Usar a pesquisa de registro bruto
Quando você faz uma pesquisa, o Google Security Operations primeiro examina os dados de segurança que foram ingeridos, analisados e normalizados. Se as informações não forem encontradas nos dados normalizados, use a Pesquisa de registros brutos para examinar os registros brutos e não analisados. Também é possível usar expressões regulares para examinar os registros brutos com mais detalhes.
Use a Pesquisa de registros brutos para investigar artefatos que aparecem nos registros (mas não são indexados), incluindo:
- Nomes de usuário
- Nomes de arquivo
- Chaves de registro
- Argumentos de linha de comando
- Dados brutos relacionados a solicitações HTTP
- Nomes de domínio com base em expressões regulares
- Namespaces e endereços de recursos
Pesquisa de registros brutos
Você pode fazer uma pesquisa de registros brutos usando a barra Pesquisar, localizada na página de destino ou na barra de menus. Escolha um dos seguintes métodos:
Use o formato raw=
É possível consultar registros brutos usando o formato raw=. Esse é o método recomendado.
- Para pesquisar uma substring, coloque o termo entre aspas. Por exemplo,
raw = "ABC". - Para pesquisar usando uma expressão regular, coloque a expressão entre barras (/). Por exemplo,
raw = /AB*C/.
Método legado: use o comando de pesquisa de registros brutos
- Na barra Pesquisar, insira uma string de pesquisa com pelo menos quatro caracteres (por exemplo, um hash MD5), incluindo caracteres curinga.
- Se a pesquisa não retornar resultados, a opção Pesquisa de registros brutos vai aparecer.
- Opcional: especifique o Horário de início e o Horário de término. O período padrão é dos últimos sete dias.
- Opcional: na lista Origens de registros, selecione uma ou mais origens. A configuração padrão é Todos.
- Clique em Pesquisar.
Os eventos associados à string de pesquisa são mostrados. Clique em Seta para abrir o registro bruto correspondente.
Expressões regulares
É possível usar expressões regulares no Google SecOps para pesquisar e corresponder conjuntos de strings de caracteres nos seus dados de segurança. As expressões regulares ajudam a restringir sua pesquisa usando fragmentos de informações em vez de exigir uma correspondência exata.
Para fazer uma pesquisa usando a sintaxe de expressão regular:
- No campo Pesquisar, insira uma expressão regular. A expressão regular precisa ter de 4 a 66 caracteres.
- Marque a caixa de seleção Executar consulta como regex e clique em Pesquisar.
A infraestrutura de expressão regular do Google SecOps é baseada no RE2 do Google, um mecanismo de expressão regular de código aberto. O Google SecOps usa a mesma sintaxe de expressão regular.
A tabela a seguir destaca algumas das sintaxes de expressões regulares comuns que você pode usar nas suas pesquisas.
| Qualquer caractere | . |
| x número de caracteres | {x} |
| Classe de caracteres | [xyz] |
| Classe de caracteres negada | [^xyz] |
| Alfanumérico (0-9A-Za-z) | [[:alnum:]] |
| Alfabética (A-Za-z) | [[:alpha:]] |
| Dígitos (0 a 9) | [[:digit:]] |
| Minúsculas (a-z) | [[:lower:]] |
| Maiúscula (A-Z) | [[:upper:]] |
| Caracteres de palavras (0-9A-Za-z_) | [[:word:]] |
| Dígito hexadecimal (0-9A-Fa-f) | [[:xdigit:]] |
| Símbolo de ponto de interrogação (?) | Corresponde a zero ou uma ocorrência do elemento anterior. |
| Asterisco (*) | Corresponde a zero ou mais ocorrências do caractere ou grupo anterior. |
| Sinal de mais (+) | Corresponde a uma ou mais ocorrências do caractere ou grupo anterior. |
Os exemplos a seguir ilustram como usar expressões regulares para pesquisar dados:
goo.le\.com: corresponde a qualquer string que comece comgoo, seguida por um único caractere e porle.com, comogoogle.comougoo0le.com.goo\w{3}\.com: corresponde a strings que começam comgoo, seguidas por exatamente três caracteres de palavra (\w) e terminam com.com. Exemplos incluemgoogle.com,goojle.comougoodle.com.[[:digit:]]\.[[:alpha:]]: corresponde a uma string que tem um único dígito, seguido por um ponto (.) e um único caractere alfabético, como34323.system,23458.officeou897.net.
Exemplos de expressões regulares para pesquisar registros do Windows
Esta seção fornece strings de consulta de expressão regular que podem ser usadas com a Pesquisa de registros brutos do Google SecOps para encontrar eventos do Windows monitorados com frequência. Estes exemplos pressupõem que as mensagens de registro do Windows estão no formato JSON.
