搜尋摘要:顯示下列資訊:
    • 實體的詳細資料,包括在搜尋時間範圍內與資產相關聯的 IP 位址和 MAC 位址。IP 位址和 MAC 位址也可用於識別實體,點選後即可在實體檢視器中顯示額外資訊。此外,也會顯示資產首次出現在企業中的時間,以及上次 (最近一次) 出現的時間。你可以點選任一時間戳記 (首次或最後),使用該時間執行新搜尋。
    • 快訊詳細資料,包括顯示搜尋時間範圍內與實體相關快訊數量的圖表。面板也會列出警報次數最多的部分規則。
    • 按一下「開啟快訊和入侵指標」,即可查看在相同搜尋時間範圍內產生的所有快訊。
    • 按一下「在快訊分頁中查看」,即可切換至這個頁面的「快訊」分頁,並針對所選實體開始新的搜尋。
    • 按一下圖表中的其中一個長條,即可切換至這個頁面的「快訊」分頁,並使用所點選長條的時間範圍,對所選實體展開新的搜尋。
    • 按一下「查看更多」連結,開啟「實體欄位」檢視畫面,並顯示與資產相關的所有實體欄位。如要將實體欄位複製到剪貼簿,請按一下實體欄位旁邊的核取方塊,然後依序點選「查看動作」和「複製實體」。按一下頂端的核取方塊,選取所有實體。
  • 相關 IOC:顯示與資產相關聯的 IOC。系統會優先顯示嚴重性較高的 IOC。按一下 IOC 名稱,即可在右側開啟實體檢視器。
  • 相關聯的實體:顯示與這項資產相關的其他實體,例如登入資產的使用者。面板會顯示實體類型、首次出現在環境中的時間,以及上次 (最近一次) 出現的時間。也會顯示與資產相關聯的任何命名空間。按一下實體,開啟「實體內容」面板。按一下「顯示所有時間」,即可顯示整個可用時間範圍內的相關實體,而非 UDM 搜尋中指定的範圍。
  • 實體內容:顯示您在「關聯實體」面板中選取實體的詳細資料。這個面板會根據您在「相關聯的實體」面板中選取的實體類型 (例如使用者或網域),顯示不同的資訊。
  • 前往舊版檢視畫面:前往舊版「資產」調查檢視畫面。詳情請參閱「調查資產」。

網域詳細資訊

如果 UDM 搜尋查詢包含指定特定網域的條件 (例如 target.hostname="example.com"),「總覽」分頁會顯示「網域」詳細資料,並在下列面板中提供資訊:

  • 搜尋摘要:顯示下列資訊:
    • 網域詳細資料,包括與註冊網域相關的 WHOIS 資訊、首次在企業中發現網域的時間,以及上次 (最近一次) 發現網域的時間。按一下「VT Context」,即可查看 VirusTotal 提供的網域資訊。
    • 快訊詳細資料,包括顯示搜尋時間範圍內與實體相關快訊數量的圖表。面板也會列出警報次數最多的部分規則。
    • 按一下「開啟快訊和入侵指標」,即可查看在相同搜尋時間範圍內產生的所有快訊。
    • 按一下「在快訊分頁中查看」,即可切換至這個頁面的「快訊」分頁,並針對所選實體開始新的搜尋。
    • 按一下圖表中的其中一個長條,即可切換至這個頁面的「快訊」分頁,並使用所點選長條的時間範圍,對所選實體展開新的搜尋。
    • 按一下「查看更多」連結,開啟「實體欄位」檢視畫面,並顯示與網域相關聯的所有實體欄位。如要將實體欄位複製到剪貼簿,請按一下實體欄位旁邊的核取方塊,然後依序點選「查看動作」和「複製實體」。按一下頂端的核取方塊,選取所有實體。
  • 已解析的 IP:顯示企業中完整網域名稱 (FQDN) 的所有已解析 IP 位址。舉例來說,如果您搜尋 target.hostname="test.altostrat.com",搜尋結果可能會顯示兩個已解析的 IP 位址 (198.51.100.81203.0.113.81)。
  • 子網域和同層網域:顯示企業中特定 FQDN 的所有相關子網域。許多攻擊者會使用相同的網域和子網域發動攻擊。舉例來說,如果您搜尋「target.hostname="sandbox.altostrat.com"」,這個面板會顯示兩個子網域:「test.sandbox.altostrat.com」和「staging.sandbox.altostrat.com」。
  • 素材資源普及率:顯示企業中已連線至網域的素材資源數量,時間範圍為 Google Security Operations 帳戶中儲存資料的整個期間。圖表的每個長條代表企業中連結至網域的不重複資產數量 (以世界標準時間為準)。將游標懸停在長條上,即可查看長條代表的 UTC 日期中,相關實體的資料。按一下實體名稱,即可在右側顯示的實體內容面板中,查看實體摘要和總覽。按一下「查看事件」,即可在「搜尋事件」分頁中查看與所選實體相關的事件。
  • 相關聯的實體:顯示與這個網域相關的其他實體,例如曾與這個網域聯絡的資產。清單會顯示實體類型、首次出現在企業中的時間,以及上次 (最近一次) 出現的時間。按一下實體,開啟「實體內容」面板。
  • 實體內容:顯示您在「關聯實體」面板中選取實體的詳細資料。這個面板會根據您在「相關聯的實體」面板中選取的實體類型 (例如 IP 位址或網域),顯示不同的資訊。
  • 前往舊版檢視畫面:前往舊版「網域」調查檢視畫面。詳情請參閱調查網域

