Menelusuri log mentah menggunakan Pemindaian Log Mentah
Saat Anda melakukan penelusuran, Google Security Operations akan memeriksa data keamanan yang telah diserap, diuraikan, dan dinormalisasi terlebih dahulu. Jika informasi yang Anda telusuri tidak ditemukan dalam data yang dinormalisasi, Anda dapat menggunakan Pemindaian Log Mentah untuk memeriksa log mentah yang tidak diuraikan. Anda juga dapat menggunakan ekspresi reguler untuk memeriksa log mentah secara lebih cermat.
Anda dapat menggunakan Pemindaian Log Mentah untuk menyelidiki artefak yang muncul dalam log, tetapi tidak diindeks, termasuk:
- Nama pengguna
- Nama file
- Kunci registry
- Argumen command line
- Data terkait permintaan HTTP mentah
- Nama domain berdasarkan ekspresi reguler
- Alamat dan namespace aset
Pemindaian log mentah
Untuk menggunakan Pemindaian Log Mentah, masukkan string penelusuran di kolom penelusuran di halaman landing atau menu bar (misalnya, hash MD5). Masukkan minimal 4 karakter (termasuk karakter pengganti). Jika tidak dapat menemukan string penelusuran, Google Security Operations akan membuka opsi Raw Logs Scan. Tentukan Waktu Mulai dan Waktu Berakhir (default-nya adalah 1 minggu), lalu klik TELUSURI.
Pemindaian Log Raw dari halaman landing
Peristiwa yang terkait dengan string penelusuran akan ditampilkan. Anda dapat membuka log mentah terkait dengan mengklik tombol panah.
Anda juga dapat mengklik menu drop-down Sumber Log dan memilih satu atau beberapa sumber data yang Anda kirim ke Google Security Operations untuk ditelusuri. Setelan defaultnya adalah Semua.
Ekspresi reguler
Anda dapat menggunakan ekspresi reguler untuk menelusuri dan mencocokkan kumpulan string karakter dalam data keamanan menggunakan Google Security Operations. Ekspresi reguler memungkinkan Anda mempersempit penelusuran menggunakan fragmen informasi, bukan menggunakan (misalnya) nama domain lengkap.
Untuk menjalankan penelusuran menggunakan sintaksis ekspresi reguler, masukkan penelusuran Anda di kolom Telusuri dengan ekspresi reguler, centang kotak Jalankan Kueri sebagai Regex, lalu klik TELUSUR. Panjang ekspresi reguler Anda harus antara 4 hingga 66 karakter.
Pemindaian Log Mentah dijalankan sebagai ekspresi reguler
Infrastruktur ekspresi reguler Google Security Operations didasarkan pada Google RE2, mesin ekspresi reguler open source. Google Security Operations menggunakan sintaksis ekspresi reguler yang sama. Lihat dokumentasi RE2 untuk informasi selengkapnya.
Tabel berikut menyoroti beberapa sintaksis ekspresi reguler umum yang dapat Anda gunakan untuk penelusuran.
| Karakter apa pun | . |
| x jumlah karakter apa pun | {x} |
| Class karakter | [xyz] |
| Class karakter yang dinegasikan | [^xyz] |
| Alfanumerik (0-9A-Za-z) | [[:alnum:]] |
| Menurut abjad (A-Za-z) | [[:alpha:]] |
| Digit (0-9) | [[:digit:]] |
| Huruf kecil (a-z) | [[:lower:]] |
| Huruf besar (A-Z) | [[:upper:]] |
| Karakter kata (0-9A-Za-z_) | [[:word:]] |
| Digit heksadesimal (0-9A-Fa-f) | [[:xdigit:]] |
Contoh berikut mengilustrasikan cara menggunakan sintaksis ini untuk menelusuri data:
goo.le\.com—cocokkangoogle.com,goooogle.com, dll.goo\w{3}\.com—cocokkangoogle.com,goodle.com,goojle.com, dll.[[:digit:]]\.[[:alpha:]]—cocokkan34323.system,23458.office,897.net, dll.
Contoh ekspresi reguler untuk menelusuri log Windows
Bagian ini menyediakan string kueri ekspresi reguler yang dapat Anda gunakan dengan pemindaian log mentah Google Security Operations untuk menemukan peristiwa Windows yang biasa dipantau. Contoh ini mengasumsikan bahwa pesan log Windows dalam format JSON.