Para mais informações sobre IDs de eventos do Windows monitorados com frequência, consulte Eventos a serem monitorados. Os exemplos fornecidos seguem um padrão semelhante, descrito nesses casos de uso.
| Caso de uso: retornar eventos com o EventID 1150 | |
| String de expressão regular: | \"EventID\"\:\s*1150 |
| Valores correspondentes: | "EventID":1150 |
| Caso de uso:retornar eventos com um ID de evento 1150 ou 1151 | |
| String de expressão regular | (?:\"EventID\"\:\s*)(?:1150|1151) |
| Valores correspondentes | "EventID":1150 e "EventID":1151 |
| Caso de uso: retornar eventos com um ID de evento 1150 ou 1151 e com ThreadID 9092 | |
| String de expressão regular | (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092) |
| Valores correspondentes | "EventID":1150 <...any number of characters...> "ThreadID":9092
e "EventID":1151 <...any number of characters...> "ThreadID":9092 |
Encontrar eventos de gerenciamento da conta
Essas strings de consulta de expressão regular identificam eventos comuns de gerenciamento de contas usando o atributo EventID.
| Tipo de evento | Expressão regular |
| Conta de usuário criada | "EventID\"\:\s*4720 |
| Conta de usuário ativada | "EventID\"\:\s*4722 |
| Conta de usuário desativada | "EventID\"\:\s*4725 |
| Conta de usuário excluída | "EventID\"\:\s*4726 |
| Modificação de direitos do usuário | "EventID\"\:\s*4703 |
| Participante adicionado ao grupo global com segurança ativada | "EventID\"\:\s*4728 |
| Participante removido do grupo global com segurança ativada | "EventID\"\:\s*4729 |
| O grupo global ativado para segurança foi excluído | "EventID\"\:\s*4730 |
Encontrar eventos de logon concluído
Essas strings de consulta de expressão regular identificam tipos de eventos de logon bem-sucedidos usando os atributos EventID e LogonType.
| Tipo de evento | Expressão regular |
| Login bem-sucedido | "EventID\"\:\s*4624 |
| Login bem-sucedido - interativo (LogonType=2) | "EventID\"\:\s*4624.*?LogonType\"\:\s*\"2\" |
| Login concluído - login em lote (LogonType=4) | "EventID\"\:\s*4624.*?LogonType\"\:\s*\"4\" |
| Login bem-sucedido: login de serviço (LogonType=5) | "EventID\"\:\s*4624.*?LogonType\"\:\s*\"5\" |
| Login bem-sucedido - Login RemoteInteractive (LogonType=10) | "EventID\"\:\s*4624.*?LogonType\"\:\s*\"10\" |
| Logon Success - Interactive, Batch, Service, or RemoteInteractive | (?:"EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\" |
Encontrar eventos de falha de logon
Essas strings de consulta de expressão regular identificam tipos de eventos de falha de logon usando os atributos EventID e LogonType.
| Tipo de evento | Expressão regular |
| Falha no logon | "EventID\"\:\s*4625 |
| Falha de logon - interativa (LogonType=2) | "EventID\"\:\s*4625.*?LogonType\"\:\s*\"2\" |
| Falha no logon: logon em lote (LogonType=4) | "EventID\"\:\s*4625.*?LogonType\"\:\s*\"4\" |
| Falha de logon: login de serviço (LogonType=5) | "EventID\"\:\s*4625.*?LogonType\"\:\s*\"5\" |
| Falha de logon: login remoto interativo (LogonType=10) | "EventID\"\:\s*4625.*?LogonType\"\:\s*\"10\" |
| Falha de logon: interativa, em lote, de serviço ou interativa remota | (?:"EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\" |
Encontrar eventos de processo, serviço e tarefa
Essas strings de consulta de expressão regular identificam determinados eventos de processo e serviço usando o atributo "EventID".
| Tipo de evento | Expressão regular |
| Início do processo | "EventID\"\:\s*4688 |
| Saída do processo | "EventID\"\:\s*4689 |
| Serviço instalado | "EventID\"\:\s*4697 |
| Novo serviço criado | "EventID\"\:\s*7045 |
| Tarefa agendada criada | "EventID\"\:\s*4698 |
Encontrar eventos relacionados ao acesso a objetos
Essas strings de consulta de expressão regular identificam diferentes tipos de eventos relacionados a processos e serviços usando o atributo EventID.
| Tipo de evento | Expressão regular |
| Registro de auditoria limpo | "EventID\"\:\s*1102 |
| Tentativa de acesso a objeto | "EventID\"\:\s*4663 |
| Compartilhamento acessado | "EventID\"\:\s*5140 |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.