Busca registros sin procesar con Raw Log Scan
Cuando realizas una búsqueda, Google Security Operations primero examina los datos de seguridad que se transfirieron, analizaron y normalizaron. Si la información que buscas no se encuentra en los datos normalizados, puedes usar el análisis de registros sin procesar para examinar los registros sin analizar. También puedes usar expresiones regulares para examinar con mayor detalle los registros sin procesar.
Puedes usar el análisis de registros sin procesar para investigar los artefactos que aparecen en los registros, pero que no están indexados, incluidos los siguientes:
- Nombres de usuario
- Nombres del archivo
- Claves del registro
- Argumentos de la línea de comandos
- Datos sin procesar relacionados con la solicitud HTTP
- Nombres de dominio basados en expresiones regulares
- Espacios de nombres de recursos y direcciones
Análisis de registros sin procesar
Para usar el análisis de registros sin procesar, ingresa una cadena de búsqueda en el campo de búsqueda de la página de destino o la barra de menú (por ejemplo, un hash MD5). Ingresa al menos 4 caracteres (incluidos los comodines). Si Google Security Operations no puede encontrar la cadena de búsqueda, se abrirá la opción Raw Logs Scan. Especifica la Hora de inicio y la Hora de finalización (el valor predeterminado es 1 semana) y haz clic en BUSCAR.
Análisis de registro sin procesar desde la página de destino
Se muestran los eventos asociados con la cadena de búsqueda. Para abrir el registro sin procesar asociado, haz clic en el botón de flecha.
También puedes hacer clic en el menú desplegable Fuentes de registro y seleccionar una o más de las fuentes de datos que envías a Google Security Operations para realizar la búsqueda. La configuración predeterminada es Todas.
Expresiones regulares
Puedes usar expresiones regulares para buscar y hacer coincidir conjuntos de cadenas de caracteres dentro de tus datos de seguridad con Google Security Operations. Las expresiones regulares te permiten limitar tu búsqueda con fragmentos de información, en lugar de usar (por ejemplo) un nombre de dominio completo.
Para ejecutar una búsqueda con la sintaxis de expresión regular, ingresa la búsqueda en el campo Búsqueda con la expresión regular, marca la casilla de verificación Ejecutar consulta como regex y haz clic en BUSCAR. La expresión regular debe tener entre 4 y 66 caracteres.
Análisis de registro sin procesar ejecutado como una expresión regular
La infraestructura de expresiones regulares de Google Security Operations se basa en Google RE2, un motor de expresiones regulares de código abierto. Google Security Operations usa la misma sintaxis de expresiones regulares. Consulta la documentación de RE2 para obtener más información.
En la siguiente tabla, se destacan algunas de las sintaxis de expresiones regulares comunes que puedes usar para tus búsquedas.
| Cualquier carácter | . |
| X cantidad de cualquier carácter | {x} |
| Clase de carácter | [xyz] |
| Clase de caracteres negada | [^xyz] |
| Alfanumérico (0-9A-Za-z) | [[:alnum:]] |
| Alfabético (A-Z) | [[:alpha:]] |
| Dígitos (0-9) | [[:digit:]] |
| Minúscula (a-z) | [[:lower:]] |
| Mayúscula (A-Z) | [[:upper:]] |
| Caracteres de palabra (0-9A-Za-z_) | [[:word:]] |
| Dígito hexadecimal (0-9A-Fa-f) | [[:xdigit:]] |
En los siguientes ejemplos, se muestra cómo puedes usar esta sintaxis para buscar en tus datos:
goo.le\.com: Coincide congoogle.com,goooogle.com, etcétera.goo\w{3}\.com: Coincide congoogle.com,goodle.com,goojle.com, etcétera.[[:digit:]]\.[[:alpha:]]: Coincide con34323.system,23458.office,897.net, etcétera.
Expresiones regulares de muestra para buscar registros de Windows
En esta sección, se proporcionan cadenas de consulta de expresiones regulares que puedes usar con el análisis de registros sin procesar de Google Security Operations para encontrar eventos de Windows supervisados de forma general. En estos ejemplos, se supone que los mensajes de registro de Windows están en formato JSON.
