Utilizzare la ricerca nei log non elaborati
Quando esegui una ricerca, Google Security Operations esamina innanzitutto i dati di sicurezza inseriti, analizzati e normalizzati. Se le informazioni non vengono trovate nei dati normalizzati, puoi utilizzare la Ricerca nei log non elaborati per esaminare i log non elaborati e non analizzati. Puoi anche utilizzare le espressioni regolari per esaminare i log non elaborati in modo più dettagliato.
Puoi utilizzare la ricerca nei log non elaborati per esaminare gli artefatti che vengono visualizzati nei log (ma non sono indicizzati), tra cui:
- Nomi utente
- Nomi dei file
- Chiavi del registro
- Argomenti della riga di comando
- Dati non elaborati relativi alle richieste HTTP
- Nomi di dominio basati su espressioni regolari
- Spazi dei nomi degli asset e indirizzi
Ricerca log non elaborati
Puoi eseguire una ricerca nei log non elaborati utilizzando la barra Ricerca, che si trova nella home page o nella barra dei menu. Scegli uno dei seguenti metodi:
Utilizza il formato raw=
Puoi eseguire query sui log non elaborati utilizzando il formato raw=. Questo è il metodo consigliato.
- Per cercare una sottostringa, racchiudi il termine di ricerca tra virgolette. Ad esempio,
raw = "ABC". - Per eseguire una ricerca utilizzando un'espressione regolare, racchiudila tra barre (/).
Ad esempio,
raw = /AB*C/.
Metodo legacy: utilizza il prompt di ricerca nei log non elaborati
- Nella barra Cerca, inserisci una stringa di ricerca con almeno quattro caratteri (ad esempio, un hash MD5), inclusi i caratteri jolly.
- Se la ricerca non restituisce risultati, viene visualizzata l'opzione Ricerca log grezzi.
- (Facoltativo) Specifica Ora di inizio e Ora di fine. L'intervallo predefinito è gli ultimi 7 giorni.
- (Facoltativo) Nell'elenco Origini log, seleziona una o più origini log. L'impostazione predefinita è Tutti.
- Fai clic su Cerca.
Vengono visualizzati gli eventi associati alla stringa di ricerca. Fai clic sulla freccia per aprire il log non elaborato corrispondente.
Espressioni regolari
Puoi utilizzare le espressioni regolari in Google SecOps per cercare e trovare insiemi di stringhe di caratteri nei tuoi dati di sicurezza. Le espressioni regolari consentono di restringere la ricerca utilizzando frammenti di informazioni anziché richiedere una corrispondenza esatta.
Per eseguire una ricerca utilizzando la sintassi delle espressioni regolari:
- Nel campo Cerca, inserisci un'espressione regolare. L'espressione regolare deve contenere da 4 a 66 caratteri.
- Seleziona la casella di controllo Esegui query come regex e fai clic su Cerca.
L'infrastruttura delle espressioni regolari di Google SecOps si basa su Google RE2, un motore di espressioni regolari open source. Google SecOps utilizza la stessa sintassi delle espressioni regolari.
La seguente tabella evidenzia alcune delle sintassi delle espressioni regolari più comuni che puoi utilizzare per le tue ricerche.
| Qualsiasi carattere | . |
| x numero di caratteri qualsiasi | {x} |
| Classe di caratteri | [xyz] |
| Classe di caratteri negata | [^xyz] |
| Alfanumerico (0-9A-Za-z) | [[:alnum:]] |
| Alfabetico (A-Za-z) | [[:alpha:]] |
| Cifre (0-9) | [[:digit:]] |
| Minuscole (a-z) | [[:lower:]] |
| Maiuscole (A-Z) | [[:upper:]] |
| Caratteri alfanumerici (0-9A-Za-z_) | [[:word:]] |
| Cifra esadecimale (0-9A-Fa-f) | [[:xdigit:]] |
| Simbolo del punto interrogativo (?) | Corrisponde a zero o una occorrenza dell'elemento precedente. |
| Asterisco (*) | Corrisponde a zero o più occorrenze del carattere o del gruppo precedente. |
| Segno più (+) | Corrisponde a una o più occorrenze del carattere o del gruppo precedente. |
I seguenti esempi illustrano come utilizzare le espressioni regolari per cercare dati:
goo.le\.com: corrisponde a qualsiasi stringa che inizia congoo, seguita da un singolo carattere e poi dale.com, ad esempiogoogle.comogoo0le.com.goo\w{3}\.com: corrisponde alle stringhe che iniziano congoo, seguite da esattamente tre caratteri parola (\w) e che terminano con.com. Gli esempi includonogoogle.com,goojle.comogoodle.com.[[:digit:]]\.[[:alpha:]]: corrisponde a una stringa composta da una singola cifra, seguita da un punto (.) e da un singolo carattere alfabetico, ad esempio34323.system,23458.officeo897.net.
Espressioni regolari di esempio per la ricerca nei log di Windows
Questa sezione fornisce stringhe di query di espressioni regolari che puoi utilizzare con la ricerca nei log non elaborati di Google SecOps per trovare eventi di Windows monitorati di frequente. Questi esempi presuppongono che i messaggi di log di Windows siano in formato JSON.
