Pesquisar registros brutos usando a verificação de registros brutos
Quando você faz uma pesquisa, o Google Security Operations primeiro examina os dados de segurança que foram ingeridos, analisados e normalizados. Se as informações que você está procurando não forem encontradas nos dados normalizados, use a verificação de registros brutos para analisar os registros brutos não analisados. Você também pode usar expressões regulares para analisar os registros brutos com mais detalhes.
Use a verificação de registros brutos para investigar artefatos que aparecem nos registros, mas não são indexados, incluindo:
- Nomes de usuário
- Nomes de arquivo
- Chaves de registro
- Argumentos de linha de comando
- Dados brutos relacionados a solicitações HTTP
- Nomes de domínio com base em expressões regulares
- Namespaces e endereços de recursos
Verificação de registros brutos
Para usar a verificação de registros brutos, insira uma string de pesquisa no campo da página de destino ou da barra de menus (por exemplo, um hash MD5). Insira pelo menos quatro caracteres (incluindo caracteres curinga). Se o Google SecOps não encontrar a string de pesquisa, ele vai abrir a opção Verificação de registros brutos. Especifique o Horário de início e o Horário de término (o padrão é uma semana) e clique em PESQUISAR.
Verificação de registros brutos na página de destino
Os eventos associados à string de pesquisa são mostrados. Clique no botão de seta para abrir o registro bruto associado.
Você também pode clicar no menu suspenso "Origens de registros" e selecionar uma ou mais das fontes de dados que está enviando para o Google SecOps. A configuração padrão é Todos.
Expressões regulares
É possível usar expressões regulares para pesquisar e corresponder conjuntos de strings de caracteres nos seus dados de segurança usando o Google SecOps. Com as expressões regulares, é possível restringir a pesquisa usando fragmentos de informações, em vez de usar, por exemplo, um nome de domínio completo.
Para fazer uma pesquisa usando a sintaxe de expressão regular, digite sua pesquisa no campo Pesquisar com a expressão regular, marque a caixa de seleção Executar consulta como Regex e clique em PESQUISAR. A expressão regular precisa ter de 4 a 66 caracteres.
Execução da verificação de registros brutos como uma expressão regular
A infraestrutura de expressões regulares da Google SecOps é baseada no Google RE2, um mecanismo de expressões regulares de código aberto. O Google SecOps usa a mesma sintaxe de expressão regular. Consulte a documentação do RE2 para mais informações.
A tabela a seguir destaca algumas das sintaxes de expressões regulares comuns que você pode usar nas suas pesquisas.
| Qualquer caractere | . |
| x número de caracteres | {x} |
| Classe de caracteres | [xyz] |
| Classe de caracteres negada | [^xyz] |
| Alfanumérico (0-9A-Za-z) | [[:alnum:]] |
| Alfabética (A-Za-z) | [[:alpha:]] |
| Dígitos (0 a 9) | [[:digit:]] |
| Minúsculas (a-z) | [[:lower:]] |
| Maiúscula (A-Z) | [[:upper:]] |
| Caracteres de palavras (0-9A-Za-z_) | [[:word:]] |
| Dígito hexadecimal (0-9A-Fa-f) | [[:xdigit:]] |
Os exemplos a seguir ilustram como usar essa sintaxe para pesquisar nos seus dados:
goo.le\.com: corresponde agoogle.com,goooogle.cometc.goo\w{3}\.com: corresponde agoogle.com,goodle.com,goojle.cometc.[[:digit:]]\.[[:alpha:]]: corresponde a34323.system,23458.office,897.netetc.
Exemplos de expressões regulares para pesquisar registros do Windows
Esta seção fornece strings de consulta de expressão regular que podem ser usadas com a verificação de registros brutos do Google SecOps para encontrar eventos do Windows monitorados com frequência. Estes exemplos pressupõem que as mensagens de registro do Windows estão no formato JSON.
