Usar la búsqueda de registros sin procesar
Cuando realizas una búsqueda, Google Security Operations primero examina los datos de seguridad que se han ingerido, analizado y normalizado. Si no encuentra la información en los datos normalizados, puede usar la búsqueda de registros sin procesar para examinar los registros sin procesar. También puedes usar expresiones regulares para examinar los registros sin procesar con más detalle.
Puedes usar la búsqueda de registros sin procesar para investigar los artefactos que aparecen en los registros (pero que no están indexados), como los siguientes:
- Nombres de usuario
- Nombres de archivo
- Claves de registro
- Argumentos de línea de comandos
- Datos sin procesar relacionados con solicitudes HTTP
- Nombres de dominio basados en expresiones regulares
- Espacios de nombres de recursos y direcciones
Búsqueda de registros sin procesar
Puedes realizar una búsqueda de registros sin procesar mediante la barra Buscar, situada en la página de destino o en la barra de menú. Elige uno de estos métodos:
Usa el formato raw=
Puedes consultar los registros sin procesar mediante el formato raw=. Este es el método recomendado.
- Para buscar una subcadena, escribe el término de búsqueda entre comillas. Por ejemplo,
raw = "ABC". - Para buscar con una expresión regular, encierra la expresión entre barras inclinadas (/).
Por ejemplo,
raw = /AB*C/.
Método antiguo: usar la petición de búsqueda de registros sin procesar
- En la barra Buscar, introduce una cadena de búsqueda de al menos cuatro caracteres (por ejemplo, un hash MD5), incluidos comodines.
- Si la búsqueda no devuelve ningún resultado, aparece la opción Búsqueda de registros sin procesar.
- Opcional: Especifica la Hora de inicio y la Hora de finalización. El intervalo predeterminado es los últimos 7 días.
- Opcional: En la lista Fuentes de registro, seleccione una o varias fuentes de registro. El ajuste predeterminado es Todo.
- Haz clic en Buscar.
Se muestran los eventos asociados a la cadena de búsqueda. Haz clic en Flecha para abrir el registro sin procesar correspondiente.
Expresiones regulares
Puedes usar expresiones regulares en Google SecOps para buscar y encontrar conjuntos de cadenas de caracteres en tus datos de seguridad. Las expresiones regulares te ayudan a acotar la búsqueda usando fragmentos de información en lugar de requerir una coincidencia exacta.
Para hacer una búsqueda con la sintaxis de expresiones regulares, sigue estos pasos:
- En el campo Buscar, introduce una expresión regular. La expresión regular debe tener entre 4 y 66 caracteres.
- Seleccione la casilla Ejecutar consulta como regex y haga clic en Buscar.
La infraestructura de expresiones regulares de SecOps de Google se basa en Google RE2, un motor de expresiones regulares de código abierto. Google SecOps usa la misma sintaxis de expresiones regulares.
En la siguiente tabla se destacan algunas de las sintaxis de expresiones regulares habituales que puede usar en sus búsquedas.
| Cualquier carácter | . |
| x número de caracteres | {x} |
| Clase de caracteres | [xyz] |
| Clase de caracteres negada | [^xyz] |
| Alfanumérico (0-9A-Za-z) | [[:alnum:]] |
| Alfabético (A-Za-z) | [[:alpha:]] |
| Dígitos (0-9) | [[:digit:]] |
| Minúsculas (a-z) | [[:lower:]] |
| Mayúsculas (A-Z) | [[:upper:]] |
| Caracteres de palabra (0-9A-Za-z_) | [[:word:]] |
| Dígito hexadecimal (0-9A-Fa-f) | [[:xdigit:]] |
| Símbolo de interrogación (?) | Coincide con cero o una instancia del elemento anterior. |
| Asterisco (*) | Coincide con cero o más instancias del carácter o grupo anterior. |
| Signo más (+) | Coincide con una o más apariciones del carácter o grupo anterior. |
En los siguientes ejemplos se muestra cómo puedes usar expresiones regulares para buscar datos:
goo.le\.com: coincide con cualquier cadena que empiece porgoo, seguida de cualquier carácter y, a continuación, dele.com. Por ejemplo,google.comogoo0le.com.goo\w{3}\.com—Coincide con las cadenas que empiezan porgoo, seguidas de exactamente tres caracteres de palabra (\w) y que terminan con.com. Por ejemplo,google.com,goojle.comogoodle.com.[[:digit:]]\.[[:alpha:]]: coincide con una cadena que tiene un solo dígito, seguido de un punto (.) y de un solo carácter alfabético, como34323.system,23458.officeo897.net.
Expresiones regulares de ejemplo para buscar registros de Windows
En esta sección se proporcionan cadenas de consulta de expresiones regulares que puedes usar con la búsqueda de registros sin procesar de Google SecOps para encontrar eventos de Windows que se monitorizan con frecuencia. En estos ejemplos se da por hecho que los mensajes de registro de Windows están en formato JSON.
