Rechercher des journaux bruts à l'aide de l'analyse des journaux bruts
Lorsque vous effectuez une recherche, Google Security Operations examine d'abord les données de sécurité qui ont été ingérées, analysées et normalisées. Si les informations que vous recherchez ne figurent pas dans les données normalisées, vous pouvez utiliser l'analyse des journaux bruts pour examiner les journaux bruts non analysés. Vous pouvez également utiliser des expressions régulières pour examiner plus en détail les journaux bruts.
Vous pouvez utiliser l'analyse des journaux bruts pour examiner les artefacts qui apparaissent dans les journaux, mais qui ne sont pas indexés, y compris:
- Noms d'utilisateur
- Noms de fichiers
- Clés de registre
- Arguments de ligne de commande
- Données brutes liées aux requêtes HTTP
- Noms de domaine basés sur des expressions régulières
- Espaces de noms des éléments et adresses
Analyse des journaux bruts
Pour utiliser l'analyse des journaux bruts, saisissez une chaîne de recherche dans le champ de recherche de la page de destination ou de la barre de menu (par exemple, un hachage MD5). Saisissez au moins quatre caractères (y compris des caractères génériques). Si Google Security Operations ne parvient pas à trouver la chaîne de recherche, l'option Analyse des journaux bruts s'ouvre. Indiquez l'heure de début et l'heure de fin (par défaut, une semaine), puis cliquez sur RECHERCHER.
Analyse des journaux bruts à partir de la page de destination
Les événements associés à la chaîne de recherche s'affichent. Vous pouvez ouvrir le journal brut associé en cliquant sur le bouton de la flèche.
Vous pouvez également cliquer sur le menu déroulant "Sources de journaux" et sélectionner une ou plusieurs des sources de données que vous envoyez à Google Security Operations pour effectuer une recherche. Le paramètre par défaut est Tout.
Expressions régulières
Vous pouvez utiliser des expressions régulières pour rechercher et faire correspondre des ensembles de chaînes de caractères dans vos données de sécurité à l'aide de Google Security Operations. Les expressions régulières vous permettent d'affiner votre recherche à l'aide de fragments d'informations, plutôt que d'utiliser (par exemple) un nom de domaine complet.
Pour effectuer une recherche à l'aide de la syntaxe d'expression régulière, saisissez votre recherche dans le champ Rechercher avec l'expression régulière, cochez la case Exécuter la requête en tant qu'expression régulière, puis cliquez sur RECHERCHER. Votre expression régulière doit comporter entre 4 et 66 caractères.
Analyse des journaux bruts exécutée en tant qu'expression régulière
L'infrastructure d'expressions régulières de Google Security Operations est basée sur Google RE2, un moteur d'expressions régulières Open Source. Google Security Operations utilise la même syntaxe d'expression régulière. Pour en savoir plus, consultez la documentation RE2.
Le tableau suivant présente certaines des syntaxes d'expressions régulières courantes que vous pouvez utiliser pour vos recherches.
| Tout caractère | . |
| x caractères au choix | {x} |
| Classe de personnage | [xyz] |
| Classe de caractères inversée | [^xyz] |
| Alphanumérique (0-9A-Za-z) | [[:alnum:]] |
| Alphabétique (A-Za-z) | [[:alpha:]] |
| Chiffres (0-9) | [[:digit:]] |
| Minuscules (a-z) | [[:lower:]] |
| Majuscules (A-Z) | [[:upper:]] |
| Caractères de mot (0-9A-Za-z_) | [[:mot:]] |
| Chiffre hexadécimal (0-9A-Fa-f) | [[:xdigit:]] |
Les exemples suivants montrent comment utiliser cette syntaxe pour effectuer une recherche dans vos données:
goo.le\.com: correspond àgoogle.com,goooogle.com, etc.goo\w{3}\.com: correspond àgoogle.com,goodle.com,goojle.com, etc.[[:digit:]]\.[[:alpha:]]: correspond à34323.system,23458.office,897.net, etc.
Exemples d'expressions régulières pour rechercher des journaux Windows
Cette section fournit des chaînes de requêtes d'expression régulière que vous pouvez utiliser avec l'analyse des journaux bruts de Google Security Operations pour rechercher des événements Windows couramment surveillés. Ces exemples supposent que les messages de journal Windows sont au format JSON.
