Rechercher des journaux bruts à l'aide de l'analyse des journaux bruts
Lorsque vous effectuez une recherche, Google Security Operations examine d'abord les données de sécurité qui ont été ingérées, analysées et normalisées. Si les informations que vous recherchez ne figurent pas dans les données normalisées, vous pouvez utiliser l'analyse des journaux bruts pour examiner les journaux bruts non analysés. Vous pouvez également utiliser des expressions régulières pour examiner plus en détail les journaux bruts.
Vous pouvez utiliser l'analyse des journaux bruts pour examiner les artefacts qui apparaissent dans les journaux, mais qui ne sont pas indexés. Cela inclut :
- Noms d'utilisateur
- Noms de fichiers
- Clés de registre
- Arguments de ligne de commande
- Données brutes liées aux requêtes HTTP
- Noms de domaine basés sur des expressions régulières
- Espaces de noms et adresses des composants
Analyse des journaux bruts
Pour utiliser l'analyse des journaux bruts, saisissez une chaîne de recherche dans le champ de recherche de la page de destination ou de la barre de menu (par exemple, un hachage MD5). Saisissez au moins quatre caractères (y compris les caractères génériques). Si Google SecOps ne trouve pas la chaîne de recherche, il ouvre l'option Analyse des journaux bruts. Indiquez l'heure de début et l'heure de fin (par défaut, une semaine), puis cliquez sur RECHERCHER.
Analyse des journaux bruts depuis la page de destination
Les événements associés à la chaîne de recherche s'affichent. Vous pouvez ouvrir le journal brut associé en cliquant sur le bouton en forme de flèche.
Vous pouvez également cliquer sur le menu déroulant "Sources de journaux" et sélectionner une ou plusieurs sources de données que vous envoyez à Google SecOps pour effectuer une recherche. Le paramètre par défaut est Tous.
Expressions régulières
Vous pouvez utiliser des expressions régulières pour rechercher et faire correspondre des ensembles de chaînes de caractères dans vos données de sécurité à l'aide de Google SecOps. Les expressions régulières vous permettent d'affiner votre recherche à l'aide de fragments d'informations, au lieu d'utiliser, par exemple, un nom de domaine complet.
Pour effectuer une recherche à l'aide de la syntaxe des expressions régulières, saisissez votre recherche dans le champ Rechercher avec l'expression régulière, cochez la case Exécuter la requête en tant qu'expression régulière, puis cliquez sur RECHERCHER. Votre expression régulière doit comporter entre 4 et 66 caractères.
Exécution de l'analyse des journaux bruts en tant qu'expression régulière
L'infrastructure d'expressions régulières de Google SecOps est basée sur Google RE2, un moteur d'expressions régulières Open Source. Google SecOps utilise la même syntaxe d'expression régulière. Pour en savoir plus, consultez la documentation RE2.
Le tableau suivant présente certaines syntaxes d'expressions régulières courantes que vous pouvez utiliser pour vos recherches.
| Tout caractère | . |
| x nombre de caractères quelconques | {x} |
| Classe de caractères | [xyz] |
| Classe de caractères inversée | [^xyz] |
| Alphanumérique (0-9A-Za-z) | [[:alnum:]] |
| Alphabétique (A-Za-z) | [[:alpha:]] |
| Chiffres (0-9) | [[:digit:]] |
| Minuscules (a-z) | [[:lower:]] |
| Majuscules (A-Z) | [[:upper:]] |
| Caractères de mot (0-9A-Za-z_) | [[:word:]] |
| Chiffre hexadécimal (0-9A-Fa-f) | [[:xdigit:]] |
Les exemples suivants montrent comment utiliser cette syntaxe pour effectuer des recherches dans vos données :
goo.le\.com: correspond àgoogle.com,goooogle.com, etc.goo\w{3}\.com: correspond àgoogle.com,goodle.com,goojle.com, etc.[[:digit:]]\.[[:alpha:]]: correspond à34323.system,23458.office,897.net, etc.
Exemples d'expressions régulières pour rechercher des journaux Windows
Cette section fournit des chaînes de requête d'expression régulière que vous pouvez utiliser avec l'analyse des journaux bruts Google SecOps pour trouver les événements Windows couramment surveillés. Ces exemples supposent que les messages du journal Windows sont au format JSON.