Para obtener más información sobre los IDs de eventos de Windows que se supervisan con mayor frecuencia, consulta el tema Eventos que se deben supervisar en la documentación de Microsoft. Los ejemplos proporcionados siguen un patrón similar, que se describe en estos casos de uso.
| Caso de uso: Cómo mostrar eventos con el ID de evento 1150 | |
| Cadena de regex: | \"EventID\"\:\s*1150 |
| Valores coincidentes: | "EventID":1150 |
| Caso de uso:Muestra eventos con un ID de evento que sea 1150 o 1151 | |
| Cadena de regex | (?:\"EventID\"\:\s*)(?:1150|1151) |
| Valores coincidentes | "EventID":1150 y "EventID":1151 |
| Caso de uso: Devuelve eventos con un ID de evento de 1150 o 1151 y con ThreatID 9092 | |
| Cadena de regex | (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092) |
| Valores coincidentes | "EventID":1150 <...any number of characters...> "ThreadID":9092
y "EventID":1151 <...any number of characters...glt; "ThreadID":9092 |
Cómo encontrar eventos de administración de la cuenta
Estas cadenas de consulta de expresiones regulares identifican eventos comunes de administración de cuentas con el atributo EventID.
| Tipo de evento | Expresión regular |
| Se creó la cuenta de usuario | EventID\"\:\s*4720 |
| Cuenta de usuario habilitada | EventID\"\:\s*4722 |
| Cuenta de usuario inhabilitada | EventID\"\:\s*4725 |
| Se borró la cuenta de usuario | EventID\"\:\s*4726 |
| Modificación de los derechos de los usuarios | EventID\"\:\s*4703 |
| Se agregó un miembro al grupo global con seguridad habilitada | EventID\"\:\s*4728 |
| Se quitó un miembro del grupo global con seguridad habilitada | EventID\"\:\s*4729 |
| Se borró el grupo global habilitado para la seguridad | EventID\"\:\s*4730 |
Busca eventos de acceso correcto
Estas cadenas de consulta de expresiones regulares identifican tipos de eventos de acceso correctos con los atributos EventID y LogonType.
| Tipo de evento | Expresión regular |
| Acceso correcto | EventID\"\:\s*4624 |
| Inicio de sesión correcto: Interactivo (LogonType=2) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"2\" |
| Acceso correcto: Acceso por lotes (LogonType=4) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"4\" |
| Acceso correcto: Acceso al servicio (LogonType=5) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"5\" |
| Acceso correcto: Acceso remoto interactivo (LogonType=10) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"10\" |
| Inicio de sesión correcto: interactivo, por lotes, de servicio o remoto interactivo | (?:EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\" |
Cómo encontrar eventos de fallas de acceso
Estas cadenas de consulta de expresiones regulares identifican tipos de eventos de inicio de sesión con errores mediante los atributos EventID y LogonType.
| Tipo de evento | Expresión regular |
| Error de acceso | EventID\"\:\s*4625 |
| Error de acceso: Interactivo (LogonType=2) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"2\" |
| Error de acceso: Acceso por lotes (LogonType=4) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"4\" |
| Error de acceso: Acceso al servicio (LogonType=5) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"5\" |
| Error de acceso: Acceso remoto interactivo (LogonType=10) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"10\" |
| Fallo de inicio de sesión: interactivo, por lotes, de servicio o interactivo remoto | (?:EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\" |
Cómo encontrar eventos de procesos, servicios y tareas
Estas cadenas de consulta de expresiones regulares identifican ciertos eventos de procesos y servicios con el atributo EventID.
| Tipo de evento | Expresión regular |
| Inicio del proceso | EventID\"\:\s*4688 |
| Salida del proceso | EventID\"\:\s*4689 |
| Se instaló el servicio | EventID\"\:\s*4697 |
| Se creó un servicio nuevo | EventID\"\:\s*7045 |
| Se creó la tarea programada | EventID\"\:\s*4698 |
Cómo encontrar eventos relacionados con el acceso a objetos
Estas cadenas de consulta de expresiones regulares identifican diferentes tipos de eventos relacionados con procesos y servicios mediante el atributo EventID.
| Tipo de evento | Expresión regular |
| Registro de auditoría borrado | EventID\"\:\s*1102 |
| Intento de acceso a objetos | EventID\"\:\s*4663 |
| Compartir acceso | EventID\"\:\s*5140 |