Menggunakan pemindaian log mentah untuk menelusuri log
Saat Anda melakukan penelusuran, Google Security Operations akan memeriksa terlebih dahulu data keamanan yang telah di-ingest, di-parse, dan dinormalisasi. Jika informasi tidak ditemukan dalam data yang dinormalisasi, Anda dapat menggunakan Pemindaian log mentah untuk memeriksa log mentah yang tidak diuraikan. Anda juga dapat menggunakan ekspresi reguler untuk memeriksa log mentah secara lebih mendetail.
Anda dapat menggunakan Pemindaian log mentah untuk menyelidiki artefak yang muncul di log (tetapi tidak diindeks), termasuk:
- Nama pengguna
- Nama file
- Kunci registri
- Argumen command line
- Data mentah terkait permintaan HTTP
- Nama domain berdasarkan ekspresi reguler
- Namespace aset dan alamat
Pemindaian log raw
Untuk menggunakan Pemindaian log mentah, masukkan string penelusuran di kolom Penelusuran di halaman landing atau menu bar (misalnya, hash MD5). Masukkan minimal 4 karakter (termasuk karakter pengganti). Jika Google SecOps tidak dapat menemukan string penelusuran, opsi Pemindaian log mentah akan terbuka. Tentukan Waktu Mulai dan Waktu Berakhir (defaultnya adalah 1 minggu), lalu klik Telusuri.
Peristiwa yang terkait dengan string penelusuran akan ditampilkan. Anda dapat membuka log mentah terkait dengan mengklik tombol panah.
Anda juga dapat mengklik menu Sumber log dan memilih satu atau beberapa sumber data yang Anda telusuri. Setelan default-nya adalah Semua.
Ekspresi reguler
Anda dapat menggunakan ekspresi reguler di Google SecOps untuk menelusuri dan mencocokkan kumpulan string karakter dalam data keamanan Anda. Ekspresi reguler membantu mempersempit penelusuran menggunakan fragmen informasi, bukan memerlukan kecocokan persis.
Untuk menjalankan penelusuran menggunakan sintaksis ekspresi reguler:
- Di kolom Penelusuran, masukkan ekspresi reguler. Panjang ekspresi reguler Anda harus 4 hingga 66 karakter.
- Centang kotak Jalankan kueri sebagai regex, lalu klik Telusuri.
Infrastruktur ekspresi reguler Google SecOps didasarkan pada Google RE2, mesin ekspresi reguler open source. Google SecOps menggunakan sintaksis ekspresi reguler yang sama.
Tabel berikut menyoroti beberapa sintaksis ekspresi reguler umum yang dapat Anda gunakan untuk penelusuran.
| Karakter apa pun | . |
| x jumlah karakter apa pun | {x} |
| Kelas karakter | [xyz] |
| Kelas karakter yang dinegasikan | [^xyz] |
| Alfanumerik (0-9A-Za-z) | [[:alnum:]] |
| Alfabetis (A-Za-z) | [[:alpha:]] |
| Digit (0-9) | [[:digit:]] |
| Huruf kecil (a-z) | [[:lower:]] |
| Huruf besar (A-Z) | [[:upper:]] |
| Karakter kata (0-9A-Za-z_) | [[:word:]] |
| Digit heksadesimal (0-9A-Fa-f) | [[:xdigit:]] |
| Simbol tanda tanya (?) | Mencocokkan nol atau satu kemunculan elemen sebelumnya. |
| Tanda bintang (*) | Mencocokkan nol atau lebih kemunculan karakter atau grup sebelumnya. |
| Tanda plus (+) | Mencocokkan satu atau beberapa kemunculan karakter atau grup sebelumnya. |
Contoh berikut menggambarkan cara Anda dapat menggunakan ekspresi reguler untuk menelusuri data:
goo.le\.com—Mencocokkan string apa pun yang diawali dengangoo, diikuti dengan satu karakter apa pun, diikuti denganle.com, sepertigoogle.comataugo0le.com.goo\w{3}\.com—Mencocokkan string yang dimulai dengangoo, diikuti dengan tepat tiga karakter kata (\w), dan diakhiri dengan.com. Contohnya meliputigoogle.com,goojle.com, ataugoodle.com.[[:digit:]]\.[[:alpha:]]—mencocokkan string yang memiliki satu digit, diikuti dengan titik (.), diikuti dengan satu karakter alfabet, seperti34323.system,23458.office, atau897.net.
Contoh ekspresi reguler untuk menelusuri log Windows
Bagian ini menyediakan string kueri ekspresi reguler yang dapat Anda gunakan dengan Pemindaian log mentah Google SecOps untuk menemukan peristiwa Windows yang umum dipantau. Contoh ini mengasumsikan bahwa pesan log Windows dalam format JSON.