Pour en savoir plus sur les ID d'événement Windows couramment surveillés, consultez la section Événements à surveiller dans la documentation Microsoft. Les exemples fournis suivent un schéma similaire, décrit dans ces cas d'utilisation.
| Cas d'utilisation : renvoyer les événements avec l'EventID 1150 | |
| Chaîne d'expression régulière : | \"EventID\"\:\s*1150 |
| Valeurs correspondantes : | "EventID":1150 |
| Cas d'utilisation : renvoyer les événements dont l'ID d'événement est 1150 ou 1151 | |
| Chaîne d'expression régulière | (?:\"EventID\"\:\s*)(?:1150|1151) |
| Valeurs mises en correspondance | "EventID":1150 et "EventID":1151 |
| Cas d'utilisation : renvoyer les événements dont l'ID d'événement est 1150 ou 1151, et dont l'ID de menace est 9092 | |
| Chaîne d'expression régulière | (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092) |
| Valeurs mises en correspondance | "EventID":1150 <...any number of characters...> "ThreadID":9092
and "EventID":1151 <...any number of characters...glt; "ThreadID":9092 |
Rechercher des événements de gestion de compte
Ces chaînes de requête d'expression régulière identifient les événements courants de gestion de compte à l'aide de l'attribut EventID.
| Type d'événement | Expression régulière |
| Compte utilisateur créé | EventID\"\:\s*4720 |
| Compte utilisateur activé | EventID\"\:\s*4722 |
| Compte utilisateur désactivé | EventID\"\:\s*4725 |
| Compte utilisateur supprimé | EventID\"\:\s*4726 |
| Modification des droits d'utilisateur | EventID\"\:\s*4703 |
| Membre ajouté à un groupe mondial avec sécurité activée | EventID\"\:\s*4728 |
| Membre supprimé d'un groupe mondial avec sécurité activée | EventID\"\:\s*4729 |
| Un groupe mondial avec sécurité activée a été supprimé | EventID\"\:\s*4730 |
Rechercher les événements de connexion réussie
Ces chaînes de requête d'expression régulière identifient les types d'événements de connexion réussie à l'aide des attributs EventID et LogonType.
| Type d'événement | Expression régulière |
| Connexion réussie | EventID\"\:\s*4624 |
| Ouverture de session réussie – Interactive (LogonType=2) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"2\" |
| Ouverture de session réussie : ouverture de session par lot (LogonType=4) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"4\" |
| Ouverture de session réussie : connexion au service (LogonType=5) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"5\" |
| Connexion réussie : connexion interactive à distance (LogonType=10) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"10\" |
| Connexion réussie : interactive, par lot, de service ou interactive à distance | (?:EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\" |
Rechercher les événements d'échec de connexion
Ces chaînes de requête d'expression régulière identifient les types d'événements d'échec de connexion à l'aide des attributs EventID et LogonType.
| Type d'événement | Expression régulière |
| Échec de la connexion | EventID\"\:\s*4625 |
| Échec de l'ouverture de session : interactive (LogonType=2) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"2\" |
| Échec de connexion : connexion par lot (LogonType=4) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"4\" |
| Échec de connexion : connexion au service (LogonType=5) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"5\" |
| Échec de connexion : connexion interactive à distance (LogonType=10) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"10\" |
| Échec de la connexion : interactive, par lot, de service ou interactive à distance | (?:EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\" |
Rechercher des événements de processus, de service et de tâche
Ces chaînes de requête d'expression régulière identifient certains événements de processus et de service à l'aide de l'attribut EventID.
| Type d'événement | Expression régulière |
| Début du processus | EventID\"\:\s*4688 |
| Sortie du processus | EventID\"\:\s*4689 |
| Service installé | EventID\"\:\s*4697 |
| Nouveau service créé | EventID\"\:\s*7045 |
| Tâche planifiée créée | EventID\"\:\s*4698 |
Rechercher des événements liés à l'accès aux objets
Ces chaînes de requête d'expression régulière identifient différents types d'événements liés aux processus et aux services à l'aide de l'attribut EventID.
| Type d'événement | Expression régulière |
| Journal d'audit effacé | EventID\"\:\s*1102 |
| Tentative d'accès à un objet | EventID\"\:\s*4663 |
| Partage consulté | EventID\"\:\s*5140 |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.