Filtrar dados na pesquisa de registros brutos
Com a Pesquisa de registros brutos, é possível examinar os registros brutos não analisados. Quando você executa uma pesquisa, o Google Security Operations primeiro examina os dados de segurança que foram ingeridos e analisados. Se as informações que você está procurando não forem encontradas, use a Pesquisa de registros brutos para examinar os registros brutos não analisados.
Use a Pesquisa de registros brutos para investigar artefatos que aparecem nos registros, mas não são indexados, incluindo:
- Nomes de usuário
- Nomes de arquivo
- Chaves de registro
- Argumentos de linha de comando
- Dados brutos relacionados a solicitações HTTP
- Nomes de domínio com base em expressões regulares
- Nomes e endereços de recursos
Para usar a Pesquisa de registros brutos no Google SecOps, faça o seguinte:
Na barra de pesquisa, digite a string de pesquisa ou as expressões regulares e clique em Pesquisar.
No menu, selecione Pesquisa de registros brutos para mostrar as opções de pesquisa.
Especifique o Horário de início e o Horário de término (o padrão é uma semana) e clique em Pesquisar.
A visualização Pesquisa de registros brutos mostra eventos de dados brutos. É possível filtrar os resultados por
DNS,Webproxy,EDReAlert.É possível usar expressões regulares para pesquisar e corresponder conjuntos de strings de caracteres nos seus dados de segurança usando o Google SecOps. As expressões regulares permitem restringir a pesquisa usando fragmentos de informações, em vez de usar um nome de domínio completo, por exemplo.
As seguintes opções de filtragem procedural estão disponíveis na visualização Pesquisa de registros brutos:
Tipo de evento do produto
Origem do registro
Status da conexão de rede
TLD
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.