Pour en savoir plus sur les ID d'événement Windows couramment surveillés, consultez la section Événements à surveiller dans la documentation Microsoft. Les exemples fournis suivent un schéma similaire, décrit dans ces cas d'utilisation.
| Cas d'utilisation: Renvoyer des événements avec l'ID d'événement 1150 | |
| Chaîne d'expression régulière: | \"EventID\"\:\s*1150 |
| Valeurs mises en correspondance: | "EventID":1150 |
| Cas d'utilisation:renvoyer des événements avec un ID d'événement de 1150 ou 1151 | |
| Chaîne d'expression régulière | (?:\"EventID\"\:\s*)(?:1150|1151) |
| Valeurs mises en correspondance | "EventID":1150 et "EventID":1151 |
| Cas d'utilisation: renvoyer les événements dont l'ID est 1150 ou 1151, et dont le ThreatID est 9092 | |
| Chaîne d'expression régulière | (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092) |
| Valeurs mises en correspondance | "EventID":1150 <...any number of characters...> "ThreadID":9092
et "EventID":1151 <...any number of characters...glt; "ThreadID":9092 |
Rechercher des événements de gestion de compte
Ces chaînes de requêtes d'expression régulière identifient les événements de gestion de compte courants à l'aide de l'attribut EventID.
| Type d'événement | Expression régulière |
| Compte utilisateur créé | EventID\"\:\s*4720 |
| Compte utilisateur activé | EventID\"\:\s*4722 |
| Compte utilisateur désactivé | EventID\"\:\s*4725 |
| Compte utilisateur supprimé | EventID\"\:\s*4726 |
| Modification des droits des utilisateurs | EventID\"\:\s*4703 |
| Membre ajouté à un groupe global activé pour la sécurité | EventID\"\:\s*4728 |
| Membre supprimé d'un groupe global activé pour la sécurité | EventID\"\:\s*4729 |
| Groupe global activé pour la sécurité supprimé | EventID\"\:\s*4730 |
Rechercher des événements de connexion réussie
Ces chaînes de requêtes d'expression régulière identifient les types d'événements de connexion réussis à l'aide des attributs EventID et LogonType.
| Type d'événement | Expression régulière |
| Connexion réussie | EventID\"\:\s*4624 |
| Ouverture de session réussie - interactive (LogonType=2) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"2\" |
| Connexion réussie : connexion par lot (LogonType=4) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"4\" |
| Connexion réussie : connexion au service (LogonType=5) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"5\" |
| Connexion réussie : connexion RemoteInteractive (LogonType=10) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"10\" |
| "Logon Success" (Connexion réussie) : "Interactive" (Interactif), "Batch" (Par lot), "Service" (Service) ou "RemoteInteractive" (À distance) | (?:EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\" |
Rechercher des événements de défaillance de connexion
Ces chaînes de requêtes d'expression régulière identifient les types d'événements de connexion ayant échoué à l'aide des attributs EventID et LogonType.
| Type d'événement | Expression régulière |
| Échec de la connexion | EventID\"\:\s*4625 |
| Échec de connexion : interactive (LogonType=2) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"2\" |
| Échec de la connexion : connexion par lot (LogonType=4) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"4\" |
| Échec de connexion : connexion au service (LogonType=5) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"5\" |
| Échec de la connexion : connexion RemoteInteractive (LogonType=10) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"10\" |
| Échec de la connexion : interactive, par lot, de service ou à distance | (?:EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\" |
Rechercher des événements de processus, de service et de tâche
Ces chaînes de requêtes d'expression régulière identifient certains événements de processus et de service à l'aide de l'attribut EventID.
| Type d'événement | Expression régulière |
| Début du processus | EventID\"\:\s*4688 |
| Sortie du processus | EventID\"\:\s*4689 |
| Service installé | EventID\"\:\s*4697 |
| Nouveau service créé | EventID\"\:\s*7045 |
| Tâche planifiée créée | EventID\"\:\s*4698 |
Rechercher des événements liés à l'accès aux objets
Ces chaînes de requêtes d'expression régulière identifient différents types d'événements liés aux processus et aux services à l'aide de l'attribut EventID.
| Type d'événement | Expression régulière |
| Journal d'audit effacé | EventID\"\:\s*1102 |
| Tentative d'accès à un objet | EventID\"\:\s*4663 |
| Partager l'accès | EventID\"\:\s*5140 |