Daten in der Ansicht "Standard-Logscan" filtern
Mit dem Scan von Rohlogs können Sie Ihre Rohlogs prüfen, die noch nicht analysiert wurden. Wenn Sie eine Suche ausführen, werden in Google Security Operations zuerst die Sicherheitsdaten geprüft, die sowohl aufgenommen als auch analysiert wurden. Werden die gesuchten Informationen nicht gefunden, können Sie Raw-Log-Scan, um Ihre nicht geparsten Rohlogs zu untersuchen. Sie können auch reguläre Ausdrücke verwenden, um die Rohprotokolle genauer zu untersuchen.
Mit der Funktion „Raw Log Scan“ können Sie nach Artefakten suchen, die in Logs vorkommen, aber nicht indexiert werden. Dazu gehören:
- Nutzernamen
- Dateinamen
- Registrierungsschlüssel
- Befehlszeilenargumente
- Rohdaten zu HTTP-Anfragen
- Domainnamen basierend auf regulären Ausdrücken
- Asset-Namen und -Adressen
Führen Sie die folgenden Schritte aus, um den Rohlogscan in Google Security Operations zu verwenden:
Geben Sie einen Suchstring in die Suchleiste auf der Landingpage oder in der Menüleiste oben in der Google Security Operations-Benutzeroberfläche. Klicken Sie auf SUCHEN.
Wählen Sie im Menü Raw Log Scan aus. In Google Security Operations werden die Optionen für den Scan von Rohprotokollen geöffnet.
Geben Sie die Start- und Endzeit an (der Standardwert ist 1 Woche) und klicken Sie auf SUCHEN.
In der Ansicht Rohlogsuche basieren die Filter auf einer begrenzten Anzahl von Ereignissen wie DNS, Webproxy, EDR und Alert. Die Filter enthalten keine Informationen zu andere Ereignistypen wie GENERIC, EMAIL und USER. Die Ansicht „Raw Log Scan“ wird angezeigt.
Mit regulären Ausdrücken können Sie mit Google Security Operations nach Zeichenfolgen in Ihren Sicherheitsdaten suchen und diese abgleichen. Mit regulären Ausdrücken grenzen Sie Ihre Suche mithilfe von Informationsfragmenten ein, anstatt z. B. mit einem vollständigen Domainnamen.
Die folgenden Optionen für das prozedurale Filtern stehen im Rohprotokollscan zur Verfügung Ansicht:
- VERANSTALTUNGSart
- QUELLE PROTOKOLLIEREN
- NETZWERKVERBINDUNGSSTATUS
- TLD