원시 로그 스캔 뷰에서 데이터 필터링

다음에서 지원:

원시 로그 스캔을 사용하면 파싱되지 않은 원시 로그를 검사할 수 있습니다. 검색을 수행할 때 Google Security Operations는 먼저 수집 및 파싱이 모두 수행된 보안 데이터를 검사합니다. 검색하는 정보를 찾을 수 없는 경우 원시 로그 스캔을 사용하여 파싱되지 않은 원시 로그를 검사할 수 있습니다. 또한 정규 표현식을 사용하여 원시 로그를 보다 면밀하게 검사할 수 있습니다.

원시 로그 스캔을 사용하여 로그에 표시되지만 색인으로 생성되지 않은 다음과 같은 아티팩트를 조사하세요.

  • 사용자 이름
  • 파일 이름
  • 레지스트리 키
  • 명령줄 인수
  • 원시 HTTP 요청 관련 데이터
  • 정규 표현식 기반의 도메인 이름
  • 애셋 이름 및 주소

Google Security Operations에서 원시 로그 스캔을 사용하려면 다음 단계를 수행합니다.

  1. 방문 페이지 또는 Google Security Operations 사용자 인터페이스 상단의 메뉴 바에 있는 검색창에 검색 문자열을 입력합니다. 검색을 클릭합니다.

  2. 메뉴에서 원시 로그 스캔을 선택합니다. Google Security Operations에서 원시 로그 스캔 옵션이 열립니다.

  3. 시작 시간 및 종료 시간을 지정하고(기본값 1주) 검색을 클릭합니다.

    원시 로그 검색 뷰에서는 DNS, Webproxy, EDR, 알림과 같은 제한된 이벤트 집합을 기반으로 필터가 적용됩니다. 필터에는 GENERIC, EMAIL, USER와 같은 다른 이벤트 유형에 대한 정보가 포함되지 않습니다. 원시 로그 스캔 뷰가 표시됩니다.

    정규 표현식을 사용하면 Google Security Operations를 사용하여 보안 데이터 내에서 문자열 집합을 검색하고 일치 항목을 찾을 수 있습니다. 정규 표현식을 사용하면 예를 들어 전체 도메인 이름을 사용할 때와 반대로 해당 정보의 일부만 사용하여 검색 범위를 좁힐 수 있습니다.

    원시 로그 스캔 뷰에서 사용할 수 있는 절차적 필터링 옵션은 다음과 같습니다.

    • 이벤트 유형
    • 로그 소스
    • 네트워크 연결 상태
    • TLD