在原始記錄檔搜尋中篩選資料
支援的國家/地區:
Google SecOps
SIEM
原始記錄搜尋功能可讓您檢查未經剖析的原始記錄。執行搜尋時,Google Security Operations 會先檢查已擷取及剖析的安全資料。如果找不到所需資訊,可以使用原始記錄搜尋功能檢查未經剖析的原始記錄。
使用「原始記錄搜尋」調查記錄中顯示但未編入索引的構件,包括:
- 使用者名稱
- 檔案名稱
- 登錄檔機碼
- 指令列引數
- 與原始 HTTP 要求相關的資料
- 根據規則運算式設定網域名稱
- 資產名稱和地址
如要在 Google SecOps 中使用「原始記錄搜尋」,請按照下列步驟操作:
在搜尋列中輸入搜尋字串或規則運算式,然後按一下「搜尋」。
在選單中選取「原始記錄搜尋」,即可顯示搜尋選項。
指定「開始時間」和「結束時間」 (預設為 1 週),然後按一下「搜尋」。
「原始記錄搜尋」檢視畫面會顯示原始資料事件。你可以依
DNS
、Webproxy
、EDR
和Alert
篩選結果。您可以使用規則運算式,在 Google SecOps 中搜尋及比對安全性資料內的字元字串集。規則運算式可讓您使用資訊片段縮小搜尋範圍,例如使用部分網域名稱。
「原始記錄搜尋」檢視畫面提供下列「程序篩選」選項:
產品事件類型
記錄來源
網路連線狀態
TLD
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。