Filtrar dados na visualização de verificação de registros brutos
A verificação de registros brutos permite examinar os registros brutos não analisados. Quando você executa uma pesquisa, o Google Security Operations primeiro examina os dados de segurança que foram ingeridos e analisados. Se as informações que você está procurando não forem encontradas, use o Raw Log Scan para examinar os registros brutos não analisados. Também é possível usar para examinar os registros brutos com mais detalhes.
Use a verificação de registros brutos para investigar artefatos que aparecem nos registros, mas não indexados, incluindo:
- Nomes de usuário
- Nomes de arquivos
- Chaves de registro
- Argumentos de linha de comando
- Dados brutos relacionados à solicitação HTTP
- Nomes de domínio com base em expressões regulares
- Nomes e endereços dos recursos
Para usar a Análise de registro bruto no Google Security Operations, siga estas etapas:
Insira uma string de pesquisa na barra de pesquisa na página de destino ou na barra de menus na parte superior da interface do usuário das Operações de segurança do Google. Clique em PESQUISAR.
Selecione Verificação de registro bruto no menu. O Google Security Operations abre as opções de "Verificação de registro bruto".
Especifique o horário de início e de término (o padrão é 1 semana) e clique em PESQUISAR.
Na visualização Pesquisa de registros brutos, os filtros são baseados em um conjunto limitado de eventos como DNS, Webproxy, EDR e Alert. Os filtros não incluem informações sobre outros tipos de eventos, como GERAL, EMAIL e USUÁRIO. A visualização de verificação de registros brutos é exibida.
Você pode usar expressões regulares para pesquisar e corresponder conjuntos de strings de caracteres nos seus dados de segurança usando as Operações de Segurança do Google. As expressões regulares permitem restringir a pesquisa usando fragmentos de informações, em vez de usar um nome de domínio completo, por exemplo.
As seguintes opções de filtragem procedural estão disponíveis na visualização de verificação de registros brutos:
- TIPO DE EVENTO
- REGISTRAR FONTE
- STATUS DA CONEXÃO DE REDE
- TLD