Cercare log non elaborati utilizzando Raw Log Scan
Quando esegui una ricerca, Google Security Operations esamina innanzitutto i dati di sicurezza che sono stati importati, analizzati e normalizzati. Se le informazioni che stai cercando non vengono trovate nei dati normalizzati, puoi utilizzare la scansione dei log non elaborati per esaminare i log non analizzati. Puoi anche utilizzare le espressioni regolari per esaminare più da vicino i log non elaborati.
Puoi utilizzare Raw Log Scan per esaminare gli artefatti che vengono visualizzati nei log, ma non sono indicizzati, tra cui:
- Nomi utente
- Nomi dei file
- Chiavi del registro
- Argomenti della riga di comando
- Dati non elaborati relativi alle richieste HTTP
- Nomi di dominio basati su espressioni regolari
- Spazi dei nomi degli asset e indirizzi
Scansione log non elaborati
Per utilizzare Raw Log Scan, inserisci una stringa di ricerca nel campo di ricerca della pagina di destinazione o della barra dei menu (ad esempio, un hash MD5). Inserisci almeno 4 caratteri (inclusi i caratteri jolly). Se Google SecOps non riesce a trovare la stringa di ricerca, apre l'opzione Scansione log grezzi. Specifica l'ora di inizio e l'ora di fine (il valore predefinito è una settimana) e fai clic su CERCA.
Scansione dei log non elaborati dalla pagina di destinazione
Vengono visualizzati gli eventi associati alla stringa di ricerca. Per aprire il log non elaborato associato, fai clic sul pulsante Freccia.
Puoi anche fare clic sul menu a discesa Origini log e selezionare una o più origini dati che invii a Google SecOps per la ricerca. L'impostazione predefinita è Tutti.
Espressioni regolari
Puoi utilizzare le espressioni regolari per cercare e trovare insiemi di stringhe di caratteri all'interno dei tuoi dati di sicurezza utilizzando Google SecOps. Le espressioni regolari ti consentono di restringere la ricerca utilizzando frammenti di informazioni, anziché utilizzare, ad esempio, un nome di dominio completo.
Per eseguire una ricerca utilizzando la sintassi delle espressioni regolari, inserisci la ricerca nel campo Cerca con l'espressione regolare, seleziona la casella di controllo Esegui query come espressione regolare e fai clic su CERCA. L'espressione regolare deve contenere da 4 a 66 caratteri.
Raw Log Scan eseguito come espressione regolare
L'infrastruttura di espressioni regolari di Google SecOps si basa su Google RE2, un motore di espressioni regolari open source. Google SecOps utilizza la stessa sintassi delle espressioni regolari. Per maggiori informazioni, consulta la documentazione RE2.
La seguente tabella evidenzia alcune delle sintassi delle espressioni regolari più comuni che puoi utilizzare per le tue ricerche.
| Qualsiasi carattere | . |
| x numero di caratteri qualsiasi | {x} |
| Classe di caratteri | [xyz] |
| Classe di caratteri negata | [^xyz] |
| Alfanumerico (0-9A-Za-z) | [[:alnum:]] |
| Alfabetico (A-Za-z) | [[:alpha:]] |
| Cifre (0-9) | [[:digit:]] |
| Minuscole (a-z) | [[:lower:]] |
| Maiuscole (A-Z) | [[:upper:]] |
| Caratteri alfanumerici (0-9A-Za-z_) | [[:word:]] |
| Cifra esadecimale (0-9A-Fa-f) | [[:xdigit:]] |
I seguenti esempi illustrano come utilizzare questa sintassi per eseguire ricerche nei dati:
goo.le\.com: corrisponde agoogle.com,goooogle.come così via.goo\w{3}\.com: partitagoogle.com,goodle.com,goojle.come così via.[[:digit:]]\.[[:alpha:]]: partita34323.system,23458.office,897.nete così via.
Espressioni regolari di esempio per la ricerca nei log di Windows
Questa sezione fornisce stringhe di query di espressioni regolari che puoi utilizzare con la scansione dei log non elaborati di Google SecOps per trovare eventi di Windows monitorati di frequente. Questi esempi presuppongono che i messaggi di log di Windows siano in formato JSON.
