Busca registros sin procesar con Raw Log Scan
Cuando realizas una búsqueda, Google Security Operations primero examina los datos de seguridad que se transfirieron, analizaron y normalizaron. Si la información que buscas no se encuentra en los datos normalizados, puedes usar el análisis de registros sin procesar para examinar los registros sin procesar sin analizar. También puedes usar expresiones regulares para examinar más de cerca los registros sin procesar.
Puedes usar el análisis de registros sin procesar para investigar artefactos que aparecen en los registros, pero que no están indexados, incluidos los siguientes:
- Nombres de usuario
- Nombres del archivo
- Claves de registro
- Argumentos de la línea de comandos
- Datos sin procesar relacionados con solicitudes HTTP
- Nombres de dominio basados en expresiones regulares
- Espacios de nombres de recursos y direcciones
Análisis de registros sin procesar
Para usar el análisis de registros sin procesar, ingresa una cadena de búsqueda en el campo de búsqueda de la página de destino o la barra de menú (por ejemplo, un hash MD5). Ingrese, al menos, 4 caracteres (incluidos los comodines). Si Google Security Operations no encuentra la búsqueda esta cadena abre la opción Raw Logs Scan. Especifica la Hora de inicio y Hora de finalización (el valor predeterminado es 1 semana) y haz clic en BUSCAR.
Análisis de registro sin procesar de la página de destino
Se muestran los eventos asociados con la cadena de búsqueda. Puedes abrir el registro sin procesar asociado haciendo clic en el botón de flecha.
También puedes hacer clic en el menú desplegable Fuentes de registros y seleccionar una o más de las fuentes de datos que envías a Google Security Operations para la búsqueda. El la configuración predeterminada es Todas.
Expresiones regulares
Puedes usar expresiones regulares para buscar y hacer coincidir conjuntos de caracteres en los datos de seguridad con Google Security Operations. Expresiones regulares te permiten acotar la búsqueda usando fragmentos de información, como en lugar de usar (por ejemplo) un nombre de dominio completo.
Para realizar una búsqueda con la sintaxis de expresiones regulares, ingresa la búsqueda en Search con la expresión regular, marca la opción Run Query as regex y haz clic en BUSCAR. Tu expresión regular debe estar entre 4 y 66. caracteres.
El análisis de registros sin procesar se ejecuta como una expresión regular
La infraestructura de expresiones regulares de Google Security Operations se basa en Google RE2, un motor de expresiones regulares de código abierto. Google Security Operations usa la misma sintaxis de expresión regular. Consulta la documentación de RE2 para obtener más información.
En la siguiente tabla, se destacan algunas de las sintaxis comunes de expresiones regulares que puedes usar para tus búsquedas.
Cualquier carácter | . |
número x de cualquier carácter | {x} |
Clase de personaje | [xyz] |
Clase de carácter negada | [^xyz] |
Alfanuméricos (0-9A-Za-z) | [[:alnum:]] |
Alfabético (A-Za-z) | [[:alpha:]] |
Dígitos (0-9) | [[:digit:]] |
Minúscula (a-z) | [[:lower:]] |
Mayúscula (A-Z) | [[:upper:]] |
Caracteres de palabras (0-9A-Za-z_) | [[:word:]] |
Dígito hexadecimal (0-9A-Fa-f) | [[:xdigit:]] |
Los siguientes ejemplos ilustran cómo podrías usar esta sintaxis para buscar en tus datos:
goo.le\.com
: Coincide congoogle.com
,goooogle.com
, etcétera.goo\w{3}\.com
: Coincide congoogle.com
,goodle.com
,goojle.com
, etcétera.[[:digit:]]\.[[:alpha:]]
: Coincide con34323.system
,23458.office
,897.net
, etcétera.
Expresiones regulares de muestra para buscar registros de Windows
En esta sección, se proporcionan cadenas de consulta de expresiones regulares que puedes usar con el análisis de registros sin procesar de Google Security Operations para encontrar eventos de Windows comúnmente supervisados. En estos ejemplos, se supone que los mensajes de registro de Windows están en formato JSON.
Para obtener más información sobre los IDs de eventos de Windows que se supervisan con mayor frecuencia, consulta el tema Eventos que se deben supervisar en la documentación de Microsoft. Los ejemplos proporcionados siguen un patrón similar, que se describe en estos casos de uso.
