Filtrar datos en la vista Raw Log Scan

Compatible con:

El análisis de registros sin procesar te permite examinar tus registros sin procesar. Cuando ejecutas una búsqueda, Google Security Operations primero examina los datos de seguridad que se transfirieron y analizaron. Si no encuentras la información que buscas, puedes usar el análisis de registros sin procesar para examinar tus registros sin procesar. También puedes usar la configuración para examinar más de cerca los registros sin procesar.

Usa el análisis de registros sin procesar para investigar los artefactos que aparecen en los registros, pero no lo están indexadas, entre ellas:

  • Nombres de usuario
  • Nombres del archivo
  • Claves de registro
  • Argumentos de la línea de comandos
  • Datos sin procesar relacionados con solicitudes HTTP
  • Nombres de dominio basados en expresiones regulares
  • Nombres y direcciones de los activos

Para usar el análisis de registros sin procesar en Google Security Operations, sigue estos pasos:

  1. Ingresa una cadena de búsqueda en la barra de búsqueda de la página de destino o en la barra de menú de la parte superior de la interfaz de usuario de Operaciones de seguridad de Google. Haz clic en BUSCAR.

  2. Selecciona Raw Log Scan en el menú. Google Security Operations abrirá las opciones de Análisis de registros sin procesar.

  3. Especifica la hora de inicio y de finalización (el valor predeterminado es 1 semana) y haz clic en BUSCAR.

    En la vista Raw Log Search, los filtros se basan en un conjunto limitado de eventos. como DNS, Webproxy, EDR y Alerta. Los filtros no incluyen información sobre otros tipos de eventos, como GENERIC, EMAIL y USER. Se muestra la vista de análisis de registros sin procesar.

    Puedes usar expresiones regulares para buscar y hacer coincidir conjuntos de cadenas de caracteres dentro de tus datos de seguridad con Google Security Operations. Las expresiones regulares permiten acotan la búsqueda con fragmentos de información, en lugar de usando, por ejemplo, un nombre de dominio completo.

    Las siguientes opciones de filtrado de procedimiento están disponibles en el análisis de registros sin procesar vista:

    • TIPO DE EVENTO
    • FUENTE DEL REGISTRO
    • ESTADO DE LA CONEXIÓN DE RED
    • TLD