Per ulteriori informazioni sugli ID evento Windows monitorati di frequente, consulta l'argomento Eventi da monitorare nella documentazione di Microsoft. Gli esempi forniti seguono un pattern simile, descritto in questi casi d'uso.
| Caso d'uso: restituire eventi con EventID 1150 | |
| Stringa regex: | \"EventID\"\:\s*1150 |
| Valori corrispondenti: | "EventID":1150 |
| Caso d'uso:restituire eventi con un ID evento pari a 1150 o 1151 | |
| Stringa regex | (?:\"EventID\"\:\s*)(?:1150|1151) |
| Valori corrispondenti | "EventID":1150 e "EventID":1151 |
| Caso d'uso: restituisci eventi con un ID evento pari a 1150 o 1151 e con ThreatID 9092 | |
| Stringa regex | (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092) |
| Valori corrispondenti | "EventID":1150 <...any number of characters...> "ThreadID":9092
and "EventID":1151 <...any number of characters...glt; "ThreadID":9092 |
Trovare eventi di gestione dell'account
Queste stringhe di query di espressioni regolari identificano gli eventi comuni di gestione dell'account utilizzando l'attributo EventID.
| Tipo di evento | Espressione regolare |
| Account utente creato | EventID\"\:\s*4720 |
| Account utente attivato | EventID\"\:\s*4722 |
| Account utente disattivato | EventID\"\:\s*4725 |
| Account utente eliminato | EventID\"\:\s*4726 |
| Modifica dei diritti utente | EventID\"\:\s*4703 |
| Membro aggiunto al gruppo globale abilitato alla sicurezza | EventID\"\:\s*4728 |
| Membro rimosso dal gruppo globale abilitato alla sicurezza | EventID\"\:\s*4729 |
| Il gruppo globale abilitato alla sicurezza è stato eliminato | EventID\"\:\s*4730 |
Trovare gli eventi di accesso riuscito
Queste stringhe di query di espressioni regolari identificano i tipi di eventi di accesso riuscito utilizzando gli attributi EventID e LogonType.
| Tipo di evento | Espressione regolare |
| Accesso riuscito | EventID\"\:\s*4624 |
| Accesso riuscito - Interattivo (LogonType=2) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"2\" |
| Accesso riuscito - Accesso batch (LogonType=4) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"4\" |
| Accesso riuscito - Accesso al servizio (LogonType=5) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"5\" |
| Accesso riuscito - Accesso remoto interattivo (LogonType=10) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"10\" |
| Accesso riuscito - Interattivo, Batch, Servizio o RemoteInteractive | (?:EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\" |
Trovare gli eventi di accesso non riuscito
Queste stringhe di query di espressioni regolari identificano i tipi di eventi di accesso non riuscito utilizzando gli attributi EventID e LogonType.
| Tipo di evento | Espressione regolare |
| Errore di accesso | EventID\"\:\s*4625 |
| Errore di accesso - Interattivo (LogonType=2) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"2\" |
| Errore di accesso - Accesso batch (LogonType=4) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"4\" |
| Errore di accesso - Accesso al servizio (LogonType=5) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"5\" |
| Errore di accesso - Accesso remoto interattivo (LogonType=10) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"10\" |
| Errore di accesso - Interattivo, batch, servizio o interattivo remoto | (?:EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\" |
Trovare eventi di processi, servizi e attività
Queste stringhe di query di espressioni regolari identificano determinati eventi di processi e servizi utilizzando l'attributo EventID.
| Tipo di evento | Espressione regolare |
| Inizio del processo | EventID\"\:\s*4688 |
| Uscita dal processo | EventID\"\:\s*4689 |
| Servizio installato | EventID\"\:\s*4697 |
| Nuovo servizio creato | EventID\"\:\s*7045 |
| Attività pianificata creata | EventID\"\:\s*4698 |
Trovare eventi correlati all'accesso agli oggetti
Queste stringhe di query di espressioni regolari identificano diversi tipi di eventi correlati a processi e servizi utilizzando l'attributo EventID.
| Tipo di evento | Espressione regolare |
| Audit log cancellato | EventID\"\:\s*1102 |
| Tentativo di accesso all'oggetto | EventID\"\:\s*4663 |
| Condivisione effettuata | EventID\"\:\s*5140 |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.