Esta página foi traduzida pela API Cloud Translation.

Realizar uma pesquisa de registro bruto

Compatível com:

Google SecOps SIEM

Você pode usar as Operações de Segurança do Google para pesquisar os registros brutos na sua conta das Operações de Segurança do Google e receber contexto relevante com eventos e entidades relacionados.

As pesquisas de registro bruto mostram a correlação entre eventos brutos e os eventos do UDM gerados usando esses registros brutos. Uma pesquisa de registro bruto ajuda você a entender como os campos de registro são analisados e normalizados e a investigar qualquer lacuna no processo de normalização.

Depois de concluir uma pesquisa de registro bruto, cada linha de registro bruto correspondente é substituída pelos eventos e entidades contidos na linha de registro. O número de eventos e entidades extraídos de cada linha de registro é limitado a um máximo de 10.

Para realizar uma pesquisa de registro bruto, siga estas etapas:

Acesse Investigação > Pesquisa de SIEM.
No campo de pesquisa, adicione o prefixo raw = à pesquisa e coloque o termo entre aspas (por exemplo, raw = "example.com").
Selecione a pesquisa de registro bruto na opção de menu. O Google Security Operations encontra os registros brutos associados, os eventos do UDM e as entidades associadas. Também é possível executar a mesma pesquisa (raw = "example.com") na página de pesquisa da UDM.

Você pode usar os mesmos filtros rápidos usados para refinar os resultados da pesquisa da UDM. Selecione o filtro que você quer aplicar aos resultados de registro bruto para refinar ainda mais.

Otimizar consultas de registro bruto

As pesquisas de registros brutos geralmente são mais lentas do que as pesquisas da UDM. Para melhorar a performance da pesquisa, limite a quantidade de dados em que você realiza a consulta mudando as configurações da pesquisa:

Seletor de período: limita o período dos dados em que você executa a consulta.
Seletor de origem de registro: limita a pesquisa de registros brutos apenas aos registros de fontes específicas, em vez de todas as fontes de registro. No menu Origens de registros, selecione uma ou mais origens de registro. O padrão é todos.
Expressões regulares: use uma expressão regular. Por exemplo, raw = /goo\w{3}.com/ seria correspondente a google.com, goodle.com, goog1e.com para limitar ainda mais o escopo da pesquisa de registro bruto.

Tendência ao longo do tempo

Use o gráfico de tendência para entender a distribuição de registros brutos ao longo do tempo da sua pesquisa. É possível aplicar filtros no gráfico para procurar registros analisados e registros brutos.

Resultados de registro bruto

Quando você executa uma pesquisa de registro bruto, os resultados são uma combinação de eventos e entidades da UDM gerados pelos registros brutos que correspondem às suas pesquisas, além dos registros brutos. Para conferir mais detalhes, clique em qualquer um dos resultados:

Evento ou entidade do UDM: se você clicar em um evento ou entidade do UDM, o Google Security Operations vai mostrar todos os eventos e entidades relacionados, além do registro bruto associado a esse item.
Registro bruto: se você clicar em um registro bruto, o Google Security Operations vai mostrar toda a linha de registro bruto, junto com a origem dele.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.