未加工ログの検索を行う
Google Security Operations を使用すると、Google Security Operations アカウントの未加工ログを検索し、関連するイベントやエンティティに関するコンテキストを取得できます。
未加工ログの検索では、未加工イベントと、それらの未加工ログを使用して生成された UDM イベントの関連性が示されます。未加工ログの検索は、ログフィールドが解析および正規化される方法を把握し、正規化プロセスのギャップを調査するのに役立ちます。
未加工ログの検索が完了すると、一致する未加工ログ行は、ログ行に含まれるイベントとエンティティに置き換えられます。各ログ行から抽出されるイベントとエンティティの数は、最大 10 個に制限されています。
未加工ログの検索を実行する手順は次のとおりです。
[調査] > [SIEM 検索] に移動します。
検索フィールドで、検索語に接頭辞
raw =を追加し、検索語を引用符で囲みます(例:raw = "example.com")。メニュー オプションから未加工ログ検索を選択します。Google Security Operations は、関連する未加工ログ、UDM イベント、関連エンティティを見つけます。UDM 検索ページから同じ検索(raw = "example.com")を実行することもできます。
UDM 検索結果の絞り込みに使用したクイック フィルタを使用できます。未加工のログ結果に適用するフィルタを選択して、さらに絞り込みます。
未加工ログクエリを最適化する
通常、未加工ログの検索は UDM 検索よりも時間がかかります。検索のパフォーマンスを改善するには、検索設定を変更して、クエリを実行するデータの量を制限します。
- 期間セレクタ: クエリを実行するデータの期間を制限します。
- ログソース セレクタ: 未加工ログの検索を、すべてのログソースではなく、特定のソースからのログのみに制限します。[ログソース] メニューで、ログソースを 1 つ以上選択します(デフォルトは [すべて])。
- 正規表現: 正規表現を使用します。たとえば、
raw = /goo\w{3}.com/はgoogle.com、goodle.com、goog1e.comと照合され、未加工ログ検索の範囲がさらに制限されます。
傾向の推移
トレンドグラフを使用して、検索期間中の未加工ログの分布を把握します。グラフにフィルタを適用して、解析されたログと未加工のログを検索できます。
未加工のログ結果
未加工ログ検索を実行すると、検索に一致する未加工ログによって生成された UDM イベントとエンティティが、未加工ログとともに結果として返されます。検索結果のいずれかをクリックすると、検索結果をさらに確認できます。
UDM イベントまたはエンティティ: UDM イベントまたはエンティティをクリックすると、関連するイベントとエンティティ、およびそのアイテムに関連付けられた未加工のログが表示されます。
未加工ログ: 未加工ログをクリックすると、そのログのソースとともに、未加工ログの行全体が表示されます。