Busca registros sin procesar con Raw Log Scan
Cuando realizas una búsqueda, Google Security Operations primero examina los datos de seguridad que se transfirieron, analizaron y normalizaron. Si la información que buscas no se encuentra en los datos normalizados, puedes usar el análisis de registros sin procesar para examinar los registros sin analizar. También puedes usar expresiones regulares para examinar con mayor detalle los registros sin procesar.
Puedes usar el análisis de registros sin procesar para investigar artefactos que aparecen en los registros, pero que no están indexados, incluidos los siguientes:
- Nombres de usuario
- Nombres del archivo
- Claves de registro
- Argumentos de la línea de comandos
- Datos sin procesar relacionados con solicitudes HTTP
- Nombres de dominio basados en expresiones regulares
- Espacios de nombres de recursos y direcciones
Análisis de registros sin procesar
Para usar el análisis de registros sin procesar, ingresa una cadena de búsqueda en el campo de búsqueda de la página de destino o la barra de menú (por ejemplo, un hash MD5). Ingrese, al menos, 4 caracteres (incluidos los comodines). Si Google Security Operations no encuentra la búsqueda esta cadena abre la opción Raw Logs Scan. Especifica la Hora de inicio y Hora de finalización (el valor predeterminado es 1 semana) y haz clic en BUSCAR.
Análisis de registro sin procesar de la página de destino
Se muestran los eventos asociados con la cadena de búsqueda. Puedes abrir el registro sin procesar asociado haciendo clic en el botón de flecha.
También puedes hacer clic en el menú desplegable Fuentes de registros y seleccionar una o más de las fuentes de datos que envías a Google Security Operations para la búsqueda. El la configuración predeterminada es Todas.
Expresiones regulares
Puedes usar expresiones regulares para buscar y hacer coincidir conjuntos de cadenas de caracteres dentro de tus datos de seguridad con Google Security Operations. Las expresiones regulares te permiten limitar la búsqueda con fragmentos de información, en lugar de usar (por ejemplo) un nombre de dominio completo.
Para realizar una búsqueda con la sintaxis de expresiones regulares, ingresa la búsqueda en Search con la expresión regular, marca la opción Run Query as regex y haz clic en BUSCAR. La expresión regular debe tener entre 4 y 66 caracteres.
Análisis de registro sin procesar ejecutado como una expresión regular
La infraestructura de expresiones regulares de Google Security Operations se basa en Google RE2, un motor de expresiones regulares de código abierto. Google Security Operations usa la misma sintaxis de expresión regular. Consulta la documentación de RE2 para obtener más información.
En la siguiente tabla, se destacan algunos de los sintaxis de expresiones regulares comunes que puedes usar para tus búsquedas.
| Cualquier carácter | . |
| número x de cualquier carácter | {x} |
| Clase de personaje | [xyz] |
| Clase de caracteres negada | [^xyz] |
| Alfanuméricos (0-9A-Za-z) | [[:alnum:]] |
| Alfabético (A-Za-z) | [[:alpha:]] |
| Dígitos (0-9) | [[:digit:]] |
| Minúscula (a-z) | [[:lower:]] |
| Mayúsculas (A-Z) | [[:upper:]] |
| Caracteres de palabras (0-9A-Za-z_) | [[:word:]] |
| Dígito hexadecimal (0-9A-Fa-f) | [[:xdigit:]] |
Los siguientes ejemplos ilustran cómo podrías usar esta sintaxis para buscar en tus datos:
goo.le\.com: Coincide congoogle.com,goooogle.com, etcétera.goo\w{3}\.com: Coincide congoogle.com,goodle.com,goojle.com, etcétera.[[:digit:]]\.[[:alpha:]]: Coincide con34323.system,23458.office,897.net, etcétera.
Expresiones regulares de muestra para buscar registros de Windows
En esta sección, se proporcionan cadenas de consulta de expresiones regulares que puedes usar con el análisis de registros sin procesar de Google Security Operations para encontrar eventos de Windows comúnmente supervisados. En estos ejemplos, se supone que los mensajes de registro de Windows están en formato JSON.
