Filtrar datos en la vista Raw Log Scan

El Análisis de registros sin procesar te permite examinar tus registros sin procesar sin analizar. Cuando ejecutas un Google Security Operations primero examina los datos de seguridad transferidos y analizar. Si no se encuentra la información que buscas, puedes usar Análisis de registros sin procesar para examinar tus registros sin procesar sin analizar. También puedes usar la configuración para examinar más de cerca los registros sin procesar.

Usa el análisis de registros sin procesar para investigar los artefactos que aparecen en los registros, pero no lo están indexadas, entre ellas:

  • Nombres de usuario
  • Nombres del archivo
  • Claves de registro
  • Argumentos de la línea de comandos
  • Datos sin procesar relacionados con solicitudes HTTP
  • Nombres de dominio basados en expresiones regulares
  • Nombres y direcciones de los recursos

Para usar el análisis de registros sin procesar en Google Security Operations, sigue estos pasos:

  1. Ingresa una cadena de búsqueda en la barra de búsqueda de la página de destino o la barra de menú en la parte superior de la interfaz de usuario de Google Security Operations. Haz clic en BUSCAR.

  2. Selecciona Raw Log Scan del menú. Google Security Operations abre las opciones de análisis de registros sin procesar.

  3. Especifica las horas de inicio y finalización (el valor predeterminado es 1 semana) y haz clic BÚSQUEDA.

    En la vista Raw Log Search, los filtros se basan en un conjunto limitado de eventos. como DNS, Webproxy, EDR y Alerta. Los filtros no incluyen información sobre otros tipos de eventos, como GENERIC, EMAIL y USER. Se muestra la vista de análisis de registros sin procesar.

    Puedes usar expresiones regulares para buscar y hacer coincidir conjuntos de caracteres en los datos de seguridad con Google Security Operations. Las expresiones regulares permiten acotan la búsqueda con fragmentos de información, en lugar de usando, por ejemplo, un nombre de dominio completo.

    Las siguientes opciones de filtrado de procedimiento están disponibles en el análisis de registros sin procesar vista:

    • TIPO DE EVENTO
    • FUENTE DEL REGISTRO
    • ESTADO DE LA CONEXIÓN DE RED
    • TLD