Cercare i log non elaborati utilizzando la scansione dei log non elaborati
Quando esegui una ricerca, Google Security Operations esamina innanzitutto i dati di sicurezza che sono stati importati, analizzati e normalizzati. Se le informazioni che stai cercando non vengono trovate nei dati normalizzati, puoi utilizzare la ricerca nei log non elaborati per esaminare i log non elaborati non elaborati. Puoi anche utilizzare le espressioni regolari per esaminare più da vicino i log non elaborati.
Puoi utilizzare la scansione dei log non elaborati per esaminare gli elementi che vengono visualizzati nei log, ma non sono indicizzati, tra cui:
- Nomi utente
- Nomi file
- Chiavi del registry
- Argomenti della riga di comando
- Dati non elaborati relativi alle richieste HTTP
- Nomi di dominio basati su espressioni regolari
- Spazi dei nomi degli asset e indirizzi
Scansione dei log non elaborati
Per utilizzare la ricerca dei log non elaborati, inserisci una stringa di ricerca nel campo di ricerca della pagina di destinazione o della barra dei menu (ad esempio un hash MD5). Inserisci almeno 4 caratteri (inclusi i caratteri jolly). Se Google Security Operations non riesce a trovare la stringa di ricerca, viene aperta l'opzione Scansione dei log non elaborati. Specifica l'ora di inizio e l'ora di fine (il valore predefinito è 1 settimana) e fai clic su CERCA.
Scansione dei log non elaborati dalla pagina di destinazione
Vengono visualizzati gli eventi associati alla stringa di ricerca. Puoi aprire il log non elaborato associato facendo clic sul pulsante a forma di freccia.
Puoi anche fare clic sul menu a discesa Origini log e selezionare una o più delle origini dati che invii a Google Security Operations per la ricerca. L'impostazione predefinita è Tutti.
Espressioni regolari
Puoi utilizzare le espressioni regolari per cercare e associare insiemi di stringhe di caratteri all'interno dei dati sulla sicurezza utilizzando Google Security Operations. Le espressioni regolari ti consentono di restringere la ricerca utilizzando frammenti di informazioni, al contrario di utilizzare, ad esempio, un nome di dominio completo.
Per eseguire una ricerca utilizzando la sintassi delle espressioni regolari, inserisci la ricerca nel campo Cerca con l'espressione regolare, seleziona la casella di controllo Esegui query come regex e fai clic su CERCA. L'espressione regolare deve avere una lunghezza compresa tra 4 e 66 caratteri.
Scansione dei log non formattati eseguita come espressione regolare
L'infrastruttura delle espressioni regolari di Google Security Operations si basa su Google RE2, un motore di espressioni regolari open source. Google Security Operations utilizza la stessa sintassi delle espressioni regolari. Per ulteriori informazioni, consulta la documentazione di RE2.
La tabella seguente evidenzia alcune delle sintassi delle espressioni regolari comuni che puoi utilizzare per le ricerche.
| Qualsiasi carattere | . |
| x numero di caratteri | {x} |
| Classe di caratteri | [xyz] |
| Classe di caratteri con negazione | [^xyz] |
| Alfanumerico (0-9A-Za-z) | [[:alnum:]] |
| Alfabetico (A-Za-z) | [[:alpha:]] |
| Cifre (0-9) | [[:digit:]] |
| Minuscole (a-z) | [[:lower:]] |
| Maiuscole (A-Z) | [[:upper:]] |
| Caratteri alfanumerici (0-9A-Za-z_) | [[:word:]] |
| Cifra esadecimale (0-9A-Fa-f) | [[:xdigit:]] |
Gli esempi riportati di seguito illustrano come utilizzare questa sintassi per eseguire ricerche nei dati:
goo.le\.com: corrisponde agoogle.com,goooogle.come così via.goo\w{3}\.com: corrisponde agoogle.com,goodle.com,goojle.come così via.[[:digit:]]\.[[:alpha:]]: corrisponde a34323.system,23458.office,897.nete così via.
Esempi di espressioni regolari per cercare i log di Windows
Questa sezione fornisce stringhe di query con espressioni regolari che puoi utilizzare con la scansione dei log non elaborati di Google Security Operations per trovare gli eventi di Windows monitorati di frequente. Questi esempi presuppongono che i messaggi di log di Windows siano in formato JSON.