Per saperne di più sugli ID evento Windows monitorati di frequente, vedi Eventi da monitorare. Gli esempi forniti seguono un pattern simile, descritto in questi casi d'uso.
| Caso d'uso: restituire eventi con EventID 1150 | |
| Stringa dell'espressione regolare: | \"EventID\"\:\s*1150 |
| Valori corrispondenti: | "EventID":1150 |
| Caso d'uso:restituire eventi con un ID evento pari a 1150 o 1151 | |
| Stringa di espressione regolare | (?:\"EventID\"\:\s*)(?:1150|1151) |
| Valori corrispondenti | "EventID":1150 e "EventID":1151 |
| Caso d'uso: restituire eventi con un ID evento pari a 1150 o 1151 e con ThreadID 9092 | |
| Stringa di espressione regolare | (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092) |
| Valori corrispondenti | "EventID":1150 <...any number of characters...> "ThreadID":9092
e "EventID":1151 <...any number of characters...> "ThreadID":9092 |
Trovare eventi di gestione dell'account
Queste stringhe di query di espressioni regolari identificano gli eventi comuni di gestione dell'account utilizzando l'attributo EventID.
| Tipo di evento | Espressione regolare |
| Account utente creato | "EventID\"\:\s*4720 |
| Account utente attivato | "EventID\"\:\s*4722 |
| Account utente disattivato | "EventID\"\:\s*4725 |
| Account utente eliminato | "EventID\"\:\s*4726 |
| Modifica dei diritti utente | "EventID\"\:\s*4703 |
| Membro aggiunto al gruppo globale abilitato alla sicurezza | "EventID\"\:\s*4728 |
| Membro rimosso dal gruppo globale abilitato alla sicurezza | "EventID\"\:\s*4729 |
| Il gruppo globale abilitato alla sicurezza è stato eliminato | "EventID\"\:\s*4730 |
Trovare gli eventi di accesso riuscito
Queste stringhe di query di espressioni regolari identificano i tipi di eventi di accesso riuscito utilizzando gli attributi EventID e LogonType.
| Tipo di evento | Espressione regolare |
| Accesso riuscito | "EventID\"\:\s*4624 |
| Accesso riuscito - Interattivo (LogonType=2) | "EventID\"\:\s*4624.*?LogonType\"\:\s*\"2\" |
| Accesso riuscito - Accesso batch (LogonType=4) | "EventID\"\:\s*4624.*?LogonType\"\:\s*\"4\" |
| Accesso riuscito - Accesso al servizio (LogonType=5) | "EventID\"\:\s*4624.*?LogonType\"\:\s*\"5\" |
| Accesso riuscito - Accesso remoto interattivo (LogonType=10) | "EventID\"\:\s*4624.*?LogonType\"\:\s*\"10\" |
| Accesso riuscito - Interattivo, Batch, Servizio o RemoteInteractive | (?:"EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\" |
Trovare gli eventi di accesso non riuscito
Queste stringhe di query di espressioni regolari identificano i tipi di eventi di accesso non riuscito utilizzando gli attributi EventID e LogonType.
| Tipo di evento | Espressione regolare |
| Errore di accesso | "EventID\"\:\s*4625 |
| Errore di accesso - Interattivo (LogonType=2) | "EventID\"\:\s*4625.*?LogonType\"\:\s*\"2\" |
| Errore di accesso - Accesso batch (LogonType=4) | "EventID\"\:\s*4625.*?LogonType\"\:\s*\"4\" |
| Errore di accesso - Accesso al servizio (LogonType=5) | "EventID\"\:\s*4625.*?LogonType\"\:\s*\"5\" |
| Errore di accesso - Accesso remoto interattivo (LogonType=10) | "EventID\"\:\s*4625.*?LogonType\"\:\s*\"10\" |
| Errore di accesso - Interattivo, batch, servizio o RemoteInteractive | (?:"EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\" |
Trovare eventi di processi, servizi e attività
Queste stringhe di query di espressioni regolari identificano determinati eventi di processi e servizi utilizzando l'attributo EventID.
| Tipo di evento | Espressione regolare |
| Inizio della procedura | "EventID\"\:\s*4688 |
| Uscita dal processo | "EventID\"\:\s*4689 |
| Servizio installato | "EventID\"\:\s*4697 |
| Nuovo servizio creato | "EventID\"\:\s*7045 |
| Attività pianificata creata | "EventID\"\:\s*4698 |
Trovare eventi correlati all'accesso agli oggetti
Queste stringhe di query di espressioni regolari identificano diversi tipi di eventi correlati a processi e servizi utilizzando l'attributo EventID.
| Tipo di evento | Espressione regolare |
| Audit log cancellato | "EventID\"\:\s*1102 |
| Tentativo di accesso all'oggetto | "EventID\"\:\s*4663 |
| Condivisione effettuata | "EventID\"\:\s*5140 |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.