使用原始記錄掃描功能搜尋原始記錄
執行搜尋時,Google Security Operations 會先檢查已擷取、剖析及正規化的安全性資料。如果正規化資料中沒有您要搜尋的資訊,可以使用原始記錄掃描功能檢查未經剖析的原始記錄。您也可以使用規則運算式,更仔細地檢查原始記錄。
您可以使用原始記錄掃描功能,調查記錄中出現但未編入索引的構件,包括:
- 使用者名稱
- 檔案名稱
- 登錄檔機碼
- 指令列引數
- 與原始 HTTP 要求相關的資料
- 根據規則運算式設定網域名稱
- 資產命名空間和地址
原始記錄檔掃描
如要使用原始記錄掃描功能,請在到達網頁或功能表列的搜尋欄位中輸入搜尋字串 (例如 MD5 雜湊)。請輸入至少 4 個字元 (包括萬用字元)。如果 Google SecOps 找不到搜尋字串,就會開啟「原始記錄掃描」選項。指定「開始時間」和「結束時間」 (預設為 1 週),然後按一下「搜尋」。
從到達網頁掃描原始記錄
系統會顯示與搜尋字串相關的事件。按一下箭頭按鈕,即可開啟相關的原始記錄。
您也可以按一下「記錄來源」下拉式選單,然後選取一或多個傳送至 Google SecOps 的資料來源進行搜尋。預設設定為「全部」。
規則運算式
您可以使用規則運算式,在 Google SecOps 中搜尋及比對安全性資料內的字元字串集。規則運算式可讓您使用資訊片段縮小搜尋範圍,而非使用完整網域名稱 (例如)。
如要使用規則運算式語法執行搜尋,請在「搜尋」欄位中輸入規則運算式,勾選「將查詢做為規則運算式執行」核取方塊,然後按一下「搜尋」。規則運算式的長度必須介於 4 到 66 個字元之間。
以規則運算式執行原始記錄檔掃描
Google SecOps 的規則運算式基礎架構以 Google RE2 為基礎,這是開放原始碼的規則運算式引擎。Google SecOps 使用相同的規則運算式語法。詳情請參閱 RE2 說明文件。
下表列出一些常用的規則運算式語法,供您用於搜尋。
| 任何字元 | . |
| x 個任意字元 | {x} |
| 字元類別 | [xyz] |
| 否定字元類別 | [^xyz] |
| 英數字元 (0-9A-Za-z) | [[:alnum:]] |
| 字母 (A-Za-z) | [[:alpha:]] |
| 數字 (0-9) | [[:digit:]] |
| 小寫 (a-z) | [[:lower:]] |
| 大寫 (A-Z) | [[:upper:]] |
| 文字字元 (0-9A-Za-z_) | [[:word:]] |
| 十六進位數字 (0-9A-Fa-f) | [[:xdigit:]] |
以下範例說明如何使用這項語法搜尋資料:
goo.le\.com:比對google.com、goooogle.com等。goo\w{3}\.com:比對google.com、goodle.com、goojle.com等。[[:digit:]]\.[[:alpha:]]:比對34323.system、23458.office、897.net等。
搜尋 Windows 記錄的規則運算式範例
本節提供可搭配 Google SecOps 原始記錄掃描使用的規則運算式查詢字串,以便找出常見的 Windows 監控事件。這些範例假設 Windows 記錄訊息採用 JSON 格式。
如要進一步瞭解常見的 Windows 事件 ID 監控項目,請參閱 Microsoft 說明文件中的「要監控的事件」主題。提供的範例遵循類似模式,如這些用途所述。
| 用途:傳回 EventID 為 1150 的事件 | |
| 規則運算式字串: | \"EventID\"\:\s*1150 |
| 相符的值: | "EventID":1150 |
| 用途:傳回活動 ID 為 1150 或 1151 的活動 | |
| 規則運算式字串 | (?:\"EventID\"\:\s*)(?:1150|1151) |
| 相符的值 | 「EventID」:1150 和「EventID」:1151 |
| 用途:傳回事件 ID 為 1150 或 1151,且 ThreatID 為 9092 的事件 | |
| 規則運算式字串 | (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092) |
| 相符的值 | "EventID":1150 <...any number of characters...> "ThreadID":9092
和 "EventID":1151 <...any number of characters...glt; "ThreadID":9092 |
尋找帳戶管理事件
這些規則運算式查詢字串會使用 EventID 屬性,識別常見的帳戶管理事件。
| 活動類型 | 規則運算式 |
| 已建立使用者帳戶 | EventID\"\:\s*4720 |
| 已啟用使用者帳戶 | EventID\"\:\s*4722 |
| 使用者帳戶已停用 | EventID\"\:\s*4725 |
| 使用者帳戶已刪除 | EventID\"\:\s*4726 |
| 修改使用者權限 | EventID\"\:\s*4703 |
| 成員已新增至啟用安全性的全域群組 | EventID\"\:\s*4728 |
| 已從啟用安全性的全域群組中移除成員 | EventID\"\:\s*4729 |
| 已刪除啟用安全性的全域群組 | EventID\"\:\s*4730 |
尋找登入成功事件
這些規則運算式查詢字串會使用 EventID 和 LogonType 屬性,識別成功登入事件的類型。
| 活動類型 | 規則運算式 |
| 登入成功 | EventID\"\:\s*4624 |
| 登入成功 - 互動式 (LogonType=2) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"2\" |
| 登入成功 - 批次登入 (LogonType=4) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"4\" |
| 登入成功 - 服務登入 (LogonType=5) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"5\" |
| 登入成功 - RemoteInteractive 登入 (LogonType=10) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"10\" |
| 登入成功 - 互動式、批次、服務或遠端互動式 | (?:EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\" |
尋找登入失敗事件
這些規則運算式查詢字串會使用 EventID 和 LogonType 屬性,識別登入失敗事件的類型。
| 活動類型 | 規則運算式 |
| 登入失敗 | EventID\"\:\s*4625 |
| 登入失敗 - 互動式 (LogonType=2) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"2\" |
| 登入失敗 - 批次登入 (LogonType=4) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"4\" |
| 登入失敗 - 服務登入 (LogonType=5) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"5\" |
| 登入失敗 - RemoteInteractive 登入 (LogonType=10) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"10\" |
| 登入失敗 - 互動式、批次、服務或遠端互動式 | (?:EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\" |
尋找程序、服務和工作事件
這些規則運算式查詢字串會使用 EventID 屬性,識別特定程序和服務事件。
| 活動類型 | 規則運算式 |
| 程序開始 | EventID\"\:\s*4688 |
| 程序結束 | EventID\"\:\s*4689 |
| 已安裝服務 | EventID\"\:\s*4697 |
| 已建立新服務 | EventID\"\:\s*7045 |
| 已建立排定的工作 | EventID\"\:\s*4698 |
尋找與物件存取權相關的事件
這些規則運算式查詢字串會使用 EventID 屬性,識別不同類型的程序和服務相關事件。
| 活動類型 | 規則運算式 |
| 稽核記錄已清除 | EventID\"\:\s*1102 |
| 嘗試存取物件 | EventID\"\:\s*4663 |
| 共用存取權 | EventID\"\:\s*5140 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。