Use a análise de registos não processados para pesquisar registos
Quando faz uma pesquisa, o Google Security Operations examina primeiro os dados de segurança que foram carregados, analisados e normalizados. Se as informações não forem encontradas nos dados normalizados, pode usar a Análise de registos não processados para examinar os registos não processados. Também pode usar expressões regulares para examinar os registos não processados mais detalhadamente.
Pode usar a Análise de registos não processados para investigar artefactos que aparecem nos registos (mas não estão indexados), incluindo:
- Nomes de utilizadores
- Nomes de ficheiros
- Chaves de registo
- Argumentos da linha de comandos
- Dados não processados relacionados com pedidos HTTP
- Nomes de domínios baseados em expressões regulares
- Espaços de nomes de recursos e endereços
Análise de registos não processados
Para usar a Análise de registos não processados, introduza uma string de pesquisa no campo Pesquisar na página de destino ou na barra de menu (por exemplo, um hash MD5). Introduza, pelo menos, 4 carateres (incluindo carateres universais). Se o Google SecOps não conseguir encontrar a string de pesquisa, abre a opção Análise de registos não processados. Especifique a Hora de início e a Hora de fim (a predefinição é 1 semana) e clique em Pesquisar.
São apresentados os eventos associados à string de pesquisa. Pode abrir o registo não processado associado clicando no botão de seta.
Também pode clicar no menu Origens de registos e selecionar uma ou mais das origens de dados que está a pesquisar. A predefinição é Tudo.
Expressões regulares
Pode usar expressões regulares no Google SecOps para pesquisar e encontrar conjuntos de strings de carateres nos seus dados de segurança. As expressões regulares ajudam a restringir a pesquisa através de fragmentos de informações, em vez de exigirem uma correspondência exata.
Para executar uma pesquisa com a sintaxe de expressões regulares:
- No campo Pesquisar, introduza uma expressão regular. A expressão regular tem de ter entre 4 e 66 carateres.
- Selecione a caixa de verificação Executar consulta como regex e clique em Pesquisar.
A infraestrutura de expressões regulares do Google SecOps baseia-se no Google RE2, um motor de expressões regulares de código aberto. O Google SecOps usa a mesma sintaxe de expressão regular.
A tabela seguinte realça algumas das sintaxes de expressões regulares comuns que pode usar nas suas pesquisas.
| Qualquer caráter | . |
| x número de quaisquer carateres | {x} |
| Classe de personagem | [xyz] |
| Classe de carateres negada | [^xyz] |
| Alfanumérico (0-9A-Za-z) | [[:alnum:]] |
| Alfabético (A-Za-z) | [[:alpha:]] |
| Dígitos (0-9) | [[:digit:]] |
| Minúsculas (a-z) | [[:lower:]] |
| Maiúsculas (A-Z) | [[:upper:]] |
| Carateres de palavras (0-9A-Za-z_) | [[:word:]] |
| Dígito hexadecimal (0-9A-Fa-f) | [[:xdigit:]] |
| Símbolo de ponto de interrogação (?) | Corresponde a zero ou uma ocorrência do elemento anterior. |
| Asterisco (*) | Corresponde a zero ou mais ocorrências do caráter ou grupo anterior. |
| Sinal de mais (+) | Corresponde a uma ou mais ocorrências do caráter ou grupo anterior. |
Os exemplos seguintes ilustram como pode usar expressões regulares para pesquisar dados:
goo.le\.com—Corresponde a qualquer string que comece porgoo, seguida de qualquer caráter individual e, de seguida,le.com, comogoogle.comougo0le.com.goo\w{3}\.com—Faz corresponder sequências de carateres que começam porgoo, seguidas de exatamente três carateres de palavras (\w) e que terminam com.com. Os exemplos incluemgoogle.com,goojle.comougoodle.com.[[:digit:]]\.[[:alpha:]]—corresponde a uma string que tem um único dígito, seguido de um ponto (.), seguido de um único caráter alfabético, como34323.system,23458.officeou897.net.
Exemplos de expressões regulares para pesquisar registos do Windows
Esta secção fornece strings de consulta de expressões regulares que pode usar com a análise de registos não processados do Google SecOps para encontrar eventos do Windows monitorizados com frequência. Estes exemplos pressupõem que as mensagens de registo do Windows estão no formato JSON.