Untuk informasi selengkapnya tentang ID Peristiwa Windows yang biasa dipantau, lihat topik Peristiwa yang Akan Dipantau dalam dokumentasi Microsoft. Contoh yang diberikan mengikuti pola serupa, yang dijelaskan dalam kasus penggunaan ini.
| Kasus Penggunaan: Menampilkan peristiwa dengan EventID 1150 | |
| String Regex: | \"EventID\"\:\s*1150 |
| Nilai yang Cocok: | "EventID":1150 |
| Kasus Penggunaan:Menampilkan peristiwa dengan ID Peristiwa 1150 atau 1151 | |
| String Regex | (?:\"EventID\"\:\s*)(?:1150|1151) |
| Nilai yang Cocok | "EventID":1150 dan "EventID":1151 |
| Kasus Penggunaan: Menampilkan peristiwa dengan ID Peristiwa 1150 atau 1151, dan dengan ThreatID 9092 | |
| String Regex | (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092) |
| Nilai yang Cocok | "EventID":1150 <...any number of characters...> "ThreadID":9092
dan "EventID":1151 <...any number of characters...glt; "ThreadID":9092 |
Menemukan peristiwa pengelolaan akun
String kueri ekspresi reguler ini mengidentifikasi peristiwa pengelolaan akun umum menggunakan atribut EventID.
| Jenis Peristiwa | Ekspresi Reguler |
| Akun Pengguna Dibuat | EventID\"\:\s*4720 |
| Akun Pengguna Diaktifkan | EventID\"\:\s*4722 |
| Akun Pengguna Dinonaktifkan | EventID\"\:\s*4725 |
| Akun Pengguna Dihapus | EventID\"\:\s*4726 |
| Perubahan Hak Pengguna | EventID\"\:\s*4703 |
| Anggota Ditambahkan ke Grup Global yang Mengaktifkan Keamanan | EventID\"\:\s*4728 |
| Anggota Dihapus dari Grup Global yang Mengaktifkan Keamanan | EventID\"\:\s*4729 |
| Grup Global yang Diaktifkan Keamanan Dihapus | EventID\"\:\s*4730 |
Menemukan peristiwa keberhasilan login
String kueri ekspresi reguler ini mengidentifikasi jenis peristiwa login yang berhasil menggunakan atribut EventID dan LogonType.
| Jenis Peristiwa | Ekspresi Reguler |
| Login Berhasil | EventID\"\:\s*4624 |
| Login Berhasil - Interaktif (LogonType=2) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"2\" |
| Logon Berhasil - Login Batch (LogonType=4) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"4\" |
| Logon Berhasil - Login Layanan (LogonType=5) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"5\" |
| Logon Berhasil - Login RemoteInteractive (LogonType=10) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"10\" |
| Logon Berhasil - Interaktif, Batch, Layanan, atau RemoteInteraktif | (?:EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\" |
Menemukan peristiwa kegagalan login
String kueri ekspresi reguler ini mengidentifikasi jenis peristiwa login yang gagal menggunakan atribut EventID dan LogonType.
| Jenis Peristiwa | Ekspresi Reguler |
| Kegagalan Login | EventID\"\:\s*4625 |
| Kegagalan Login - Interaktif (LogonType=2) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"2\" |
| Kegagalan Login - Login Batch (LogonType=4) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"4\" |
| Kegagalan Login - Login Layanan (LogonType=5) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"5\" |
| Kegagalan Login - Login RemoteInteractive (LogonType=10) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"10\" |
| Kegagalan Login - Interaktif, Batch, Layanan, atau RemoteInteractive | (?:EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\" |
Menemukan peristiwa proses, layanan, dan tugas
String kueri ekspresi reguler ini mengidentifikasi peristiwa proses dan layanan tertentu menggunakan atribut EventID.
| Jenis Peristiwa | Ekspresi Reguler |
| Mulai Proses | EventID\"\:\s*4688 |
| Keluar Proses | EventID\"\:\s*4689 |
| Layanan Terinstal | EventID\"\:\s*4697 |
| Layanan Baru Dibuat | EventID\"\:\s*7045 |
| Tugas Terjadwal Dibuat | EventID\"\:\s*4698 |
Menemukan peristiwa yang terkait dengan akses objek
String kueri ekspresi reguler ini mengidentifikasi berbagai jenis peristiwa terkait proses dan layanan menggunakan atribut EventID.
| Jenis Peristiwa | Ekspresi Reguler |
| Log Audit Dihapus | EventID\"\:\s*1102 |
| Percobaan Akses Objek | EventID\"\:\s*4663 |
| Diakses Bersama | EventID\"\:\s*5140 |