未加工ログスキャン ビューでデータをフィルタする

以下でサポートされています。

未加工ログスキャンを使用すると、未加工の解析されていないログを調べることができます。検索を実行すると、Google Security Operations はまず、取り込まれ、解析されたセキュリティ データを調べます。検索した情報が見つからない場合は、未加工ログスキャンを使用して、未加工の解析されていないログを調べることができます。また、正規表現を使用して、未加工ログを詳細に調べることもできます。

未加工ログスキャンを使用して、次のような、ログに表示されるているもののインデックスに登録されていないアーティファクトを調査します。

  • ユーザー名
  • ファイル名
  • レジストリキー
  • コマンドライン引数
  • 未加工の HTTP リクエスト関連データ
  • 正規表現に基づくドメイン名
  • アセットの名前とアドレス

Google Security Operations で未加工ログスキャンを使用する手順は次のとおりです。

  1. ランディング ページ、または Google Security Operations ユーザー インターフェースの上部にあるメニューバーのいずれかの検索バーに検索文字列を入力します。[検索] をクリックします。

  2. メニューから [Raw Log Scan] を選択します。Google Security Operations で未加工ログスキャン オプションが開きます。

  3. [開始時間] と [終了時間](デフォルトは 1 週間)を指定し、[検索] をクリックします。

    [未加工ログ検索] ビューでは、フィルタは DNS、Webproxy、EDR、アラートなどの限定された一連のイベントに基づいています。フィルタには、GENERIC、EMAIL、USER などの他のイベントタイプに関する情報は含まれません。[未加工ログスキャン] ビューが表示されます。

    正規表現を使用すると、Google Security Operations を使用してセキュリティ データ内の文字列のセットを検索し、照合できます。正規表現を使用すると、例えば完全なドメイン名を使用するのではなく、情報の断片を使って検索を絞り込むことができます。

    [Raw Log Scan] ビューでは、次の [Procedural Filtering] オプションを使用できます。

    • EVENT TYPE
    • LOG SOURCE
    • NETWORK CONNECTION STATUS
    • TLD