Utiliser la recherche dans les journaux bruts
Lorsque vous effectuez une recherche, Google Security Operations examine d'abord les données de sécurité ingérées, analysées et normalisées. Si les informations ne sont pas disponibles dans les données normalisées, vous pouvez utiliser la recherche dans les journaux bruts pour examiner les journaux bruts non analysés. Vous pouvez également utiliser des expressions régulières pour examiner les journaux bruts plus en détail.
Vous pouvez utiliser la recherche de journaux bruts pour examiner les artefacts qui apparaissent dans les journaux (mais qui ne sont pas indexés), y compris :
- Noms d'utilisateur
- Noms de fichiers
- Clés de registre
- Arguments de ligne de commande
- Données brutes liées aux requêtes HTTP
- Noms de domaine basés sur des expressions régulières
- Espaces de noms et adresses des composants
Recherche dans les journaux bruts
Vous pouvez effectuer une recherche dans les journaux bruts à l'aide de la barre Recherche, située sur la page de destination ou dans la barre de menu. Sélectionnez l'une des méthodes suivantes :
Utilisez le format raw=.
Vous pouvez interroger les journaux bruts à l'aide du format raw=. Il s'agit de la méthode recommandée.
- Pour rechercher une sous-chaîne, placez le terme de recherche entre guillemets. Par exemple,
raw = "ABC". - Pour effectuer une recherche à l'aide d'une expression régulière, placez-la entre des barres obliques (/). Par exemple,
raw = /AB*C/.
Ancienne méthode : utiliser la requête de recherche dans les journaux bruts
- Dans la barre de Recherche, saisissez une chaîne de recherche d'au moins quatre caractères (par exemple, un hachage MD5), y compris des caractères génériques.
- Si la recherche ne renvoie aucun résultat, l'option Recherche de journaux bruts s'affiche.
- Facultatif : Indiquez l'heure de début et l'heure de fin. La période par défaut est de sept jours.
- Facultatif : Dans la liste Sources de journaux, sélectionnez une ou plusieurs sources de journaux. Le paramètre par défaut est Tous.
- Cliquez sur Rechercher.
Les événements associés à la chaîne de recherche s'affichent. Cliquez sur la flèche pour ouvrir le journal brut correspondant.
Expressions régulières
Vous pouvez utiliser des expressions régulières dans Google SecOps pour rechercher et faire correspondre des ensembles de chaînes de caractères dans vos données de sécurité. Les expressions régulières vous aident à affiner votre recherche en utilisant des fragments d'informations plutôt qu'une correspondance exacte.
Pour effectuer une recherche à l'aide de la syntaxe des expressions régulières :
- Dans le champ Rechercher, saisissez une expression régulière. Votre expression régulière doit comporter entre 4 et 66 caractères.
- Cochez la case Exécuter la requête en tant qu'expression régulière, puis cliquez sur Rechercher.
L'infrastructure d'expressions régulières Google SecOps est basée sur Google RE2, un moteur d'expressions régulières Open Source. Google SecOps utilise la même syntaxe d'expression régulière.
Le tableau suivant présente certaines syntaxes d'expressions régulières courantes que vous pouvez utiliser pour vos recherches.
| Tout caractère | . |
| x nombre de caractères quelconques | {x} |
| Classe de caractères | [xyz] |
| Classe de caractères inversée | [^xyz] |
| Alphanumérique (0-9A-Za-z) | [[:alnum:]] |
| Alphabétique (A-Za-z) | [[:alpha:]] |
| Chiffres (0-9) | [[:digit:]] |
| Minuscules (a-z) | [[:lower:]] |
| Majuscules (A-Z) | [[:upper:]] |
| Caractères de mot (0-9A-Za-z_) | [[:word:]] |
| Chiffre hexadécimal (0-9A-Fa-f) | [[:xdigit:]] |
| Symbole point d'interrogation (?) | Correspond à zéro ou une occurrence de l'élément précédent. |
| Astérisque (*) | Correspond à zéro ou plusieurs occurrences du caractère ou du groupe qui précède. |
| Signe plus (+) | Correspond à une ou plusieurs occurrences du caractère ou du groupe précédent. |
Les exemples suivants illustrent comment utiliser les expressions régulières pour rechercher des données :
goo.le\.com: correspond à toute chaîne commençant pargoo, suivie de n'importe quel caractère, puis dele.com(par exemple,google.comougoo0le.com).goo\w{3}\.com: correspond aux chaînes commençant pargoo, suivies de trois caractères de mot exactement (\w) et se terminant par.com. Il peut par exemple s'agir degoogle.com,goojle.comougoodle.com.[[:digit:]]\.[[:alpha:]]: correspond à une chaîne composée d'un chiffre unique, suivi d'un point (.), puis d'un caractère alphabétique unique, tel que34323.system,23458.officeou897.net.
Exemples d'expressions régulières pour rechercher des journaux Windows
Cette section fournit des chaînes de requête d'expression régulière que vous pouvez utiliser avec la recherche dans les journaux bruts de Google SecOps pour trouver les événements Windows couramment surveillés. Ces exemples supposent que les messages du journal Windows sont au format JSON.
