Hacer una búsqueda de registros sin procesar
Puedes usar Google Security Operations para buscar en los registros sin procesar de tu cuenta de Google SecOps y obtener contexto relevante con eventos y entidades relacionados.
Las búsquedas de registros sin procesar muestran la correlación entre los eventos sin procesar y los eventos de UDM generados a partir de esos registros. Una búsqueda de registros sin procesar te ayuda a entender cómo se analizan y normalizan los campos de registro, así como a investigar cualquier laguna en el proceso de normalización.
Después de completar una búsqueda de registros sin procesar, cada línea de registro sin procesar coincidente se sustituye por los eventos y las entidades que contiene. El número de eventos y entidades extraídos de cada línea de registro está limitado a un máximo de 10.
Para realizar una búsqueda de registros sin procesar, sigue estos pasos:
Ve a Investigación > Búsqueda en SIEM.
En el campo de búsqueda, añade el prefijo
raw =a tu búsqueda y encierra el término de búsqueda entre comillas (por ejemplo,raw = "example.com").Selecciona la búsqueda de registros sin procesar en la opción de menú. Google SecOps encuentra los registros sin procesar, los eventos de UDM y las entidades asociadas. También puedes hacer la misma búsqueda (raw = "example.com") desde la página Búsqueda de UDM.
Puedes usar los mismos filtros rápidos que se usan para acotar los resultados de búsqueda de UDM. Selecciona el filtro que quieras aplicar a los resultados del registro sin procesar para acotarlos aún más.
Optimizar consultas de registros sin procesar
Las búsquedas de registros sin procesar suelen ser más lentas que las búsquedas de UDM. Para mejorar el rendimiento de la búsqueda, limita la cantidad de datos sobre los que realizas la consulta cambiando la configuración de búsqueda:
- Selector de periodo: limita el periodo de los datos sobre los que se ejecuta la consulta.
- Selector de fuente de registro: limita la búsqueda de registros sin procesar a los registros de fuentes específicas, en lugar de a todas las fuentes de registro. En el menú Fuentes de registro, selecciona una o varias fuentes de registro (el valor predeterminado es todas).
- Expresiones regulares: usa una expresión regular. Por ejemplo,
raw = /goo\w{3}.com/coincidiría congoogle.com,goodle.comygoog1e.compara limitar aún más el ámbito de tu búsqueda de registros sin procesar.
Tendencia a lo largo del tiempo
Usa el gráfico de tendencias para comprender la distribución de los registros sin procesar a lo largo del tiempo de tu búsqueda. Puedes aplicar filtros en el gráfico para buscar registros analizados y registros sin procesar.
Resultados de registros sin procesar
Cuando realizas una búsqueda de registros sin procesar, los resultados son una combinación de eventos de UDM y entidades generadas por los registros sin procesar que coinciden con tus búsquedas, junto con los registros sin procesar. Puedes consultar los resultados de búsqueda con más detalle haciendo clic en cualquiera de ellos:
Evento o entidad de UDM: si hace clic en un evento o una entidad de UDM, Google SecOps muestra los eventos y las entidades relacionados, así como el registro sin procesar asociado a ese elemento.
Registro sin procesar: si haces clic en un registro sin procesar, Google SecOps te muestra toda la línea del registro sin procesar, junto con la fuente de ese registro.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.