Cómo buscar registros sin procesar con Raw Log Scan
Cuando realizas una búsqueda, Google Security Operations primero examina los datos de seguridad que se transfirieron, analizaron y normalizaron. Si la información que buscas no se encuentra en los datos normalizados, puedes usar el análisis de registros sin procesar para examinar los registros sin procesar sin analizar. También puedes usar expresiones regulares para examinar los registros sin procesar con mayor detalle.
Puedes usar el análisis de registros sin procesar para investigar los artefactos que aparecen en los registros, pero que no están indexados, incluidos los siguientes:
- Nombres de usuario
- Nombres del archivo
- Claves de registro
- Argumentos de la línea de comandos
- Datos sin procesar relacionados con la solicitud HTTP
- Nombres de dominio basados en expresiones regulares
- Espacios de nombres y direcciones de recursos
Análisis de registros sin procesar
Para usar el análisis de registros sin procesar, ingresa una cadena de búsqueda en el campo de búsqueda de la página de destino o la barra de menú (por ejemplo, un hash MD5). Ingresa al menos 4 caracteres (comodines incluidos). Si Google SecOps no puede encontrar la cadena de búsqueda, se abre la opción Raw Logs Scan. Especifica la Hora de inicio y la Hora de finalización (la configuración predeterminada es 1 semana) y haz clic en BUSCAR.
Análisis de registro sin procesar de la página de destino
Se muestran los eventos asociados con la cadena de búsqueda. Para abrir el registro sin procesar asociado, haz clic en el botón de flecha.
También puedes hacer clic en el menú desplegable Log Sources y seleccionar una o más de las fuentes de datos que envías a Google SecOps para realizar la búsqueda. El parámetro de configuración predeterminado es Todos.
Expresiones regulares
Puedes usar expresiones regulares para buscar y hacer coincidir conjuntos de cadenas de caracteres en tus datos de seguridad con Google SecOps. Las expresiones regulares te permiten limitar tu búsqueda con fragmentos de información, en lugar de usar (por ejemplo) un nombre de dominio completo.
Para ejecutar una búsqueda con la sintaxis de expresión regular, ingresa tu búsqueda en el campo Search con la expresión regular, marca la casilla de verificación Run Query as Regex y haz clic en SEARCH. La expresión regular debe tener entre 4 y 66 caracteres.
Ejecución del análisis de registros sin procesar como una expresión regular
La infraestructura de expresiones regulares de SecOps de Google se basa en Google RE2, un motor de expresiones regulares de código abierto. Google SecOps usa la misma sintaxis de expresiones regulares. Consulta la documentación de RE2 para obtener más información.
En la siguiente tabla, se destacan algunas de las sintaxis de expresiones regulares comunes que puedes usar para tus búsquedas.
| Cualquier carácter | . |
| x cantidad de cualquier carácter | {x} |
| Clase de caracteres | [xyz] |
| Clase de caracteres negada | [^xyz] |
| Alfanumérico (0-9A-Za-z) | [[:alnum:]] |
| Alfabético (A-Za-z) | [[:alpha:]] |
| Dígitos (0-9) | [[:digit:]] |
| Minúsculas (a-z) | [[:lower:]] |
| Mayúsculas (A-Z) | [[:upper:]] |
| Caracteres de palabra (0-9A-Za-z_) | [[:word:]] |
| Dígito hexadecimal (0-9A-Fa-f) | [[:xdigit:]] |
En los siguientes ejemplos, se ilustra cómo puedes usar esta sintaxis para realizar búsquedas en tus datos:
goo.le\.com: Coincide congoogle.com,goooogle.com, etcétera.goo\w{3}\.com: Coincide congoogle.com,goodle.com,goojle.com, etcétera.[[:digit:]]\.[[:alpha:]]: Coincide con34323.system,23458.office,897.net, etcétera.
Ejemplos de expresiones regulares para buscar registros de Windows
En esta sección, se proporcionan cadenas de consulta de expresiones regulares que puedes usar con el análisis de registros sin procesar de Google SecOps para encontrar eventos de Windows que se supervisan con frecuencia. En estos ejemplos, se supone que los mensajes de registro de Windows están en formato JSON.