Pour en savoir plus sur les ID d'événement Windows couramment surveillés, consultez Événements à surveiller. Les exemples fournis suivent un schéma similaire, décrit dans ces cas d'utilisation.
| Cas d'utilisation : renvoyer les événements avec l'EventID 1150 | |
| Chaîne d'expression régulière : | \"EventID\"\:\s*1150 |
| Valeurs correspondantes : | "EventID":1150 |
| Cas d'utilisation : renvoyer les événements dont l'ID d'événement est 1150 ou 1151 | |
| Chaîne d'expression régulière | (?:\"EventID\"\:\s*)(?:1150|1151) |
| Valeurs mises en correspondance | "EventID":1150 et "EventID":1151 |
| Cas d'utilisation : renvoyer les événements dont l'ID d'événement est 1150 ou 1151, et dont l'ID de thread est 9092 | |
| Chaîne d'expression régulière | (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092) |
| Valeurs mises en correspondance | "EventID":1150 <...any number of characters...> "ThreadID":9092
et "EventID":1151 <...any number of characters...> "ThreadID":9092 |
Rechercher des événements de gestion de compte
Ces chaînes de requête d'expression régulière identifient les événements courants de gestion de compte à l'aide de l'attribut EventID.
| Type d'événement | Expression régulière |
| Compte utilisateur créé | "EventID\"\:\s*4720 |
| Compte utilisateur activé | "EventID\"\:\s*4722 |
| Compte utilisateur désactivé | "EventID\"\:\s*4725 |
| Compte utilisateur supprimé | "EventID\"\:\s*4726 |
| Modification des droits d'utilisateur | "EventID\"\:\s*4703 |
| Membre ajouté à un groupe mondial avec sécurité activée | "EventID\"\:\s*4728 |
| Membre supprimé d'un groupe mondial avec sécurité activée | "EventID\"\:\s*4729 |
| Un groupe mondial avec sécurité activée a été supprimé | "EventID\"\:\s*4730 |
Rechercher les événements de connexion réussie
Ces chaînes de requête d'expression régulière identifient les types d'événements de connexion réussie à l'aide des attributs EventID et LogonType.
| Type d'événement | Expression régulière |
| Connexion réussie | "EventID\"\:\s*4624 |
| Ouverture de session réussie – Interactive (LogonType=2) | "EventID\"\:\s*4624.*?LogonType\"\:\s*\"2\" |
| Ouverture de session réussie : ouverture de session par lot (LogonType=4) | "EventID\"\:\s*4624.*?LogonType\"\:\s*\"4\" |
| Ouverture de session réussie : connexion au service (LogonType=5) | "EventID\"\:\s*4624.*?LogonType\"\:\s*\"5\" |
| Connexion réussie : connexion interactive à distance (LogonType=10) | "EventID\"\:\s*4624.*?LogonType\"\:\s*\"10\" |
| Connexion réussie : interactive, par lot, de service ou interactive à distance | (?:"EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\" |
Rechercher les événements d'échec de connexion
Ces chaînes de requête d'expression régulière identifient les types d'événements d'échec de connexion à l'aide des attributs EventID et LogonType.
| Type d'événement | Expression régulière |
| Échec de la connexion | "EventID\"\:\s*4625 |
| Échec de l'ouverture de session : interactive (LogonType=2) | "EventID\"\:\s*4625.*?LogonType\"\:\s*\"2\" |
| Échec de connexion : connexion par lot (LogonType=4) | "EventID\"\:\s*4625.*?LogonType\"\:\s*\"4\" |
| Échec de connexion : connexion au service (LogonType=5) | "EventID\"\:\s*4625.*?LogonType\"\:\s*\"5\" |
| Échec de connexion : connexion interactive à distance (LogonType=10) | "EventID\"\:\s*4625.*?LogonType\"\:\s*\"10\" |
| Échec de connexion : interactif, par lot, de service ou interactif à distance | (?:"EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\" |
Rechercher des événements de processus, de service et de tâche
Ces chaînes de requête d'expression régulière identifient certains événements de processus et de service à l'aide de l'attribut EventID.
| Type d'événement | Expression régulière |
| Début du processus | "EventID\"\:\s*4688 |
| Sortie du processus | "EventID\"\:\s*4689 |
| Service installé | "EventID\"\:\s*4697 |
| Nouveau service créé | "EventID\"\:\s*7045 |
| Tâche planifiée créée | "EventID\"\:\s*4698 |
Rechercher des événements liés à l'accès aux objets
Ces chaînes de requête d'expression régulière identifient différents types d'événements liés aux processus et aux services à l'aide de l'attribut EventID.
| Type d'événement | Expression régulière |
| Journal d'audit effacé | "EventID\"\:\s*1102 |
| Tentative d'accès à un objet | "EventID\"\:\s*4663 |
| Partage consulté | "EventID\"\:\s*5140 |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.