Mit dem Standard-Logscan nach Rohdatenlogs suchen
Wenn Sie eine Suche durchführen, werden in Google Security Operations zuerst die Sicherheitsdaten untersucht, die aufgenommen, geparst und normalisiert wurden. Wenn die gesuchten Informationen nicht in den normalisierten Daten enthalten sind, können Sie die Rohprotokolle mit der Rohprotokollanalyse untersuchen. Sie können auch reguläre Ausdrücke verwenden, um die Rohlogs genauer zu untersuchen.
Mit „Rohlog-Scan“ können Sie Artefakte untersuchen, die in Logs enthalten sind, aber nicht indexiert werden, z. B.:
- Nutzernamen
- Dateinamen
- Registrierungsschlüssel
- Befehlszeilenargumente
- Rohdaten zu HTTP-Anfragen
- Domainnamen basierend auf regulären Ausdrücken
- Asset-Namespaces und -Adressen
Standard-Logscan
Wenn Sie „Rohlog-Scan“ verwenden möchten, geben Sie auf der Landingpage oder in der Menüleiste einen Suchstring ein, z. B. einen MD5-Hash. Geben Sie mindestens 4 Zeichen ein (einschließlich Platzhaltern). Wenn Google SecOps die Suchanfrage nicht finden kann, wird die Option Rohlogs scannen geöffnet. Geben Sie die Startzeit und die Endzeit an (standardmäßig ist eine Woche festgelegt) und klicken Sie auf SUCHEN.
Rohlog-Scan über die Landingpage
Es werden Ereignisse angezeigt, die mit dem Suchstring verknüpft sind. Sie können das zugehörige Rohlog öffnen, indem Sie auf die Pfeilschaltfläche klicken.
Sie können auch auf das Drop-down-Menü „Log-Quellen“ klicken und eine oder mehrere der Datenquellen auswählen, die Sie an Google SecOps senden, um darin zu suchen. Die Standardeinstellung ist Alle.
Reguläre Ausdrücke
Mit Google SecOps können Sie reguläre Ausdrücke verwenden, um in Ihren Sicherheitsdaten nach Gruppen von Zeichenfolgen zu suchen und diese abzugleichen. Mit regulären Ausdrücken können Sie Ihre Suche mit Informationsfragmenten eingrenzen, anstatt beispielsweise einen vollständigen Domainnamen zu verwenden.
Wenn Sie eine Suche mit der Syntax für reguläre Ausdrücke ausführen möchten, geben Sie Ihre Suche mit dem regulären Ausdruck in das Feld Suchen ein, setzen Sie ein Häkchen bei Abfrage als regulären Ausdruck ausführen und klicken Sie auf SUCHEN. Ihr regulärer Ausdruck muss zwischen 4 und 66 Zeichen lang sein.
Standard-Logscan als regulärer Ausdruck
Die Infrastruktur für reguläre Ausdrücke von Google SecOps basiert auf Google RE2, einer Open-Source-Engine für reguläre Ausdrücke. Google SecOps verwendet dieselbe Syntax für reguläre Ausdrücke. Weitere Informationen finden Sie in der RE2-Dokumentation.
In der folgenden Tabelle finden Sie einige der gängigen Syntaxen für reguläre Ausdrücke, die Sie für Ihre Suchanfragen verwenden können.
| Beliebiges Zeichen | . |
| x beliebige Zeichen | {x} |
| Zeichenklasse | [xyz] |
| Negierte Zeichenklasse | [^xyz] |
| Alphanumerisch (0–9A–Za–z) | [[:alnum:]] |
| Alphabetisch (A–Z, a–z) | [[:alpha:]] |
| Ziffern (0–9) | [[:digit:]] |
| Kleinbuchstaben (a–z) | [[:lower:]] |
| Großbuchstaben (A–Z) | [[:upper:]] |
| Wortzeichen (0–9A–Za–z_) | [[:word:]] |
| Hexadezimalziffer (0–9A–Fa–f) | [[:xdigit:]] |
Die folgenden Beispiele veranschaulichen, wie Sie diese Syntax verwenden können, um Ihre Daten zu durchsuchen:
goo.le\.com– entsprichtgoogle.com,goooogle.comusw.goo\w{3}\.com: Entsprichtgoogle.com,goodle.com,goojle.comusw.[[:digit:]]\.[[:alpha:]]: Entspricht34323.system,23458.office,897.netusw.
Beispiele für reguläre Ausdrücke zum Suchen in Windows-Logs
In diesem Abschnitt finden Sie Abfragestrings mit regulären Ausdrücken, die Sie mit dem Rohlog-Scan von Google SecOps verwenden können, um häufig überwachte Windows-Ereignisse zu finden. In diesen Beispielen wird davon ausgegangen, dass die Windows-Logmeldungen im JSON-Format vorliegen.