Para obtener más información sobre los IDs de evento de Windows que se monitorizan con frecuencia, consulta Eventos que monitorizar. Los ejemplos proporcionados siguen un patrón similar, que se describe en estos casos prácticos.
| Caso práctico: devolver eventos con el EventID 1150 | |
| Cadena de expresión regular: | \"EventID\"\:\s*1150 |
| Valores coincidentes: | "EventID":1150 |
| Caso práctico:devolver eventos con el ID de evento 1150 o 1151 | |
| Cadena de expresión regular | (?:\"EventID\"\:\s*)(?:1150|1151) |
| Valores coincidentes | "EventID":1150 y "EventID":1151 |
| Caso práctico: devolver eventos con el ID de evento 1150 o 1151 y con el ID de hilo 9092 | |
| Cadena de expresión regular | (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092) |
| Valores coincidentes | "EventID":1150 <...any number of characters...> "ThreadID":9092
y "EventID":1151 <...any number of characters...> "ThreadID":9092 |
Buscar eventos de gestión de cuentas
Estas cadenas de consulta de expresiones regulares identifican eventos comunes de gestión de cuentas mediante el atributo EventID.
| Tipo de evento | Expresión regular |
| Cuenta de usuario creada | "EventID\"\:\s*4720 |
| Cuenta de usuario habilitada | "EventID\"\:\s*4722 |
| Cuenta de usuario inhabilitada | "EventID\"\:\s*4725 |
| Cuenta de usuario eliminada | "EventID\"\:\s*4726 |
| Modificación de derechos de usuario | "EventID\"\:\s*4703 |
| Miembro añadido a un grupo global habilitado para seguridad | "EventID\"\:\s*4728 |
| Miembro eliminado de un grupo global habilitado para seguridad | "EventID\"\:\s*4729 |
| Se ha eliminado un grupo global habilitado para seguridad | "EventID\"\:\s*4730 |
Buscar eventos de inicio de sesión correcto
Estas cadenas de consulta de expresiones regulares identifican tipos de eventos de inicio de sesión correctos mediante los atributos EventID y LogonType.
| Tipo de evento | Expresión regular |
| Inicio de sesión correcto | "EventID\"\:\s*4624 |
| Inicio de sesión correcto - Interactivo (LogonType=2) | "EventID\"\:\s*4624.*?LogonType\"\:\s*\"2\" |
| Inicio de sesión correcto: inicio de sesión por lotes (LogonType=4) | "EventID\"\:\s*4624.*?LogonType\"\:\s*\"4\" |
| Inicio de sesión correcto: inicio de sesión de servicio (LogonType=5) | "EventID\"\:\s*4624.*?LogonType\"\:\s*\"5\" |
| Inicio de sesión correcto: inicio de sesión remoto interactivo (LogonType=10) | "EventID\"\:\s*4624.*?LogonType\"\:\s*\"10\" |
| Inicio de sesión correcto: interactivo, por lotes, de servicio o interactivo remoto | (?:"EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\" |
Buscar eventos de error de inicio de sesión
Estas cadenas de consulta de expresiones regulares identifican tipos de eventos de inicio de sesión fallido mediante los atributos EventID y LogonType.
| Tipo de evento | Expresión regular |
| Error de inicio de sesión | "EventID\"\:\s*4625 |
| Error de inicio de sesión - Interactivo (LogonType=2) | "EventID\"\:\s*4625.*?LogonType\"\:\s*\"2\" |
| Error al iniciar sesión: inicio de sesión por lotes (LogonType=4) | "EventID\"\:\s*4625.*?LogonType\"\:\s*\"4\" |
| Error de inicio de sesión: inicio de sesión de servicio (LogonType=5) | "EventID\"\:\s*4625.*?LogonType\"\:\s*\"5\" |
| Error al iniciar sesión: inicio de sesión interactivo remoto (LogonType=10) | "EventID\"\:\s*4625.*?LogonType\"\:\s*\"10\" |
| Error de inicio de sesión: interactivo, por lotes, de servicio o interactivo remoto | (?:"EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\" |
Buscar eventos de procesos, servicios y tareas
Estas cadenas de consulta de expresiones regulares identifican determinados eventos de procesos y servicios mediante el atributo EventID.
| Tipo de evento | Expresión regular |
| Inicio del proceso | "EventID\"\:\s*4688 |
| Proceso de salida | "EventID\"\:\s*4689 |
| Servicio instalado | "EventID\"\:\s*4697 |
| Nuevo servicio creado | "EventID\"\:\s*7045 |
| Tarea programada creada | "EventID\"\:\s*4698 |
Buscar eventos relacionados con el acceso a objetos
Estas cadenas de consulta de expresiones regulares identifican diferentes tipos de eventos relacionados con procesos y servicios mediante el atributo EventID.
| Tipo de evento | Expresión regular |
| Registro de auditoría borrado | "EventID\"\:\s*1102 |
| Se ha intentado acceder a un objeto | "EventID\"\:\s*4663 |
| Compartir acceso | "EventID\"\:\s*5140 |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.