Cómo usar la búsqueda de registros sin procesar
Cuando realizas una búsqueda, Google Security Operations primero examina los datos de seguridad que se transfirieron, analizaron y normalizaron. Si no se encuentra la información en los datos normalizados, puedes usar la Búsqueda de registros sin procesar para examinar los registros sin procesar y sin analizar. También puedes usar expresiones regulares para examinar los registros sin procesar con más detalle.
Puedes usar la búsqueda de registros sin procesar para investigar los artefactos que aparecen en los registros (pero no están indexados), incluidos los siguientes:
- Nombres de usuario
- Nombres del archivo
- Claves de registro
- Argumentos de la línea de comandos
- Datos sin procesar relacionados con la solicitud HTTP
- Nombres de dominio basados en expresiones regulares
- Espacios de nombres y direcciones de recursos
Búsqueda de registros sin procesar
Puedes realizar una búsqueda de registros sin procesar con la barra de búsqueda, que se encuentra en la página de destino o en la barra de menú. Elige uno de los siguientes métodos:
Usa el formato raw=
.
Puedes consultar los registros sin procesar con el formato raw=
. Este es el método recomendado.
- Para buscar una subcadena, encierra el término de búsqueda entre comillas. Por ejemplo,
raw = "ABC"
. - Para realizar una búsqueda con una expresión regular, encierra la expresión entre barras diagonales (/).
Por ejemplo,
raw = /AB*C/
.
Método heredado: Usa la instrucción de búsqueda de registros sin procesar
- En la barra de búsqueda, ingresa una cadena de búsqueda con al menos cuatro caracteres (por ejemplo, un hash MD5), incluidos comodines.
- Si la búsqueda no arroja resultados, aparecerá la opción Búsqueda de registros sin procesar.
- Opcional: Especifica la Hora de inicio y la Hora de finalización. El período predeterminado es de los últimos 7 días.
- Opcional: En la lista Fuentes de registros, selecciona una o más fuentes de registros. El parámetro de configuración predeterminado es Todo.
- Haz clic en Buscar.
Se muestran los eventos asociados con la cadena de búsqueda. Haz clic en la flecha para abrir el registro sin procesar correspondiente.
Expresiones regulares
Puedes usar expresiones regulares en Google SecOps para buscar y hacer coincidir conjuntos de cadenas de caracteres en tus datos de seguridad. Las expresiones regulares te ayudan a acotar tu búsqueda con fragmentos de información en lugar de requerir una coincidencia exacta.
Para ejecutar una búsqueda con la sintaxis de expresiones regulares, sigue estos pasos:
- En el campo Search, ingresa una expresión regular. Tu expresión regular debe tener entre 4 y 66 caracteres.
- Selecciona la casilla de verificación Ejecutar consulta como expresión regular y haz clic en Buscar.
La infraestructura de expresiones regulares de SecOps de Google se basa en Google RE2, un motor de expresiones regulares de código abierto. Google SecOps usa la misma sintaxis de expresión regular.
En la siguiente tabla, se destacan algunas de las sintaxis de expresiones regulares comunes que puedes usar para tus búsquedas.
Cualquier carácter | . |
x cantidad de cualquier carácter | {x} |
Clase de caracteres | [xyz] |
Clase de caracteres negada | [^xyz] |
Alfanumérico (0-9A-Za-z) | [[:alnum:]] |
Alfabético (A-Za-z) | [[:alpha:]] |
Dígitos (0-9) | [[:digit:]] |
Minúsculas (a-z) | [[:lower:]] |
Mayúsculas (A-Z) | [[:upper:]] |
Caracteres de palabra (0-9A-Za-z_) | [[:word:]] |
Dígito hexadecimal (0-9A-Fa-f) | [[:xdigit:]] |
Símbolo de signo de interrogación (?) | Coincide con cero o una ocurrencia del elemento anterior. |
Asterisco (*) | Coincide con cero o más ocurrencias del carácter o grupo anterior. |
Signo más (+) | Coincide con una o más ocurrencias del carácter o grupo anterior. |
En los siguientes ejemplos, se ilustra cómo puedes usar expresiones regulares para buscar datos:
goo.le\.com
: Coincide con cualquier cadena que comience congoo
, seguida de cualquier carácter único y, luego,le.com
, comogoogle.com
ogoo0le.com
.goo\w{3}\.com
: Coincide con cadenas que comienzan congoo
, seguidas de exactamente tres caracteres de palabra (\w
) y que terminan con.com
. Entre los ejemplos, se incluyengoogle.com
,goojle.com
ogoodle.com
.[[:digit:]]\.[[:alpha:]]
: Coincide con una cadena que tiene un solo dígito, seguido de un punto (.), seguido de un solo carácter alfabético, como34323.system
,23458.office
o897.net
.
Ejemplos de expresiones regulares para buscar registros de Windows
En esta sección, se proporcionan cadenas de consulta de expresiones regulares que puedes usar con la Búsqueda de registros sin procesar de Google SecOps para encontrar eventos de Windows que se supervisan con frecuencia. En estos ejemplos, se supone que los mensajes de registro de Windows están en formato JSON.
