Cerca i log non elaborati utilizzando la scansione dei log non elaborati
Quando esegui una ricerca, Google Security Operations esamina innanzitutto i dati sulla sicurezza importati, analizzati e normalizzati. Se le informazioni che stai cercando non vengono trovate nei dati normalizzati, puoi utilizzare la scansione dei log non elaborati per esaminare i log non elaborati e non analizzati. Puoi anche utilizzare espressioni regolari per esaminare in modo più approfondito i log non elaborati.
Puoi utilizzare la scansione dei log non elaborati per esaminare gli artefatti che vengono visualizzati nei log, ma non indicizzati, tra cui:
- Nomi utente
- Nomi file
- Chiavi del Registro di sistema
- Argomenti della riga di comando
- Dati relativi alle richieste HTTP non elaborate
- Nomi di dominio basati su espressioni regolari
- Spazi dei nomi degli asset e indirizzi
Scansione log non elaborata
Per utilizzare la scansione dei log non elaborati, inserisci una stringa di ricerca nel campo di ricerca nella pagina di destinazione o la barra dei menu (ad es. un hash MD5). Inseriscine almeno 4 (inclusi i caratteri jolly). Se Google Security Operations non riesce a trovare la ricerca viene aperta l'opzione Scansione dei log non elaborati. Specifica l'ora di inizio e End Time (Ora di fine) (l'impostazione predefinita è 1 settimana) e fai clic su CERCA.
Scansione dei log non elaborati dalla pagina di destinazione
Vengono visualizzati gli eventi associati alla stringa di ricerca. Puoi aprire il log non elaborato associato facendo clic sul pulsante a freccia.
Puoi anche fare clic sul menu a discesa Sorgenti log e selezionare una o più delle origini dati che invii a Google Security Operations per eseguire la ricerca. La l'impostazione predefinita è Tutte.
Espressioni regolari
Puoi utilizzare le espressioni regolari per cercare e trovare corrispondenze con set di caratteri stringhe all'interno dei dati di sicurezza utilizzando Google Security Operations. Espressioni regolari consentono di restringere la ricerca utilizzando frammenti di informazioni, come anziché utilizzare, ad esempio, un nome di dominio completo.
Per eseguire una ricerca utilizzando la sintassi delle espressioni regolari, inserisci i termini di ricerca nella casella Nel campo Cerca con l'espressione regolare, seleziona Esegui query come regex. casella di controllo e fai clic su CERCA. L'espressione regolare deve essere un numero compreso tra 4 e 66 caratteri.
Esecuzione dell'analisi dei log non elaborati come espressione regolare
L'infrastruttura per le espressioni regolari di Google Security Operations si basa su Google RE2, un motore open source per le espressioni regolari. Google Security Operations utilizza la stessa sintassi delle espressioni regolari. Per ulteriori informazioni, consulta la documentazione RE2.
La tabella seguente evidenzia alcune delle sintassi più comuni delle espressioni regolari che puoi utilizzare per le tue ricerche.
| Qualsiasi carattere | . |
| x numero di caratteri qualsiasi | {x} |
| Classe di caratteri | [xyz] |
| Classe di caratteri negati | [^xyz] |
| Alfanumerico (0-9A-Za-z) | [[:alnum:]] |
| Alfabetico (A-Za-z) | [[:alpha:]] |
| Cifre (0-9) | [[:digit:]] |
| Minuscole (a-z) | [[:lower:]] |
| Maiuscolo (A-Z) | [[:upper:]] |
| Caratteri parola (0-9A-Za-z_) | [[:word:]] |
| Cifre esadecimali (0-9A-Fa-f) | [[:xdigit:]] |
I seguenti esempi illustrano come utilizzare questa sintassi per eseguire ricerche tra i dati:
goo.le\.com: corrisponde agoogle.com,goooogle.come così via.goo\w{3}\.com: corrisponde agoogle.com,goodle.com,goojle.come così via.[[:digit:]]\.[[:alpha:]]: corrisponde a34323.system,23458.office,897.nete così via.
Esempi di espressioni regolari per cercare i log di Windows
Questa sezione fornisce stringhe di query con espressioni regolari che puoi utilizzare con la scansione non elaborata dei log di Google Security Operations per trovare eventi di Windows monitorati comunemente. Questi esempi presuppongono che i messaggi di log di Windows siano in formato JSON.
