Realiza una búsqueda de registros sin procesar
Puedes usar Google Security Operations para buscar los registros sin procesar en tu cuenta de Google SecOps y obtener contexto relevante con eventos y entidades relacionados.
Las búsquedas de registros sin procesar te muestran la correlación entre los eventos sin procesar y los eventos del UDM generados con esos registros sin procesar. Una búsqueda de registros sin procesar te ayuda a comprender cómo se analizan y normalizan los campos de registro, y a investigar cualquier brecha en el proceso de normalización.
Después de completar una búsqueda de registros sin procesar, cada línea de registro sin procesar coincidente se reemplaza por los eventos y las entidades que contiene la línea de registro. La cantidad de eventos y entidades que se extraen de cada línea de registro se limita a un máximo de 10.
Para realizar una búsqueda de registros sin procesar, sigue estos pasos:
Ve a Investigación > Búsqueda en el SIEM.
En el campo de búsqueda, agrega el prefijo
raw =a tu búsqueda y encierra el término de búsqueda entre comillas (por ejemplo,raw = "example.com").Selecciona la búsqueda de registros sin procesar en la opción del menú. Google SecOps encuentra los registros sin procesar, los eventos de UDM y las entidades asociadas. También puedes ejecutar la misma búsqueda (raw = "example.com") desde la página de UDM Search.
Puedes usar los mismos filtros rápidos que se usan para definir mejor los resultados de la búsqueda de UDM. Selecciona el filtro que deseas aplicar a los resultados del registro sin procesar para definirlos mejor.
Optimiza las consultas de registros sin procesar
Por lo general, las búsquedas de registros sin procesar son más lentas que las búsquedas de UDM. Para mejorar el rendimiento de la búsqueda, limita la cantidad de datos sobre los que realizas la consulta. Para ello, cambia la configuración de búsqueda:
- Selector de período: Limita el período de los datos sobre los que ejecutas tu búsqueda.
- Selector de fuente de registro: Limita la búsqueda de registros sin procesar solo a los registros de fuentes específicas, en lugar de todas tus fuentes de registro. En el menú Fuentes de registros, selecciona una o más fuentes de registros (la opción predeterminada es todas).
- Expresiones regulares: Usa una expresión regular. Por ejemplo,
raw = /goo\w{3}.com/coincidiría congoogle.com,goodle.comygoog1e.compara limitar aún más el alcance de tu búsqueda de registros sin procesar.
Tendencia en el tiempo
Usa el gráfico de tendencias para comprender la distribución de los registros sin procesar durante el período de tu búsqueda. Puedes aplicar filtros en el gráfico para buscar registros analizados y registros sin procesar.
Resultados de registros sin procesar
Cuando ejecutas una búsqueda de registros sin procesar, los resultados son una combinación de eventos y entidades del UDM generados por los registros sin procesar que coinciden con tus búsquedas, junto con los registros sin procesar. Puedes explorar más los resultados de la búsqueda haciendo clic en cualquiera de ellos:
Evento o entidad del UDM: Si haces clic en un evento o una entidad del UDM, Google SecOps muestra los eventos y las entidades relacionados, junto con el registro sin procesar asociado a ese elemento.
Registro sin procesar: Si haces clic en un registro sin procesar, Google SecOps te muestra toda la línea del registro sin procesar, junto con la fuente de ese registro.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.