Weitere Informationen zu häufig überwachten Windows-Ereignis-IDs finden Sie in der Microsoft-Dokumentation im Thema Events to Monitor (Zu überwachende Ereignisse). Die Beispiele folgen einem ähnlichen Muster, das in diesen Anwendungsfällen beschrieben wird.
| Anwendungsbeispiel: Ereignisse mit der EventID 1150 zurückgeben | |
| Regex-String: | \"EventID\"\:\s*1150 |
| Abgeglichene Werte: | "EventID":1150 |
| Anwendungsbeispiel:Ereignisse mit der Ereignis-ID 1150 oder 1151 zurückgeben | |
| Regex-String | (?:\"EventID\"\:\s*)(?:1150|1151) |
| Abgeglichene Werte | „EventID“:1150 und „EventID“:1151 |
| Anwendungsbeispiel: Ereignisse mit der Ereignis-ID 1150 oder 1151 und der ThreatID 9092 zurückgeben | |
| Regex-String | (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092) |
| Abgeglichene Werte | „EventID“:1150 <...beliebige Anzahl von Zeichen...> „ThreadID“:9092
and „EventID“:1151 <...beliebige Anzahl von Zeichen...glt; „ThreadID“:9092 |
Ereignisse zur Kontoverwaltung finden
Mit diesen regulären Ausdrücken werden häufige Ereignisse zur Kontoverwaltung mithilfe des Attributs „EventID“ identifiziert.
| Art der Veranstaltung | Regulärer Ausdruck |
| Nutzerkonto erstellt | EventID\"\:\s*4720 |
| Nutzerkonto aktiviert | EventID\"\:\s*4722 |
| Nutzerkonto deaktiviert | EventID\"\:\s*4725 |
| Nutzerkonto gelöscht | EventID\"\:\s*4726 |
| Änderung der Nutzerrechte | EventID\"\:\s*4703 |
| Mitglied wurde einer globalen Gruppe mit aktivierter Sicherheit hinzugefügt | EventID\"\:\s*4728 |
| Mitglied aus sicherheitsaktivierter globaler Gruppe entfernt | EventID\"\:\s*4729 |
| Globale Gruppe mit aktivierter Sicherheit wurde gelöscht | EventID\"\:\s*4730 |
Erfolgreiche Anmeldeereignisse finden
Mit diesen regulären Ausdrücken werden Arten von erfolgreichen Anmeldeereignissen anhand der Attribute „EventID“ und „LogonType“ identifiziert.
| Art der Veranstaltung | Regulärer Ausdruck |
| Erfolgreiche Anmeldung | EventID\"\:\s*4624 |
| Anmeldung erfolgreich – interaktiv (LogonType=2) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"2\" |
| Erfolgreiche Anmeldung – Batch-Anmeldung (LogonType=4) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"4\" |
| Erfolgreiche Anmeldung – Dienstanmeldung (LogonType=5) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"5\" |
| Erfolgreiche Anmeldung – RemoteInteractive-Anmeldung (LogonType=10) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"10\" |
| Anmeldung erfolgreich – interaktiv, Batch, Dienst oder RemoteInteractive | (?:EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\" |
Anmeldefehlerereignisse finden
Mit diesen regulären Ausdrücken werden Arten von fehlgeschlagenen Anmeldeereignissen anhand der Attribute „EventID“ und „LogonType“ identifiziert.
| Art der Veranstaltung | Regulärer Ausdruck |
| Fehler bei der Anmeldung | EventID\"\:\s*4625 |
| Fehlgeschlagene interaktive Anmeldung (LogonType=2) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"2\" |
| Fehler bei der Anmeldung – Batch-Anmeldung (LogonType=4) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"4\" |
| Fehler bei der Anmeldung – Dienstanmeldung (LogonType=5) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"5\" |
| Fehler bei der Anmeldung – RemoteInteractive-Anmeldung (LogonType=10) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"10\" |
| Anmeldefehler – interaktiv, Batch, Dienst oder RemoteInteractive | (?:EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\" |
Prozess-, Dienst- und Aufgabenereignisse finden
Mit diesen regulären Ausdrücken werden bestimmte Prozess- und Dienstereignisse anhand des Attributs „EventID“ identifiziert.
| Art der Veranstaltung | Regulärer Ausdruck |
| Prozessbeginn | EventID\"\:\s*4688 |
| Prozess beenden | EventID\"\:\s*4689 |
| Dienst installiert | EventID\"\:\s*4697 |
| Neuer Dienst erstellt | EventID\"\:\s*7045 |
| Geplante Aufgabe erstellt | EventID\"\:\s*4698 |
Ereignisse im Zusammenhang mit dem Objektzugriff finden
Mit diesen regulären Ausdrücken werden verschiedene Arten von prozess- und dienstbezogenen Ereignissen anhand des Attributs „EventID“ identifiziert.
| Art der Veranstaltung | Regulärer Ausdruck |
| Audit-Log gelöscht | EventID\"\:\s*1102 |
| Versuchter Objektzugriff | EventID\"\:\s*4663 |
| Freigegebene Inhalte aufrufen | EventID\"\:\s*5140 |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten