Cómo usar la búsqueda de registros sin procesar

Compatible con:

Cuando realizas una búsqueda, Google Security Operations primero examina los datos de seguridad que se transfirieron, analizaron y normalizaron. Si no se encuentra la información en los datos normalizados, puedes usar la Búsqueda de registros sin procesar para examinar los registros sin procesar y sin analizar. También puedes usar expresiones regulares para examinar los registros sin procesar con más detalle.

Puedes usar la búsqueda de registros sin procesar para investigar los artefactos que aparecen en los registros (pero no están indexados), incluidos los siguientes:

  • Nombres de usuario
  • Nombres del archivo
  • Claves de registro
  • Argumentos de la línea de comandos
  • Datos sin procesar relacionados con la solicitud HTTP
  • Nombres de dominio basados en expresiones regulares
  • Espacios de nombres y direcciones de recursos

Puedes realizar una búsqueda de registros sin procesar con la barra de búsqueda, que se encuentra en la página de destino o en la barra de menú. Elige uno de los siguientes métodos:

Usa el formato raw=.

Puedes consultar los registros sin procesar con el formato raw=. Este es el método recomendado.

  • Para buscar una subcadena, encierra el término de búsqueda entre comillas. Por ejemplo, raw = "ABC".
  • Para realizar una búsqueda con una expresión regular, encierra la expresión entre barras diagonales (/). Por ejemplo, raw = /AB*C/.

Método heredado: Usa la instrucción de búsqueda de registros sin procesar

  • En la barra de búsqueda, ingresa una cadena de búsqueda con al menos cuatro caracteres (por ejemplo, un hash MD5), incluidos comodines.
  • Si la búsqueda no arroja resultados, aparecerá la opción Búsqueda de registros sin procesar.
  • Opcional: Especifica la Hora de inicio y la Hora de finalización. El período predeterminado es de los últimos 7 días.
  • Opcional: En la lista Fuentes de registros, selecciona una o más fuentes de registros. El parámetro de configuración predeterminado es Todo.
  • Haz clic en Buscar.

Se muestran los eventos asociados con la cadena de búsqueda. Haz clic en la flecha para abrir el registro sin procesar correspondiente.

Expresiones regulares

Puedes usar expresiones regulares en Google SecOps para buscar y hacer coincidir conjuntos de cadenas de caracteres en tus datos de seguridad. Las expresiones regulares te ayudan a acotar tu búsqueda con fragmentos de información en lugar de requerir una coincidencia exacta.

Para ejecutar una búsqueda con la sintaxis de expresiones regulares, sigue estos pasos:

  1. En el campo Search, ingresa una expresión regular. Tu expresión regular debe tener entre 4 y 66 caracteres.
  2. Selecciona la casilla de verificación Ejecutar consulta como expresión regular y haz clic en Buscar.

La infraestructura de expresiones regulares de SecOps de Google se basa en Google RE2, un motor de expresiones regulares de código abierto. Google SecOps usa la misma sintaxis de expresión regular.

En la siguiente tabla, se destacan algunas de las sintaxis de expresiones regulares comunes que puedes usar para tus búsquedas.

Cualquier carácter .
x cantidad de cualquier carácter {x}
Clase de caracteres [xyz]
Clase de caracteres negada [^xyz]
Alfanumérico (0-9A-Za-z) [[:alnum:]]
Alfabético (A-Za-z) [[:alpha:]]
Dígitos (0-9) [[:digit:]]
Minúsculas (a-z) [[:lower:]]
Mayúsculas (A-Z) [[:upper:]]
Caracteres de palabra (0-9A-Za-z_) [[:word:]]
Dígito hexadecimal (0-9A-Fa-f) [[:xdigit:]]
Símbolo de signo de interrogación (?) Coincide con cero o una ocurrencia del elemento anterior.
Asterisco (*) Coincide con cero o más ocurrencias del carácter o grupo anterior.
Signo más (+) Coincide con una o más ocurrencias del carácter o grupo anterior.

En los siguientes ejemplos, se ilustra cómo puedes usar expresiones regulares para buscar datos:

  • goo.le\.com: Coincide con cualquier cadena que comience con goo, seguida de cualquier carácter único y, luego, le.com, como google.com o goo0le.com.
  • goo\w{3}\.com: Coincide con cadenas que comienzan con goo, seguidas de exactamente tres caracteres de palabra (\w) y que terminan con .com. Entre los ejemplos, se incluyen google.com, goojle.com o goodle.com.
  • [[:digit:]]\.[[:alpha:]]: Coincide con una cadena que tiene un solo dígito, seguido de un punto (.), seguido de un solo carácter alfabético, como 34323.system, 23458.office o 897.net.

Ejemplos de expresiones regulares para buscar registros de Windows

En esta sección, se proporcionan cadenas de consulta de expresiones regulares que puedes usar con la Búsqueda de registros sin procesar de Google SecOps para encontrar eventos de Windows que se supervisan con frecuencia. En estos ejemplos, se supone que los mensajes de registro de Windows están en formato JSON.

Para obtener más información sobre los IDs de eventos de Windows que se supervisan con frecuencia, consulta Eventos para supervisar. Los ejemplos proporcionados siguen un patrón similar, que se describe en estos casos de uso.

Caso de uso: Devolver eventos con el EventID 1150
Cadena de expresión regular: \"EventID\"\:\s*1150
Valores coincidentes: "EventID":1150
Caso de uso:Devolver eventos con un ID de evento que sea 1150 o 1151
Cadena de expresión regular (?:\"EventID\"\:\s*)(?:1150|1151)
Valores coincidentes "EventID":1150 y "EventID":1151
Caso de uso: Devolver eventos con un ID de evento que sea 1150 o 1151, y con ThreadID 9092
Cadena de expresión regular (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092)
Valores coincidentes "EventID":1150 <...any number of characters...> "ThreadID":9092
y
"EventID":1151 <...any number of characters...> "ThreadID":9092

Cómo encontrar eventos de administración de la cuenta

Estas cadenas de consulta de expresiones regulares identifican eventos comunes de administración de cuentas con el atributo EventID.

Tipo de evento Expresión regular
Se creó la cuenta de usuario "EventID\"\:\s*4720
Se habilitó la cuenta de usuario "EventID\"\:\s*4722
Cuenta de usuario inhabilitada "EventID\"\:\s*4725
Se borró la cuenta de usuario "EventID\"\:\s*4726
Modificación de derechos del usuario "EventID\"\:\s*4703
Se agregó un miembro al grupo global habilitado para seguridad "EventID\"\:\s*4728
Se quitó a un miembro del grupo global habilitado para seguridad "EventID\"\:\s*4729
Se borró el grupo global con seguridad habilitada "EventID\"\:\s*4730

Cómo encontrar eventos de acceso exitoso

Estas cadenas de consulta de expresiones regulares identifican tipos de eventos de acceso exitoso con los atributos EventID y LogonType.

Tipo de evento Expresión regular
Acceso correcto "EventID\"\:\s*4624
Inicio de sesión correcto: interactivo (LogonType=2) "EventID\"\:\s*4624.*?LogonType\"\:\s*\"2\"
Logon Success - Batch Login (LogonType=4) "EventID\"\:\s*4624.*?LogonType\"\:\s*\"4\"
Logon Success - Service Login (LogonType=5) "EventID\"\:\s*4624.*?LogonType\"\:\s*\"5\"
Logon Success - RemoteInteractive Login (LogonType=10) "EventID\"\:\s*4624.*?LogonType\"\:\s*\"10\"
Inicio de sesión correcto: Interactivo, por lotes, de servicio o interactivo remoto (?:"EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\"

Cómo encontrar eventos de error de acceso

Estas cadenas de consulta de expresiones regulares identifican los tipos de eventos de inicio de sesión fallidos con los atributos EventID y LogonType.

Tipo de evento Expresión regular
Error de acceso "EventID\"\:\s*4625
Falla de inicio de sesión: interactivo (LogonType=2) "EventID\"\:\s*4625.*?LogonType\"\:\s*\"2\"
Falla de acceso: acceso por lotes (LogonType=4) "EventID\"\:\s*4625.*?LogonType\"\:\s*\"4\"
Falla de inicio de sesión: inicio de sesión de servicio (LogonType=5) "EventID\"\:\s*4625.*?LogonType\"\:\s*\"5\"
Falla de inicio de sesión: inicio de sesión interactivo remoto (LogonType=10) "EventID\"\:\s*4625.*?LogonType\"\:\s*\"10\"
Falla de inicio de sesión: interactivo, por lotes, de servicio o interactivo remoto (?:"EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\"

Cómo encontrar eventos de procesos, servicios y tareas

Estas cadenas de consulta de expresiones regulares identifican ciertos eventos de proceso y servicio con el atributo EventID.

Tipo de evento Expresión regular
Inicio del proceso "EventID\"\:\s*4688
Salida del proceso "EventID\"\:\s*4689
Servicio instalado "EventID\"\:\s*4697
Se creó un servicio nuevo "EventID\"\:\s*7045
Se creó la tarea programada "EventID\"\:\s*4698

Estas cadenas de consulta de expresiones regulares identifican diferentes tipos de eventos relacionados con procesos y servicios a través del atributo EventID.

Tipo de evento Expresión regular
Se borró el registro de auditoría "EventID\"\:\s*1102
Se intentó acceder al objeto "EventID\"\:\s*4663
Share Accessed "EventID\"\:\s*5140

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.