Cómo realizar una búsqueda de registros sin procesar

Se admite en los siguientes países:

Puedes usar Google Security Operations para buscar los registros sin procesar en tu cuenta de Google Security Operations y obtener contexto relevante con entidades y eventos relacionados.

Las búsquedas de registros sin procesar muestran la correlación entre los eventos sin procesar y los eventos de la AUA generados con esos registros sin procesar. Una búsqueda de registros sin procesar te ayuda a comprender cómo se analizan y normalizan los campos de registro, y te ayuda a investigar cualquier brecha en el proceso de normalización.

Después de completar una búsqueda de registros sin procesar, cada línea de registro sin procesar que coincida se reemplaza con los eventos y las entidades que contiene la línea de registro. La cantidad de eventos y entidades que se extraen de cada línea de registro se limita a un máximo de 10.

Para realizar una búsqueda de registros sin procesar, sigue estos pasos:

  1. Ve a Investigación > Búsqueda de SIEM.

  2. En el campo de búsqueda, agrega el prefijo raw = a la búsqueda y encierra el término de búsqueda entre comillas (por ejemplo, raw = "example.com").

  3. Selecciona la búsqueda de registros sin procesar en la opción del menú. Google Security Operations encuentra los registros sin procesar, los eventos de la AUA y las entidades asociadas. También puedes ejecutar la misma búsqueda (raw = "example.com") desde la página de búsqueda de la AUA.

Puedes usar los mismos filtros rápidos que se usan para definir mejor los resultados de la búsqueda de la AUA. Selecciona el filtro que deseas aplicar a los resultados de registro sin procesar para definirlos mejor.

Optimiza las consultas de registro sin procesar

Por lo general, las búsquedas de registros sin procesar son más lentas que las de la AUA. Para mejorar el rendimiento de la búsqueda, limita la cantidad de datos sobre los que realizas la consulta cambiando la configuración de búsqueda:

  • Selector de intervalo de tiempo: Limita el intervalo de tiempo de los datos sobre los que ejecutas la consulta.
  • Selector de fuentes de registro: Limita la búsqueda de registros sin procesar solo a los registros de fuentes específicas, en lugar de a todas tus fuentes de registro. En el menú Fuentes de registros, selecciona una o más fuentes de registros (la opción predeterminada es todas).
  • Expresiones regulares: Usa una expresión regular. Por ejemplo, raw = /goo\w{3}.com/ coincidiría con google.com, goodle.com y goog1e.com para limitar aún más el alcance de la búsqueda de registros sin procesar.

Tendencia en el tiempo

Usa el gráfico de tendencias para comprender la distribución de los registros sin procesar durante el tiempo de la búsqueda. Puedes aplicar filtros en el gráfico para buscar registros analizados y registros sin procesar.

Resultados de registros sin procesar

Cuando ejecutas una búsqueda de registros sin procesar, los resultados son una combinación de eventos y entidades de la UDM generados por los registros sin procesar que coinciden con tus búsquedas, junto con los registros sin procesar. Para explorar los resultados de la búsqueda, haz clic en cualquiera de los siguientes:

  • Entidad o evento de la AUA: Si haces clic en una entidad o un evento de la AUA, Google Security Operations mostrará todos los eventos y entidades relacionados, junto con el registro sin procesar asociado con ese elemento.

  • Registro sin procesar: Si haces clic en un registro sin procesar, Google Security Operations te muestra la línea completa del registro sin procesar, junto con la fuente de ese registro.