檔案詳細資料

如果 UDM 搜尋查詢包含傳回單一檔案的條件 (例如 principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a"),「總覽」分頁會顯示「檔案」詳細資料,並在下列面板中提供資訊:

  • 搜尋摘要:顯示下列資訊:
    • 檔案詳細資料,包括雜湊值、檔案大小、首次在企業中發現檔案的時間,以及上次 (最近) 發現檔案的時間。按一下「VT Context」(VirusTotal 內容),即可查看 VirusTotal 提供的檔案資訊。
    • 快訊詳細資料,包括顯示搜尋時間範圍內與實體相關快訊數量的圖表。面板也會列出警報次數最多的部分規則。
    • 按一下「開啟快訊和入侵指標」,即可查看在相同搜尋時間範圍內產生的所有快訊。
    • 按一下「在快訊分頁中查看」,即可切換至這個頁面的「快訊」分頁,並針對所選實體開始新的搜尋。
    • 按一下圖表中的其中一個長條,即可切換至這個頁面的「快訊」分頁,並使用所點選長條的時間範圍,對所選實體展開新的搜尋。
    • 按一下「查看更多」連結,開啟「實體欄位」檢視畫面,並顯示與檔案相關聯的所有實體欄位。如要將實體欄位複製到剪貼簿,請按一下實體欄位旁邊的核取方塊,然後依序點選「查看動作」和「複製實體」。按一下頂端的核取方塊,選取所有實體。
  • 相關 IOC:顯示與檔案相關聯的 IOC。系統會優先顯示嚴重性較高的 IOC。按一下 IOC 名稱,即可在右側開啟實體檢視器。
  • 資產普及率:顯示企業中與檔案相關聯的資產數量,時間範圍為 Google SecOps 帳戶中儲存資料的整個期間。
  • 相關聯的實體:顯示與這個檔案相關的其他實體,例如執行這個檔案的資產,或是存取這個檔案的使用者。清單會顯示實體類型、首次在企業中出現的時間,以及上次 (最近一次) 出現的時間。按一下實體,開啟「實體內容」面板。
  • VirusTotal 屬性和中繼資料:顯示 VirusTotal 資料庫中檔案的相關資訊。按一下「查看更多」,開啟 VirusTotal 對話方塊,顯示檔案的額外資訊。
  • 相關聯的實體:根據您在「相關聯的實體」面板中選取的實體類型 (例如使用者或資產),顯示不同的資訊。
  • 實體內容:顯示您在「關聯實體」面板中選取實體的詳細資料。這個面板會根據您在「相關聯的實體」面板中選取的實體類型 (例如使用者或資產),顯示不同的資訊。
  • 前往舊版檢視畫面:前往舊版「檔案」調查檢視畫面。詳情請參閱「調查檔案」。

IP 詳細資料

如果 UDM 搜尋查詢包含傳回特定外部 IP 位址的條件 (例如 target.ip="203.0.113.254"),「總覽」分頁會顯示「IP」詳細資料,並在下列面板中提供相關資訊:

  • 搜尋摘要:顯示下列資訊:
    • IP 位址的詳細資料,包括首次出現在企業中的時間,以及上次 (最近) 出現的時間。按一下「VT Context」,即可查看 VirusTotal 提供的這個 IP 位址相關資訊。
    • 快訊詳細資料,包括顯示搜尋時間範圍內與實體相關快訊數量的圖表。面板也會列出警報次數最多的部分規則。
    • 按一下「開啟快訊和入侵指標」,即可查看在相同搜尋時間範圍內產生的所有快訊。
    • 按一下「在快訊分頁中查看」,即可切換至這個頁面的「快訊」分頁,並針對所選實體開始新的搜尋。
    • 按一下圖表中的其中一個長條,即可切換至這個頁面的「快訊」分頁,並使用所點選長條的時間範圍,對所選實體展開新的搜尋。
    • 按一下「查看更多」連結,開啟「實體欄位」檢視畫面,並顯示與 IP 位址相關聯的所有實體欄位。如要將實體欄位複製到剪貼簿,請勾選實體欄位旁的核取方塊,按一下「查看動作」,然後按一下「複製實體」。按一下頂端的核取方塊,選取所有實體。
  • 相關 IOC:顯示與 IP 位址相關聯的 IOC。系統會優先顯示嚴重性較高的 IOC。按一下 IOC 名稱,即可在右側開啟實體檢視器。
  • 資產使用率:顯示企業中連線至 IP 位址的資產數量,時間範圍為 UDM 搜尋中指定的期間。
  • 相關聯的實體:顯示與這個 IP 位址相關的其他實體,例如 IP 位址註冊的網域。清單會顯示實體類型、首次出現在企業中的時間,以及上次 (最近一次) 出現的時間。按一下實體,開啟「實體內容」面板。
  • 實體內容:顯示您在「關聯實體」面板中選取實體的詳細資料。這個面板會根據您在「相關聯的實體」面板中選取的實體類型 (例如網域或資產),顯示不同的資訊。如果顯示連結,請按一下「VT Context」,查看 VirusTotal 提供的實體資訊。
  • 前往舊版檢視畫面:前往舊版「IP 位址」調查檢視畫面。詳情請參閱「調查 IP 位址」。

