Faça uma pesquisa de registos não processados
Pode usar as Operações de segurança da Google para pesquisar os registos não processados na sua conta do Google SecOps e obter contexto relevante com eventos e entidades relacionados.
As pesquisas de registos não processados mostram a correlação entre eventos não processados e os eventos da UDM gerados através desses registos não processados. Uma pesquisa de registos não processados ajuda a compreender como os campos de registos são analisados e normalizados, e ajuda a investigar lacunas no processo de normalização.
Depois de concluir uma pesquisa de registos não processados, cada linha de registo não processado correspondente é substituída pelos eventos e pelas entidades contidos na linha de registo. O número de eventos e entidades extraídos de cada linha de registo está limitado a um máximo de 10.
Para fazer uma pesquisa de registos não processados, siga estes passos:
Aceda a Investigação > Pesquisa SIEM.
No campo de pesquisa, adicione o prefixo
raw =à sua pesquisa e inclua o termo de pesquisa entre aspas (por exemplo,raw = "example.com").Selecione a pesquisa de registos não processados na opção de menu. O Google SecOps encontra os registos não processados associados, os eventos UDM e as entidades associadas. Também pode executar a mesma pesquisa (raw = "example.com") na página de pesquisa da UDM.
Pode usar os mesmos filtros rápidos usados para refinar os resultados da pesquisa da UDM. Selecione o filtro que quer aplicar aos resultados do registo não processado para os refinar ainda mais.
Otimize as consultas de registos não processados
As pesquisas de registos não processados são normalmente mais lentas do que as pesquisas de UDM. Para melhorar o desempenho da pesquisa, limite a quantidade de dados sobre os quais realiza a consulta alterando as definições de pesquisa:
- Seletor de intervalo de tempo: limita o intervalo de tempo dos dados sobre os quais executa a consulta.
- Seletor de origem do registo: limita a pesquisa de registos não processados apenas aos registos de origens específicas, em vez de todas as origens de registos. No menu Origens de registos, selecione uma ou mais origens de registos (a predefinição é todas).
- Expressões regulares: use uma expressão regular. Por exemplo,
raw = /goo\w{3}.com/corresponderia agoogle.com,goodle.com,goog1e.compara limitar ainda mais o âmbito da sua pesquisa de registos não processados.
Tendência ao longo do tempo
Use o gráfico de tendências para compreender a distribuição dos registos não processados ao longo do tempo da sua pesquisa. Pode aplicar filtros no gráfico para procurar registos analisados e registos não processados.
Resultados de registos não processados
Quando executa uma pesquisa de registos não processados, os resultados são uma combinação de eventos da UDM e entidades geradas pelos registos não processados que correspondem às suas pesquisas, juntamente com os registos não processados. Pode explorar mais os resultados da pesquisa clicando em qualquer um dos resultados:
Evento ou entidade UDM: se clicar num evento ou numa entidade UDM, o Google SecOps mostra todos os eventos e entidades relacionados, juntamente com o registo não processado associado a esse item.
Registo não processado: se clicar num registo não processado, o Google SecOps mostra-lhe a linha de registo não processado completa, juntamente com a origem desse registo.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.