Para mais informações sobre IDs de eventos do Windows monitorados com frequência, consulte o tópico Eventos a serem monitorados na documentação da Microsoft. Os exemplos fornecidos seguem um padrão semelhante, descrito nesses casos de uso.
| Caso de uso: retornar eventos com o EventID 1150 | |
| String de regex: | \"EventID\"\:\s*1150 |
| Valores correspondentes: | "EventID":1150 |
| Caso de uso:retornar eventos com um ID de evento 1150 ou 1151 | |
| String de regex | (?:\"EventID\"\:\s*)(?:1150|1151) |
| Valores correspondentes | "EventID":1150 e "EventID":1151 |
| Caso de uso: retornar eventos com um ID de evento 1150 ou 1151 e com ThreatID 9092 | |
| String de regex | (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092) |
| Valores correspondentes | "EventID":1150 <...qualquer número de caracteres...> "ThreadID":9092
and "EventID":1151 <...qualquer número de caracteres...glt; "ThreadID":9092 |
Encontrar eventos de gerenciamento da conta
Essas strings de consulta de expressão regular identificam eventos comuns de gerenciamento de contas usando o atributo EventID.
| Tipo de evento | Expressão regular |
| Conta de usuário criada | EventID\"\:\s*4720 |
| Conta de usuário ativada | EventID\"\:\s*4722 |
| Conta de usuário desativada | EventID\"\:\s*4725 |
| Conta de usuário excluída | EventID\"\:\s*4726 |
| Modificação de direitos do usuário | EventID\"\:\s*4703 |
| Participante adicionado a um grupo global com segurança ativada | EventID\"\:\s*4728 |
| Participante removido do grupo global com segurança ativada | EventID\"\:\s*4729 |
| O grupo global ativado para segurança foi excluído | EventID\"\:\s*4730 |
Encontrar eventos de logon concluído
Essas strings de consulta de expressão regular identificam tipos de eventos de logon bem-sucedidos usando os atributos EventID e LogonType.
| Tipo de evento | Expressão regular |
| Login bem-sucedido | EventID\"\:\s*4624 |
| Login bem-sucedido - interativo (LogonType=2) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"2\" |
| Login concluído - login em lote (LogonType=4) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"4\" |
| Login bem-sucedido: login de serviço (LogonType=5) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"5\" |
| Login bem-sucedido: login remoto interativo (LogonType=10) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"10\" |
| Logon Success - Interactive, Batch, Service, or RemoteInteractive | (?:EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\" |
Encontrar eventos de falha de logon
Essas strings de consulta de expressão regular identificam tipos de eventos de falha de logon usando os atributos EventID e LogonType.
| Tipo de evento | Expressão regular |
| Falha no logon | EventID\"\:\s*4625 |
| Falha de logon - interativa (LogonType=2) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"2\" |
| Falha no logon: logon em lote (LogonType=4) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"4\" |
| Falha de logon: login de serviço (LogonType=5) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"5\" |
| Falha de logon: login remoto interativo (LogonType=10) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"10\" |
| Falha de logon: interativa, em lote, de serviço ou remota interativa | (?:EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\" |
Encontrar eventos de processo, serviço e tarefa
Essas strings de consulta de expressão regular identificam determinados eventos de processo e serviço usando o atributo "EventID".
| Tipo de evento | Expressão regular |
| Início do processo | EventID\"\:\s*4688 |
| Saída do processo | EventID\"\:\s*4689 |
| Serviço instalado | EventID\"\:\s*4697 |
| Novo serviço criado | EventID\"\:\s*7045 |
| Tarefa agendada criada | EventID\"\:\s*4698 |
Encontrar eventos relacionados ao acesso a objetos
Essas strings de consulta de expressão regular identificam diferentes tipos de eventos relacionados a processos e serviços usando o atributo EventID.
| Tipo de evento | Expressão regular |
| Registro de auditoria limpo | EventID\"\:\s*1102 |
| Tentativa de acesso a objeto | EventID\"\:\s*4663 |
| Compartilhamento acessado | EventID\"\:\s*5140 |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.