使用者詳細資料

如果 UDM 搜尋查詢包含會傳回特定使用者的條件 (例如 principal.user.userid="alice"),「總覽」分頁會顯示「使用者」詳細資料,並在下列面板中提供資訊:

  • 搜尋摘要:顯示下列資訊:
    • 實體詳細資料,包括全名、首次出現在企業中的時間、上次 (最近) 出現的時間、職稱和電子郵件地址。
    • 快訊詳細資料,包括顯示搜尋時間範圍內與實體相關快訊數量的圖表。面板也會列出警報次數最多的部分規則。
    • 按一下「開啟快訊和入侵指標」,即可查看在相同搜尋時間範圍內產生的所有快訊。
    • 按一下「在快訊分頁中查看」,即可切換至這個頁面的「快訊」分頁,並針對所選實體開始新的搜尋。
    • 按一下圖表中的其中一個長條,即可切換至這個頁面的「快訊」分頁,並使用所點選長條的時間範圍,對所選實體展開新的搜尋。
    • 按一下「查看更多」連結,開啟「實體欄位」檢視畫面,並顯示與使用者相關聯的所有實體欄位。如要將實體欄位複製到剪貼簿,請按一下實體欄位旁邊的核取方塊,然後依序點選「查看動作」和「複製實體」。按一下頂端的核取方塊,選取所有實體。
  • 相關聯的實體:顯示與該使用者相關的實體,例如使用者聯絡的網域或存取的資產。清單會顯示實體類型、首次出現在企業中的時間,以及上次 (最近一次) 出現的時間。按一下實體,開啟「實體內容」面板。
  • 實體內容:顯示您在「關聯實體」面板中選取實體的詳細資料。這個面板中的資訊會因實體類型 (例如資產或網域) 而異。
  • 前往舊版檢視畫面:前往舊版「使用者」調查檢視畫面。詳情請參閱「調查使用者」。

「活動」分頁

「事件」分頁會顯示在指定時間範圍內,與 UDM 搜尋相關聯的事件。這些事件會列在「事件」表格中。按一下事件的時間戳記,即可開啟對話方塊,顯示與該事件相關的資產和檔案。點選任一項目會開啟「實體內容」面板,提供實體的額外資訊,包括任何相關聯的快訊清單,以及顯示這些快訊頻率隨時間變化的快訊圖表。

如要瞭解 UDM 事件,請參閱「UDM 事件結構」。

使用「樞紐」選項開啟「樞紐設定」。您可以使用這些設定,根據 UDM 搜尋結果,透過運算式和函式分析事件。詳情請參閱「使用資料透視表分析事件」一文。

趨勢圖表

「一段時間內的趨勢」圖表會顯示 UDM 搜尋中指定時間範圍內的事件。警報會以紅色顯示在圖表下方。點選其中一個長條,即可將「事件」分頁標籤的焦點縮小至該時間範圍。與該時段相關的事件會顯示在「事件」表格中。

網域出現次數圖表

「網域普及率」圖表會顯示與企業內搜尋相關聯的網域普及率。將游標懸停在圖表中的其中一個圓圈上,即可顯示特定網域,並將搜尋範圍縮小至與該網域相關聯的事件。只有在 UDM 搜尋包含網域時,系統才會顯示圖表。

快訊分頁

您可以在「快訊」分頁中,顯示與 UDM 搜尋相關的快訊詳細資訊。

  • 圖表:顯示 UDM 搜尋中指定時間範圍內,每個時間間隔的快訊數量 (時間間隔長度會因搜尋時間長度而異)。勾選「已篩選的快訊」核取方塊,即可查看或隱藏「篩選器」選項處理的快訊。勾選「查詢快訊」核取方塊,即可查看或隱藏 UDM 搜尋處理的所有快訊。
  • 篩選器:根據列出的選項篩選快訊。舉例來說,您可以依序點選「嚴重程度」和「中」選單選項,然後選取「只顯示」。圖表和表格會重新載入,只顯示中等嚴重程度的快訊。
  • 「快訊」表格:顯示與 UDM 搜尋相關聯的快訊。按一下快訊即可開啟「快訊檢視器」,查看其他資訊。按一下「查看詳細資料」會開啟「快訊和 IOC」檢視畫面 (請參閱「查看快訊和 IOC」)。如果您按一下圖表中的特定篩選器列,系統只會顯示與該列相關的快訊。同樣地,新增篩選器後,表格會重新載入,只顯示與所選項目相關的快訊。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。