Filtrar dados na pesquisa de registros brutos

Compatível com:

Com a Pesquisa de registros brutos, é possível examinar os registros brutos não analisados. Quando você executa uma pesquisa, o Google Security Operations primeiro examina os dados de segurança que foram ingeridos e analisados. Se as informações que você está procurando não forem encontradas, use a Pesquisa de registros brutos para examinar os registros brutos não analisados.

Use a Pesquisa de registros brutos para investigar artefatos que aparecem nos registros, mas não são indexados, incluindo:

  • Nomes de usuário
  • Nomes de arquivo
  • Chaves de registro
  • Argumentos de linha de comando
  • Dados brutos relacionados a solicitações HTTP
  • Nomes de domínio com base em expressões regulares
  • Nomes e endereços de recursos

Para usar a Pesquisa de registros brutos no Google SecOps, faça o seguinte:

  1. Na barra de pesquisa, digite a string de pesquisa ou as expressões regulares e clique em Pesquisar.

  2. No menu, selecione Pesquisa de registros brutos para mostrar as opções de pesquisa.

  3. Especifique o Horário de início e o Horário de término (o padrão é uma semana) e clique em Pesquisar.

    A visualização Pesquisa de registros brutos mostra eventos de dados brutos. É possível filtrar os resultados por DNS, Webproxy, EDR e Alert.

    É possível usar expressões regulares para pesquisar e corresponder conjuntos de strings de caracteres nos seus dados de segurança usando o Google SecOps. As expressões regulares permitem restringir a pesquisa usando fragmentos de informações, em vez de usar um nome de domínio completo, por exemplo.

    As seguintes opções de filtragem procedural estão disponíveis na visualização Pesquisa de registros brutos:

    • Tipo de evento do produto

    • Origem do registro

    • Status da conexão de rede

    • TLD

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.