이 페이지는 Cloud Translation API를 통해 번역되었습니다.

원시 로그 검색에서 데이터 필터링

다음에서 지원:

Google SecOps SIEM

원시 로그 검색을 사용하면 파싱되지 않은 원시 로그를 검사할 수 있습니다. 검색을 수행할 때 Google Security Operations는 먼저 수집 및 파싱이 모두 수행된 보안 데이터를 검사합니다. 검색하는 정보를 찾을 수 없는 경우 원시 로그 검색을 사용하여 파싱되지 않은 원시 로그를 검사할 수 있습니다.

원시 로그 검색을 사용하여 로그에 표시되지만 색인으로 생성되지 않은 다음과 같은 아티팩트를 조사하세요.

사용자 이름
파일 이름
레지스트리 키
명령줄 인수
원시 HTTP 요청 관련 데이터
정규 표현식 기반의 도메인 이름
애셋 이름 및 주소

Google SecOps에서 원시 로그 검색을 사용하려면 다음 단계를 따르세요.

검색창에 검색 문자열 또는 정규식을 입력한 다음 검색을 클릭합니다.
메뉴에서 원시 로그 검색을 선택하여 검색 옵션을 표시합니다.
시작 시간 및 종료 시간을 지정하고 (기본값 1주) 검색을 클릭합니다.

원시 로그 검색 뷰에는 원시 데이터 이벤트가 표시됩니다. DNS, Webproxy, EDR, Alert로 결과를 필터링할 수 있습니다.

참고: 이러한 필터는 GENERIC, EMAIL, USER와 같은 이벤트 유형에는 적용되지 않습니다.

정규 표현식을 사용하면 Google SecOps를 사용하여 보안 데이터 내에서 문자열 집합을 검색하고 일치 항목을 찾을 수 있습니다. 정규 표현식을 사용하면 예를 들어 전체 도메인 이름을 사용할 때와 반대로 해당 정보의 일부만 사용하여 검색 범위를 좁힐 수 있습니다.

원시 로그 검색 뷰에서 사용할 수 있는 절차적 필터링 옵션은 다음과 같습니다.
- 제품 이벤트 유형
  
  참고: SecOps Console 기존 원시 로그 검색 페이지의 뷰에 이벤트가 표시되는 방식에는 알려진 불일치가 있습니다.
  ● 원시 로그 뷰:
     원시 event_log_type 값을 기반으로 이벤트 유형을 표시합니다.
     예를 들어 FILE_COPY입니다.
  ● UDM 이벤트 필드 보기:
     event_log_type 값을 기반으로 metadata.event_type 필드를 표시합니다.
     예를 들어 FILE_COPY입니다.
  ● 절차적 필터링 보기:
     network.application_protocol 값을 기반으로 이벤트 유형 필드를 표시합니다.
     예를 들어 DNS입니다.
- 로그 소스
- 네트워크 연결 상태
- TLD

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.