Para obtener más información sobre los IDs de eventos de Windows que se supervisan comúnmente, consulta el tema Eventos que se supervisarán en la documentación de Microsoft. Los ejemplos proporcionados siguen un patrón similar, que se describe en estos casos de uso.
| Caso de uso: Muestra eventos con el EventID 1150 | |
| Cadena de regex: | \"EventID\"\:\s*1150 |
| Valores coincidentes: | “ID de evento”:1150 |
| Caso práctico:Mostrar eventos con un ID de evento que sea 1150 o 1151 | |
| Cadena de regex | (?:\"EventID\"\:\s*)(?:1150|1151) |
| Valores coincidentes | "EventID":1150 y "EventID":1151 |
| Caso de uso: Mostrar eventos con un ID de evento que sea 1150 o 1151, y con ThreatID 9092 | |
| Cadena de regex | (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092) |
| Valores coincidentes | "EventID":1150 <...cualquier cantidad de caracteres...> “ID de subproceso”:9092
y "EventID":1151 <...cualquier cantidad de caracteres...glt; “ID de subproceso”:9092 |
Cómo encontrar eventos de administración de la cuenta
Estas cadenas de consulta de expresiones regulares identifican eventos comunes de administración de cuentas mediante el atributo EventID.
| Tipo de evento | Expresión regular |
| Se creó la cuenta de usuario | EventID\"\:\s*4720 |
| Cuenta de usuario habilitada | EventID\"\:\s*4722 |
| Cuenta de usuario inhabilitada | EventID\"\:\s*4725 |
| Cuenta de usuario eliminada | ID de evento\"\:\s*4726 |
| Modificación de los derechos del usuario | EventID\"\:\s*4703 |
| Se agregó el miembro al grupo global con seguridad habilitada | EventID\"\:\s*4728 |
| Se quitó un miembro del grupo global habilitado para la seguridad | EventID\"\:\s*4729 |
| Se borró el grupo global habilitado para la seguridad | ID de evento\"\:\s*4730 |
Busca eventos de acceso correcto
Estas cadenas de consulta de expresiones regulares identifican tipos de eventos de inicio de sesión satisfactorio mediante los atributos EventID y LogonType.
| Tipo de evento | Expresión regular |
| Inicio de sesión exitoso | ID de evento\"\:\s*4624 |
| Inicio de sesión exitoso: interactivo (LogonType=2) | ID de evento\"\:\s*4624.*?Tipo de acceso\"\:\s*\"2\" |
| Acceso correcto: Acceso por lotes (LogonType=4) | ID de evento\"\:\s*4624.*?Tipo de acceso\"\:\s*\"4\" |
| Inicio de sesión correcto: acceso al servicio (LogonType=5) | ID de evento\"\:\s*4624.*?Tipo de acceso\"\:\s*\"5\" |
| Acceso correcto: Acceso remoto interactivo (LogonType=10) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"10\" |
| Inicio de sesión correcto: interactivo, por lotes, de servicio o remoto interactivo | (?:EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\" |
Cómo encontrar eventos de fallas de acceso
Estas cadenas de consulta de expresiones regulares identifican tipos de eventos de inicio de sesión con errores mediante los atributos EventID y LogonType.
| Tipo de evento | Expresión regular |
| Error de acceso | ID de evento\"\:\s*4625 |
| Error de inicio de sesión - Interactivo (LogonType=2) | ID de evento\"\:\s*4625.*?Tipo de acceso\"\:\s*\"2\" |
| Error de inicio de sesión: Acceso por lotes (LogonType=4) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"4\" |
| Error de inicio de sesión: Acceso al servicio (LogonType=5) | ID de evento\"\:\s*4625.*?Tipo de acceso\"\:\s*\"5\" |
| Error de acceso: Acceso remoto interactivo (LogonType=10) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"10\" |
| Fallo de inicio de sesión: interactivo, por lotes, de servicio o interactivo remoto | (?:EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\" |
Cómo buscar eventos de procesos, servicios y tareas
Estas cadenas de consulta de expresiones regulares identifican determinados eventos de procesos y servicios con el atributo EventID.
| Tipo de evento | Expresión regular |
| Inicio del proceso | EventID\"\:\s*4688 |
| Salida del proceso | EventID\"\:\s*4689 |
| Servicio instalado | ID de evento\"\:\s*4697 |
| Se creó un servicio nuevo | EventID\"\:\s*7045 |
| Se creó la tarea de programación | EventID\"\:\s*4698 |
Cómo encontrar eventos relacionados con el acceso a objetos
Estas cadenas de consulta de expresiones regulares identifican distintos tipos de eventos relacionados con procesos y servicios mediante el atributo EventID.
| Tipo de evento | Expresión regular |
| Registro de auditoría borrado | ID de evento\"\:\s*1102 |
| Intento de acceso al objeto | ID de evento\"\:\s*4663 |
| Compartir acceso | EventID\"\:\s*5140 |