Daten in der Ansicht "Standard-Logscan" filtern
Mit dem Scan von Rohlogs können Sie Ihre Rohlogs prüfen, die noch nicht analysiert wurden. Wenn Sie eine Suche ausführen, werden in Google Security Operations zuerst die Sicherheitsdaten geprüft, die sowohl aufgenommen als auch analysiert wurden. Wenn die gesuchten Informationen nicht gefunden werden, können Sie die Rohlogs mit der Funktion „Rohlogs scannen“ prüfen. Sie können auch reguläre Ausdrücke verwenden, um die Rohprotokolle genauer zu untersuchen.
Mit der Suche in Rohlogs können Sie nach Artefakten suchen, die in Logs vorkommen, aber nicht indexiert werden. Dazu gehören:
- Nutzernamen
- Dateinamen
- Registry-Schlüssel
- Befehlszeilenargumente
- Rohdaten zu HTTP-Anfragen
- Domainnamen basierend auf regulären Ausdrücken
- Asset-Namen und -Adressen
So verwenden Sie die Rohprotokollsuche in Google Security Operations:
Geben Sie einen Suchstring in die Suchleiste auf der Landingpage oder in die Menüleiste oben in der Benutzeroberfläche von Google Security Operations ein. Klicken Sie auf SUCHEN.
Wählen Sie im Menü Raw Log Scan aus. In Google Security Operations werden die Optionen für den Scan von Rohprotokollen geöffnet.
Geben Sie die Start- und Endzeit an (standardmäßig 1 Woche) und klicken Sie auf SUCHEN.
In der Ansicht Suche in Rohlogs basieren die Filter auf einer begrenzten Anzahl von Ereignissen wie DNS, Webproxy, EDR und Benachrichtigung. Die Filter enthalten keine Informationen zu anderen Ereignistypen wie „GENERISCH“, „EMAIL“ und „USER“. Die Ansicht „Standard-Logscan“ wird angezeigt.
Mit regulären Ausdrücken können Sie mit Google Security Operations nach Zeichenfolgen in Ihren Sicherheitsdaten suchen und diese abgleichen. Mit regulären Ausdrücken können Sie Ihre Suche mithilfe von Informationsfragmenten eingrenzen, anstatt beispielsweise einen vollständigen Domainnamen zu verwenden.
In der Ansicht „Standard-Logscan“ sind die folgenden Optionen für die prozedurale Filterung verfügbar:
- EREIGNISTYP
- LOGQUELLE
- NETZWERKVERBINDUNGSSTATUS
- TLD