Para obtener más información sobre los IDs de eventos de Windows que se supervisan con frecuencia, consulta Eventos para supervisar. Los ejemplos proporcionados siguen un patrón similar, que se describe en estos casos de uso.
Caso de uso: Devolver eventos con el EventID 1150 | |
Cadena de expresión regular: | \"EventID\"\:\s*1150 |
Valores coincidentes: | "EventID":1150 |
Caso de uso:Devolver eventos con un ID de evento que sea 1150 o 1151 | |
Cadena de expresión regular | (?:\"EventID\"\:\s*)(?:1150|1151) |
Valores coincidentes | "EventID":1150 y "EventID":1151 |
Caso de uso: Devolver eventos con un ID de evento que sea 1150 o 1151, y con ThreadID 9092 | |
Cadena de expresión regular | (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092) |
Valores coincidentes | "EventID":1150 <...any number of characters...> "ThreadID":9092
y "EventID":1151 <...any number of characters...> "ThreadID":9092 |
Cómo encontrar eventos de administración de la cuenta
Estas cadenas de consulta de expresiones regulares identifican eventos comunes de administración de cuentas con el atributo EventID.
Tipo de evento | Expresión regular |
Se creó la cuenta de usuario | "EventID\"\:\s*4720 |
Se habilitó la cuenta de usuario | "EventID\"\:\s*4722 |
Cuenta de usuario inhabilitada | "EventID\"\:\s*4725 |
Se borró la cuenta de usuario | "EventID\"\:\s*4726 |
Modificación de derechos del usuario | "EventID\"\:\s*4703 |
Se agregó un miembro al grupo global habilitado para seguridad | "EventID\"\:\s*4728 |
Se quitó a un miembro del grupo global habilitado para seguridad | "EventID\"\:\s*4729 |
Se borró el grupo global con seguridad habilitada | "EventID\"\:\s*4730 |
Cómo encontrar eventos de acceso exitoso
Estas cadenas de consulta de expresiones regulares identifican tipos de eventos de acceso exitoso con los atributos EventID y LogonType.
Tipo de evento | Expresión regular |
Acceso correcto | "EventID\"\:\s*4624 |
Inicio de sesión correcto: interactivo (LogonType=2) | "EventID\"\:\s*4624.*?LogonType\"\:\s*\"2\" |
Logon Success - Batch Login (LogonType=4) | "EventID\"\:\s*4624.*?LogonType\"\:\s*\"4\" |
Logon Success - Service Login (LogonType=5) | "EventID\"\:\s*4624.*?LogonType\"\:\s*\"5\" |
Logon Success - RemoteInteractive Login (LogonType=10) | "EventID\"\:\s*4624.*?LogonType\"\:\s*\"10\" |
Inicio de sesión correcto: Interactivo, por lotes, de servicio o interactivo remoto | (?:"EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\" |
Cómo encontrar eventos de error de acceso
Estas cadenas de consulta de expresiones regulares identifican los tipos de eventos de inicio de sesión fallidos con los atributos EventID y LogonType.
Tipo de evento | Expresión regular |
Error de acceso | "EventID\"\:\s*4625 |
Falla de inicio de sesión: interactivo (LogonType=2) | "EventID\"\:\s*4625.*?LogonType\"\:\s*\"2\" |
Falla de acceso: acceso por lotes (LogonType=4) | "EventID\"\:\s*4625.*?LogonType\"\:\s*\"4\" |
Falla de inicio de sesión: inicio de sesión de servicio (LogonType=5) | "EventID\"\:\s*4625.*?LogonType\"\:\s*\"5\" |
Falla de inicio de sesión: inicio de sesión interactivo remoto (LogonType=10) | "EventID\"\:\s*4625.*?LogonType\"\:\s*\"10\" |
Falla de inicio de sesión: interactivo, por lotes, de servicio o interactivo remoto | (?:"EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\" |
Cómo encontrar eventos de procesos, servicios y tareas
Estas cadenas de consulta de expresiones regulares identifican ciertos eventos de proceso y servicio con el atributo EventID.
Tipo de evento | Expresión regular |
Inicio del proceso | "EventID\"\:\s*4688 |
Salida del proceso | "EventID\"\:\s*4689 |
Servicio instalado | "EventID\"\:\s*4697 |
Se creó un servicio nuevo | "EventID\"\:\s*7045 |
Se creó la tarea programada | "EventID\"\:\s*4698 |
Cómo encontrar eventos relacionados con el acceso a objetos
Estas cadenas de consulta de expresiones regulares identifican diferentes tipos de eventos relacionados con procesos y servicios a través del atributo EventID.
Tipo de evento | Expresión regular |
Se borró el registro de auditoría | "EventID\"\:\s*1102 |
Se intentó acceder al objeto | "EventID\"\:\s*4663 |
Share Accessed | "EventID\"\:\s*5140 |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.