Para obtener más información sobre los IDs de eventos de Windows que se supervisan con frecuencia, consulta el tema Events to Monitor en la documentación de Microsoft. Los ejemplos proporcionados siguen un patrón similar, que se describe en estos casos de uso.
| Caso de uso: Devolver eventos con el EventID 1150 | |
| Cadena de regex: | \"EventID\"\:\s*1150 |
| Valores coincidentes: | "EventID":1150 |
| Caso de uso:Devolver eventos con un ID de evento que sea 1150 o 1151 | |
| Cadena de expresión regular | (?:\"EventID\"\:\s*)(?:1150|1151) |
| Valores coincidentes | "EventID":1150 y "EventID":1151 |
| Caso de uso: Devolver eventos con un ID de evento que sea 1150 o 1151, y con ThreatID 9092 | |
| Cadena de expresión regular | (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092) |
| Valores coincidentes | "EventID":1150 <…cualquier cantidad de caracteres…> "ThreadID":9092
y "EventID":1151 <…cualquier cantidad de caracteres…> "ThreadID":9092 |
Cómo encontrar eventos de administración de la cuenta
Estas cadenas de consulta de expresiones regulares identifican eventos comunes de administración de cuentas con el atributo EventID.
| Tipo de evento | Expresión regular |
| Se creó la cuenta de usuario | EventID\"\:\s*4720 |
| Se habilitó la cuenta de usuario | EventID\"\:\s*4722 |
| Cuenta de usuario inhabilitada | EventID\\"\\:\s*4725 |
| Se borró la cuenta de usuario | EventID\"\:\s*4726 |
| Modificación de derechos del usuario | EventID\"\:\s*4703 |
| Se agregó un miembro al grupo global habilitado para seguridad | EventID\"\:\s*4728 |
| Se quitó a un miembro del grupo global habilitado para seguridad | EventID\"\:\s*4729 |
| Se borró el grupo global con seguridad habilitada | EventID\\":\\s*4730 |
Cómo encontrar eventos de acceso exitoso
Estas cadenas de consulta de expresiones regulares identifican tipos de eventos de acceso exitosos con los atributos EventID y LogonType.
| Tipo de evento | Expresión regular |
| Acceso correcto | EventID\"\:\s*4624 |
| Inicio de sesión correcto: interactivo (LogonType=2) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"2\" |
| Logon Success - Batch Login (LogonType=4) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"4\" |
| Logon Success - Service Login (LogonType=5) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"5\" |
| Logon Success - RemoteInteractive Login (LogonType=10) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"10\" |
| Inicio de sesión correcto: Interactivo, por lotes, de servicio o interactivo remoto | (?:EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\" |
Cómo encontrar eventos de falla de acceso
Estas cadenas de consulta de expresiones regulares identifican tipos de eventos de inicio de sesión fallidos con los atributos EventID y LogonType.
| Tipo de evento | Expresión regular |
| Error de inicio de sesión | EventID\"\:\s*4625 |
| Falla de inicio de sesión: interactivo (LogonType=2) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"2\" |
| Falla de acceso: acceso por lotes (LogonType=4) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"4\" |
| Falla de inicio de sesión: inicio de sesión de servicio (LogonType=5) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"5\" |
| Falla de inicio de sesión: inicio de sesión interactivo remoto (LogonType=10) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"10\" |
| Falla de inicio de sesión: interactivo, por lotes, de servicio o interactivo remoto | (?:EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\" |
Cómo encontrar eventos de procesos, servicios y tareas
Estas cadenas de consulta de expresiones regulares identifican ciertos eventos de proceso y servicio con el atributo EventID.
| Tipo de evento | Expresión regular |
| Inicio del proceso | EventID\"\:\s*4688 |
| Salida del proceso | EventID\"\:\s*4689 |
| Servicio instalado | EventID\"\:\s*4697 |
| Se creó un servicio nuevo | EventID\"\:\s*7045 |
| Se creó la tarea programada | EventID\"\:\s*4698 |
Cómo encontrar eventos relacionados con el acceso a objetos
Estas cadenas de consulta de expresiones regulares identifican diferentes tipos de eventos relacionados con procesos y servicios a través del atributo EventID.
| Tipo de evento | Expresión regular |
| Se borró el registro de auditoría | EventID\"\:\s*1102 |
| Se intentó acceder al objeto | EventID\"\:\s*4663 |
| Share Accessed | EventID\"\:\s*5140 |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.