Untuk mengetahui informasi selengkapnya tentang ID Peristiwa Windows yang umum dipantau, lihat topik Peristiwa yang Harus Dipantau dalam dokumentasi Microsoft. Contoh yang diberikan mengikuti pola serupa, yang dijelaskan dalam kasus penggunaan ini.
| Kasus Penggunaan: Menampilkan peristiwa dengan EventID 1150 | |
| String Regex: | \"EventID\"\:\s*1150 |
| Nilai yang Cocok: | "EventID":1150 |
| Kasus Penggunaan:Menampilkan peristiwa dengan ID Peristiwa 1150 atau 1151 | |
| String Regex | (?:\"EventID\"\:\s*)(?:1150|1151) |
| Nilai yang Cocok | "EventID":1150 dan "EventID":1151 |
| Kasus Penggunaan: Menampilkan peristiwa dengan ID Peristiwa 1150 atau 1151, dan dengan ThreadID 9092 | |
| String Regex | (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092) |
| Nilai yang Cocok | "EventID":1150 <...any number of characters...> "ThreadID":9092
dan "EventID":1151 <...any number of characters...> "ThreadID":9092 |
Menemukan peristiwa pengelolaan akun
String kueri ekspresi reguler ini mengidentifikasi peristiwa pengelolaan akun umum menggunakan atribut EventID.
| Jenis Acara | Ekspresi Reguler |
| Akun Pengguna Dibuat | "EventID\"\:\s*4720 |
| Akun Pengguna Diaktifkan | "EventID\"\:\s*4722 |
| Akun Pengguna Dinonaktifkan | "EventID\"\:\s*4725 |
| Akun Pengguna Dihapus | "EventID\"\:\s*4726 |
| Perubahan Hak Pengguna | "EventID\"\:\s*4703 |
| Anggota Ditambahkan ke Grup Global yang Diaktifkan Keamanannya | "EventID\"\:\s*4728 |
| Anggota Dihapus dari Grup Global yang Diaktifkan Keamanannya | "EventID\"\:\s*4729 |
| Grup Global yang Diaktifkan Keamanannya telah Dihapus | "EventID\"\:\s*4730 |
Menemukan peristiwa keberhasilan login
String kueri ekspresi reguler ini mengidentifikasi jenis peristiwa login yang berhasil menggunakan atribut EventID dan LogonType.
| Jenis Acara | Ekspresi Reguler |
| Login Berhasil | "EventID\"\:\s*4624 |
| Login Berhasil - Interaktif (LogonType=2) | "EventID\"\:\s*4624.*?LogonType\"\:\s*\"2\" |
| Login Berhasil - Login Batch (LogonType=4) | "EventID\"\:\s*4624.*?LogonType\"\:\s*\"4\" |
| Login Berhasil - Login Layanan (LogonType=5) | "EventID\"\:\s*4624.*?LogonType\"\:\s*\"5\" |
| Login Berhasil - Login RemoteInteractive (LogonType=10) | "EventID\"\:\s*4624.*?LogonType\"\:\s*\"10\" |
| Logon Berhasil - Interaktif, Batch, Layanan, atau RemoteInteractive | (?:"EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\" |
Menemukan peristiwa kegagalan login
String kueri ekspresi reguler ini mengidentifikasi jenis peristiwa login yang gagal menggunakan atribut EventID dan LogonType.
| Jenis Acara | Ekspresi Reguler |
| Kegagalan Login | "EventID\"\:\s*4625 |
| Kegagalan Login - Interaktif (LogonType=2) | "EventID\"\:\s*4625.*?LogonType\"\:\s*\"2\" |
| Kegagalan Login - Login Batch (LogonType=4) | "EventID\"\:\s*4625.*?LogonType\"\:\s*\"4\" |
| Kegagalan Login - Login Layanan (LogonType=5) | "EventID\"\:\s*4625.*?LogonType\"\:\s*\"5\" |
| Kegagalan Login - Login RemoteInteractive (LogonType=10) | "EventID\"\:\s*4625.*?LogonType\"\:\s*\"10\" |
| Kegagalan Login - Interaktif, Batch, Layanan, atau RemoteInteractive | (?:"EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\" |
Menemukan peristiwa proses, layanan, dan tugas
String kueri ekspresi reguler ini mengidentifikasi peristiwa proses dan layanan tertentu menggunakan atribut EventID.
| Jenis Acara | Ekspresi Reguler |
| Mulai Proses | "EventID\"\:\s*4688 |
| Keluar dari Proses | "EventID\"\:\s*4689 |
| Layanan Terinstal | "EventID\"\:\s*4697 |
| Layanan Baru Dibuat | "EventID\"\:\s*7045 |
| Tugas Terjadwal Dibuat | "EventID\"\:\s*4698 |
Menemukan peristiwa yang terkait dengan akses objek
String kueri ekspresi reguler ini mengidentifikasi berbagai jenis peristiwa terkait proses dan layanan menggunakan atribut EventID.
| Jenis Acara | Ekspresi Reguler |
| Log Audit Dihapus | "EventID\"\:\s*1102 |
| Percobaan Akses Objek | "EventID\"\:\s*4663 |
| Bagikan Akses | "EventID\"\:\s*5140 |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.