Per ulteriori informazioni sugli ID evento di Windows monitorati di frequente, consulta l'argomento Eventi da monitorare nella documentazione di Microsoft. Gli esempi forniti seguono un modello simile, descritto in questi casi d'uso.
| Caso d'uso: restituire gli eventi con l'EventID 1150 | |
| Stringa regex: | \"EventID\"\:\s*1150 |
| Valori corrispondenti: | "EventID":1150 |
| Caso d'uso:restituire gli eventi con un ID evento pari a 1150 o 1151 | |
| Stringa regex | (?:\"EventID\"\:\s*)(?:1150|1151) |
| Valori corrispondenti | "EventID":1150 e "EventID":1151 |
| Caso d'uso: restituire gli eventi con un ID evento pari a 1150 o 1151 e con ThreatID 9092 | |
| Stringa regex | (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092) |
| Valori corrispondenti | "EventID":1150 <...any number of characters...> "ThreadID":9092
e "EventID":1151 <...any number of characters...glt; "ThreadID":9092 |
Trovare gli eventi di gestione dell'account
Queste stringhe di query con espressioni regolari identificano gli eventi comuni di gestione dell'account utilizzando l'attributo EventID.
| Tipo di evento | Espressione regolare |
| Account utente creato | EventID\"\:\s*4720 |
| Account utente abilitato | EventID\"\:\s*4722 |
| Account utente disattivato | EventID\"\:\s*4725 |
| Account utente eliminato | EventID\"\:\s*4726 |
| Modifica dei diritti utente | EventID\"\:\s*4703 |
| Membro aggiunto al gruppo globale abilitato per la sicurezza | EventID\"\:\s*4728 |
| Membro rimosso dal gruppo globale con la sicurezza abilitata | EventID\"\:\s*4729 |
| Gruppo globale abilitato per la sicurezza è stato eliminato | EventID\"\:\s*4730 |
Trovare gli eventi di accesso riuscito
Queste stringhe di query con espressioni regolari identificano i tipi di eventi di accesso riusciti utilizzando gli attributi EventID e LogonType.
| Tipo di evento | Espressione regolare |
| Accesso riuscito | EventID\"\:\s*4624 |
| Accesso riuscito - Interattivo (LogonType=2) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"2\" |
| Accesso riuscito - Accesso batch (LogonType=4) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"4\" |
| Accesso riuscito - Accesso al servizio (LogonType=5) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"5\" |
| Accesso riuscito - Accesso interattivo remoto (LogonType=10) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"10\" |
| Accesso riuscito: interattivo, batch, servizio o interattivo remoto | (?:EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\" |
Trovare gli eventi di errore di accesso
Queste stringhe di query con espressioni regolari identificano i tipi di eventi di accesso non riusciti utilizzando gli attributi EventID e LogonType.
| Tipo di evento | Espressione regolare |
| Accesso non riuscito | EventID\"\:\s*4625 |
| Errore di accesso - Interattivo (LogonType=2) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"2\" |
| Errore di accesso: accesso batch (LogonType=4) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"4\" |
| Errore di accesso: accesso al servizio (LogonType=5) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"5\" |
| Logon Failure - RemoteInteractive Login (LogonType=10) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"10\" |
| Errore di accesso: interattivo, batch, servizio o interattivo remoto | (?:EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\" |
Trovare eventi di processo, servizio e attività
Queste stringhe di query con espressioni regolari identificano determinati eventi di processo e servizio utilizzando l'attributo EventID.
| Tipo di evento | Espressione regolare |
| Avvio processo | EventID\"\:\s*4688 |
| Uscita processo | EventID\"\:\s*4689 |
| Servizio installato | EventID\"\:\s*4697 |
| Nuovo servizio creato | EventID\"\:\s*7045 |
| Attività pianificata creata | EventID\"\:\s*4698 |
Trovare gli eventi relativi all'accesso agli oggetti
Queste stringhe di query con espressioni regolari identificano diversi tipi di eventi relativi a processi e servizi utilizzando l'attributo EventID.
| Tipo di evento | Espressione regolare |
| Audit log cancellato | EventID\"\:\s*1102 |
| Tentativo di accesso all'oggetto | EventID\"\:\s*4663 |
| Condividi elementi a cui è stato eseguito l'accesso | EventID\"\:\s*5140 |