Per ulteriori informazioni sugli ID evento di Windows monitorati comunemente, consulta l'argomento Eventi da monitorare nella documentazione Microsoft. Gli esempi forniti seguono uno schema simile, descritto in questi casi d'uso.
| Caso d'uso: restituire eventi con EventID 1150 | |
| Stringa regex: | \"ID evento\"\:\s*1150 |
| Valori corrispondenti: | "EventID":1150 |
| Caso d'uso:restituire eventi con un ID evento 1150 o 1151 | |
| Stringa regex | (?:\"EventID\"\:\s*)(?:1150|1151) |
| Valori corrispondenti | "EventID":1150 e "EventID":1151 |
| Caso d'uso: restituire eventi con un ID evento 1150 o 1151 e con ThreatID 9092 | |
| Stringa regex | (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092) |
| Valori corrispondenti | "EventID":1150 <...qualsiasi numero di caratteri...> "ID Thread":9092
e "EventID":1151 <...qualsiasi numero di caratteri...glt; "ID Thread":9092 |
Trovare eventi di gestione dell'account
Queste stringhe di query con espressioni regolari identificano gli eventi comuni di gestione dell'account utilizzando l'attributo EventID.
| Tipo di evento | Espressione regolare |
| Account utente creato | EventID\"\:\s*4720 |
| Account utente abilitato | ID evento\"\:\s*4722 |
| Account utente disattivato | ID evento\"\:\s*4725 |
| Account utente eliminato | ID evento\"\:\s*4726 |
| Modifica dei diritti utente | ID evento\"\:\s*4703 |
| Membro aggiunto al gruppo globale abilitato per la sicurezza | ID evento\"\:\s*4728 |
| Membro rimosso dal gruppo globale abilitato per la sicurezza | ID evento\"\:\s*4729 |
| Il gruppo globale con sicurezza abilitata è stato eliminato | ID evento\"\:\s*4730 |
Trova eventi di accesso riusciti
Queste stringhe di query con espressioni regolari identificano i tipi di eventi di accesso riusciti utilizzando gli attributi EventID e LogonType.
| Tipo di evento | Espressione regolare |
| Accesso riuscito | ID evento\"\:\s*4624 |
| Accesso riuscito - Interattivo (Tipo di accesso=2) | ID evento\"\:\s*4624.*?LogonType\"\:\s*\"2\" |
| Accesso riuscito - Accesso batch (LogonType=4) | ID evento\"\:\s*4624.*?LogonType\"\:\s*\"4\" |
| Accesso riuscito - Accesso al servizio (LogonType=5) | ID evento\"\:\s*4624.*?LogonType\"\:\s*\"5\" |
| Accesso riuscito - Accesso RemoteInteractive (LogonType=10) | ID evento\"\:\s*4624.*?LogonType\"\:\s*\"10\" |
| Accesso riuscito - Interattivo, batch, servizio o RemoteInteractive | (?:EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\" |
Individua gli eventi di errore di accesso
Queste stringhe di query con espressioni regolari identificano i tipi di eventi di accesso non riuscito utilizzando gli attributi EventID e LogonType.
| Tipo di evento | Espressione regolare |
| Errore di accesso | ID evento\"\:\s*4625 |
| Errore di accesso - Interattivo (LogonType=2) | ID evento\"\:\s*4625.*?LogonType\"\:\s*\"2\" |
| Errore di accesso - Accesso batch (LogonType=4) | ID evento\"\:\s*4625.*?LogonType\"\:\s*\"4\" |
| Errore di accesso - Accesso al servizio (LogonType=5) | ID evento\"\:\s*4625.*?LogonType\"\:\s*\"5\" |
| Errore di accesso - Accesso RemoteInteractive (LogonType=10) | ID evento\"\:\s*4625.*?LogonType\"\:\s*\"10\" |
| Errore di accesso - Interattivo, batch, servizio o RemoteInteractive | (?:EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\" |
Trovare gli eventi relativi a processi, servizi e attività
Queste stringhe di query con espressioni regolari identificano determinati eventi di processo e servizio utilizzando l'attributo EventID.
| Tipo di evento | Espressione regolare |
| Inizio del processo | ID evento\"\:\s*4688 |
| Procedura di uscita | ID evento\"\:\s*4689 |
| Servizio installato | ID evento\"\:\s*4697 |
| Nuovo servizio creato | ID evento\"\:\s*7045 |
| Pianifica attività creata | ID evento\"\:\s*4698 |
Trovare gli eventi correlati all'accesso agli oggetti
Queste stringhe di query con espressioni regolari identificano diversi tipi di eventi relativi a processi e servizi utilizzando l'attributo EventID.
| Tipo di evento | Espressione regolare |
| Audit log cancellato | ID evento\"\:\s*1102 |
| Tentativo di accesso all'oggetto | ID evento\"\:\s*4663 |
| Accesso alla condivisione | ID evento\"\:\s*5140 |