Fazer uma pesquisa de registros brutos

Compatível com:

Use o Google Security Operations para pesquisar os registros brutos na sua conta do Google SecOps e receber contexto relevante com eventos e entidades relacionados.

As pesquisas de registros brutos mostram a correlação entre eventos brutos e eventos da UDM gerados usando esses registros. Uma pesquisa de registros brutos ajuda você a entender como os campos de registro são analisados e normalizados, além de investigar possíveis falhas no processo de normalização.

Depois de concluir uma pesquisa de registros brutos, cada linha correspondente é substituída pelos eventos e entidades contidos nela. O número de eventos e entidades extraídos de cada linha de registro é limitado a um máximo de 10.

Para fazer uma pesquisa de registros brutos, siga estas etapas:

  1. Acesse Investigação > Pesquisa do SIEM.

  2. No campo de pesquisa, adicione o prefixo raw = à sua pesquisa e coloque o termo entre aspas (por exemplo, raw = "example.com").

  3. Selecione a pesquisa de registros brutos na opção de menu. O Google SecOps encontra os registros brutos, os eventos da UDM e as entidades associadas. Você também pode fazer a mesma pesquisa (raw = "example.com") na página de pesquisa UDM.

Você pode usar os mesmos filtros rápidos usados para refinar os resultados da pesquisa da UDM. Selecione o filtro que você quer aplicar aos resultados brutos do registro para refinar ainda mais.

Otimizar consultas de registros brutos

As pesquisas de registros brutos costumam ser mais lentas do que as de UDM. Para melhorar a performance da pesquisa, limite a quantidade de dados da consulta mudando as configurações de pesquisa:

  • Seletor de período: limita o período dos dados em que você executa a consulta.
  • Seletor de origem do registro: limita a pesquisa de registros brutos apenas aos registros de fontes específicas, em vez de todas as fontes de registros. No menu Origens de registros, selecione uma ou mais origens. O padrão é todas.
  • Expressões regulares: use uma expressão regular. Por exemplo, raw = /goo\w{3}.com/ corresponderia a google.com, goodle.com, goog1e.com para limitar ainda mais o escopo da sua pesquisa de registros brutos.

Tendência ao longo do tempo

Use o gráfico de tendência para entender a distribuição de registros brutos ao longo do período da pesquisa. É possível aplicar filtros no gráfico para procurar registros analisados e brutos.

Resultados de registros brutos

Quando você faz uma pesquisa de registros brutos, os resultados são uma combinação de eventos e entidades da UDM gerados pelos registros brutos que correspondem às suas pesquisas, além dos registros brutos. Para saber mais sobre os resultados da pesquisa, clique em qualquer um deles:

  • Evento ou entidade da UDM: se você clicar em um evento ou entidade da UDM, o Google SecOps vai mostrar todos os eventos e entidades relacionados, além do registro bruto associado a esse item.

  • Registro bruto: se você clicar em um registro bruto, o Google SecOps vai mostrar toda a linha do registro bruto, além da origem dele.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.