Para mais informações sobre os IDs de eventos do Windows monitorizados com frequência, consulte o tópico Eventos a monitorizar na documentação da Microsoft. Os exemplos fornecidos seguem um padrão semelhante, descrito nestes exemplos de utilização.
| Exemplo de utilização: devolver eventos com o EventID 1150 | |
| String de regex: | \"EventID\"\:\s*1150 |
| Valores correspondidos: | "EventID":1150 |
| Exemplo de utilização:devolva eventos com um ID do evento que seja 1150 ou 1151 | |
| String de regex | (?:\"EventID\"\:\s*)(?:1150|1151) |
| Valores correspondentes | "EventID":1150 e "EventID":1151 |
| Exemplo de utilização: devolva eventos com um ID do evento que seja 1150 ou 1151 e com o ThreadID 9092 | |
| String de regex | (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092) |
| Valores correspondentes | "EventID":1150 <...any number of characters...> "ThreadID":9092
e "EventID":1151 <...any number of characters...> "ThreadID":9092 |
Encontre eventos de gestão de contas
Estas strings de consulta de expressões regulares identificam eventos comuns de gestão de contas através do atributo EventID.
| Tipo de evento | Expressão regular |
| Conta de utilizador criada | "EventID\"\:\s*4720 |
| Conta de utilizador ativada | "EventID\"\:\s*4722 |
| Conta de utilizador desativada | "EventID\"\:\s*4725 |
| Conta de utilizador eliminada | "EventID\"\:\s*4726 |
| Modificação dos direitos do utilizador | "EventID\"\:\s*4703 |
| Membro adicionado ao grupo global com segurança ativada | "EventID\"\:\s*4728 |
| Membro removido do grupo global com segurança ativada | "EventID\"\:\s*4729 |
| O grupo global com segurança ativada foi eliminado | "EventID\"\:\s*4730 |
Encontre eventos de início de sessão com êxito
Estas strings de consulta de expressões regulares identificam tipos de eventos de início de sessão bem-sucedidos através dos atributos EventID e LogonType.
| Tipo de evento | Expressão regular |
| Início de sessão com êxito | "EventID\"\:\s*4624 |
| Início de sessão com êxito – Interativo (LogonType=2) | "EventID\"\:\s*4624.*?LogonType\"\:\s*\"2\" |
| Início de sessão com êxito – Início de sessão em lote (LogonType=4) | "EventID\"\:\s*4624.*?LogonType\"\:\s*\"4\" |
| Início de sessão com êxito – Início de sessão de serviço (LogonType=5) | "EventID\"\:\s*4624.*?LogonType\"\:\s*\"5\" |
| Início de sessão com êxito – Início de sessão interativo remoto (LogonType=10) | "EventID\"\:\s*4624.*?LogonType\"\:\s*\"10\" |
| Início de sessão com êxito: interativo, em lote, de serviço ou interativo remoto | (?:"EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\" |
Encontre eventos de falha de início de sessão
Estas strings de consulta de expressões regulares identificam tipos de eventos de início de sessão com falhas através dos atributos EventID e LogonType.
| Tipo de evento | Expressão regular |
| Falha no início de sessão | "EventID\"\:\s*4625 |
| Falha no início de sessão – Interativo (LogonType=2) | "EventID\"\:\s*4625.*?LogonType\"\:\s*\"2\" |
| Falha no início de sessão – Início de sessão em lote (LogonType=4) | "EventID\"\:\s*4625.*?LogonType\"\:\s*\"4\" |
| Falha no início de sessão – Início de sessão de serviço (LogonType=5) | "EventID\"\:\s*4625.*?LogonType\"\:\s*\"5\" |
| Falha no início de sessão – Início de sessão interativo remoto (LogonType=10) | "EventID\"\:\s*4625.*?LogonType\"\:\s*\"10\" |
| Falha de início de sessão: interativo, em lote, de serviço ou interativo remoto | (?:"EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\" |
Encontre eventos de processos, serviços e tarefas
Estas strings de consulta de expressões regulares identificam determinados eventos de processos e serviços através do atributo EventID.
| Tipo de evento | Expressão regular |
| Início do processo | "EventID\"\:\s*4688 |
| Process Exit | "EventID\"\:\s*4689 |
| Serviço instalado | "EventID\"\:\s*4697 |
| Novo serviço criado | "EventID\"\:\s*7045 |
| Tarefa agendada criada | "EventID\"\:\s*4698 |
Encontre eventos relacionados com o acesso a objetos
Estas strings de consulta de expressões regulares identificam diferentes tipos de eventos relacionados com processos e serviços através do atributo EventID.
| Tipo de evento | Expressão regular |
| Registo de auditoria limpo | "EventID\"\:\s*1102 |
| Tentativa de acesso ao objeto | "EventID\"\:\s*4663 |
| Acesso partilhado | "EventID\"\:\s*5140 |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.