Caso de uso: Muestra eventos con el EventID 1150 | |
Cadena de regex: | \"ID de evento\"\:\s*1150 |
Valores coincidentes: | “ID de evento”:1150 |
Caso práctico:Mostrar eventos con un ID de evento que sea 1150 o 1151 | |
Cadena de regex | (?:\"EventID\"\:\s*)(?:1150|1151) |
Valores coincidentes | "EventID":1150 y "EventID":1151 |
Caso de uso: Muestra eventos con un ID de evento que sea 1150 o 1151, y con ThreatID 9092 | |
Cadena de regex | (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092) |
Valores coincidentes | "EventID":1150 <...any number of characters...> "ThreadID":9092
y "EventID":1151 <...any number of characters...glt; "ThreadID":9092 |
Cómo encontrar eventos de administración de la cuenta
Estas cadenas de consulta de expresiones regulares identifican eventos comunes de administración de cuentas mediante el atributo EventID.
Tipo de evento | Expresión regular |
Se creó la cuenta de usuario | EventID\"\:\s*4720 |
Cuenta de usuario habilitada | EventID\"\:\s*4722 |
Cuenta de usuario inhabilitada | ID de evento\"\:\s*4725 |
Cuenta de usuario eliminada | ID de evento\"\:\s*4726 |
Modificación de derechos de los usuarios | ID de evento\"\:\s*4703 |
Se agregó el miembro al grupo global con seguridad habilitada | EventID\"\:\s*4728 |
Se quitó un miembro del grupo global habilitado para la seguridad | EventID\"\:\s*4729 |
Se borró el grupo global habilitado para la seguridad | ID de evento\"\:\s*4730 |
Busca eventos de acceso exitoso
Estas cadenas de consulta de expresiones regulares identifican tipos de eventos de inicio de sesión satisfactorio mediante los atributos EventID y LogonType.
Tipo de evento | Expresión regular |
Inicio de sesión exitoso | ID de evento\"\:\s*4624 |
Inicio de sesión exitoso: interactivo (LogonType=2) | ID de evento\"\:\s*4624.*?Tipo de acceso\"\:\s*\"2\" |
Inicio de sesión correcto: acceso por lotes (LogonType=4) | ID de evento\"\:\s*4624.*?Tipo de acceso\"\:\s*\"4\" |
Inicio de sesión correcto: acceso al servicio (LogonType=5) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"5\" |
Inicio de sesión correcto: acceso remoto interactivo (LogonType=10) | ID de evento\"\:\s*4624.*?Tipo de acceso\"\:\s*\"10\" |
Inicio de sesión correcto: interactivo, por lotes, de servicio o interactivo | (?:EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\" |
Cómo buscar eventos de fallas de inicio de sesión
Estas cadenas de consulta de expresiones regulares identifican tipos de eventos de inicio de sesión fallidos utilizando los atributos EventID y LogonType.
Tipo de evento | Expresión regular |
Error de inicio de sesión | ID de evento\"\:\s*4625 |
Error de inicio de sesión - Interactivo (LogonType=2) | ID de evento\"\:\s*4625.*?Tipo de acceso\"\:\s*\"2\" |
Error de inicio de sesión: Acceso por lotes (LogonType=4) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"4\" |
Error de inicio de sesión: Acceso al servicio (LogonType=5) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"5\" |
Error de inicio de sesión: acceso remoto interactivo (LogonType=10) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"10\" |
Falla de inicio de sesión: interactivo, por lotes, de servicio o remoto | (?:EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\" |
Cómo encontrar eventos de procesos, servicios y tareas
Estas cadenas de consulta de expresiones regulares identifican determinados eventos de procesos y servicios con el atributo EventID.
Tipo de evento | Expresión regular |
Inicio del proceso | ID de evento\"\:\s*4688 |
Salida del proceso | ID de evento\"\:\s*4689 |
Servicio instalado | ID de evento\"\:\s*4697 |
Se creó un nuevo servicio | ID de evento\"\:\s*7045 |
Se creó la tarea de programación | ID de evento\"\:\s*4698 |
Busca eventos relacionados con el acceso a objetos
Estas cadenas de consulta de expresiones regulares identifican distintos tipos de eventos relacionados con procesos y servicios mediante el atributo EventID.
Tipo de evento | Expresión regular |
Registro de auditoría borrado | ID de evento\"\:\s*1102 |
Intento de acceso a objetos | ID de evento\"\:\s*4663 |
Acceso compartido | ID de evento\"\:\s*5140 |