Busca registros sin procesar con Raw Log Scan

Compatible con:

Cuando realizas una búsqueda, Google Security Operations primero examina los datos de seguridad que se transfirieron, analizaron y normalizaron. Si la información que buscas no se encuentra en los datos normalizados, puedes usar el análisis de registros sin procesar para examinar los registros sin analizar. También puedes usar expresiones regulares para examinar con mayor detalle los registros sin procesar.

Puedes usar el análisis de registros sin procesar para investigar artefactos que aparecen en los registros, pero que no están indexados, incluidos los siguientes:

  • Nombres de usuario
  • Nombres del archivo
  • Claves de registro
  • Argumentos de la línea de comandos
  • Datos sin procesar relacionados con solicitudes HTTP
  • Nombres de dominio basados en expresiones regulares
  • Espacios de nombres de recursos y direcciones

Análisis de registros sin procesar

Para usar el análisis de registros sin procesar, ingresa una cadena de búsqueda en el campo de búsqueda de la página de destino o la barra de menú (por ejemplo, un hash MD5). Ingrese, al menos, 4 caracteres (incluidos los comodines). Si Google Security Operations no encuentra la búsqueda esta cadena abre la opción Raw Logs Scan. Especifica la Hora de inicio y Hora de finalización (el valor predeterminado es 1 semana) y haz clic en BUSCAR.

Análisis de registro sin procesar de la página de destino Análisis de registro sin procesar de la página de destino

Se muestran los eventos asociados con la cadena de búsqueda. Puedes abrir el registro sin procesar asociado haciendo clic en el botón de flecha.

También puedes hacer clic en el menú desplegable Fuentes de registros y seleccionar una o más de las fuentes de datos que envías a Google Security Operations para la búsqueda. El la configuración predeterminada es Todas.

Expresiones regulares

Puedes usar expresiones regulares para buscar y hacer coincidir conjuntos de cadenas de caracteres dentro de tus datos de seguridad con Google Security Operations. Las expresiones regulares te permiten limitar la búsqueda con fragmentos de información, en lugar de usar (por ejemplo) un nombre de dominio completo.

Para realizar una búsqueda con la sintaxis de expresiones regulares, ingresa la búsqueda en Search con la expresión regular, marca la opción Run Query as regex y haz clic en BUSCAR. La expresión regular debe tener entre 4 y 66 caracteres.

Ejecución de Raw Log Scan como una expresión regular Análisis de registro sin procesar ejecutado como una expresión regular

La infraestructura de expresiones regulares de Google Security Operations se basa en Google RE2, un motor de expresiones regulares de código abierto. Google Security Operations usa la misma sintaxis de expresión regular. Consulta la documentación de RE2 para obtener más información.

En la siguiente tabla, se destacan algunos de los sintaxis de expresiones regulares comunes que puedes usar para tus búsquedas.

Cualquier carácter .
número x de cualquier carácter {x}
Clase de personaje [xyz]
Clase de caracteres negada [^xyz]
Alfanuméricos (0-9A-Za-z) [[:alnum:]]
Alfabético (A-Za-z) [[:alpha:]]
Dígitos (0-9) [[:digit:]]
Minúscula (a-z) [[:lower:]]
Mayúsculas (A-Z) [[:upper:]]
Caracteres de palabras (0-9A-Za-z_) [[:word:]]
Dígito hexadecimal (0-9A-Fa-f) [[:xdigit:]]

Los siguientes ejemplos ilustran cómo podrías usar esta sintaxis para buscar en tus datos:

  • goo.le\.com: Coincide con google.com, goooogle.com, etcétera.
  • goo\w{3}\.com: Coincide con google.com, goodle.com, goojle.com, etcétera.
  • [[:digit:]]\.[[:alpha:]]: Coincide con 34323.system, 23458.office, 897.net, etcétera.

Expresiones regulares de muestra para buscar registros de Windows

En esta sección, se proporcionan cadenas de consulta de expresiones regulares que puedes usar con el análisis de registros sin procesar de Google Security Operations para encontrar eventos de Windows comúnmente supervisados. En estos ejemplos, se supone que los mensajes de registro de Windows están en formato JSON.

Para obtener más información sobre los IDs de eventos de Windows que se supervisan comúnmente, consulta el tema Eventos que se supervisarán en la documentación de Microsoft. Los ejemplos proporcionados siguen un patrón similar, que se describe en estos casos de uso.

Caso de uso: Muestra eventos con el EventID 1150
Cadena de regex: \"EventID\"\:\s*1150
Valores coincidentes: “ID de evento”:1150
Caso práctico:Mostrar eventos con un ID de evento que sea 1150 o 1151
Cadena de regex (?:\"EventID\"\:\s*)(?:1150|1151)
Valores coincidentes "EventID":1150 y "EventID":1151
Caso de uso: Mostrar eventos con un ID de evento que sea 1150 o 1151, y con ThreatID 9092
Cadena de regex (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092)
Valores coincidentes "EventID":1150 <...cualquier cantidad de caracteres...> “ID de subproceso”:9092
y
"EventID":1151 <...cualquier cantidad de caracteres...glt; “ID de subproceso”:9092

Cómo encontrar eventos de administración de la cuenta

Estas cadenas de consulta de expresiones regulares identifican eventos comunes de administración de cuentas mediante el atributo EventID.

Tipo de evento Expresión regular
Se creó la cuenta de usuario EventID\"\:\s*4720
Cuenta de usuario habilitada EventID\"\:\s*4722
Cuenta de usuario inhabilitada EventID\"\:\s*4725
Cuenta de usuario eliminada ID de evento\"\:\s*4726
Modificación de los derechos del usuario EventID\"\:\s*4703
Se agregó el miembro al grupo global con seguridad habilitada EventID\"\:\s*4728
Se quitó un miembro del grupo global habilitado para la seguridad EventID\"\:\s*4729
Se borró el grupo global habilitado para la seguridad ID de evento\"\:\s*4730

Busca eventos de acceso correcto

Estas cadenas de consulta de expresiones regulares identifican tipos de eventos de inicio de sesión satisfactorio mediante los atributos EventID y LogonType.

Tipo de evento Expresión regular
Inicio de sesión exitoso ID de evento\"\:\s*4624
Inicio de sesión exitoso: interactivo (LogonType=2) ID de evento\"\:\s*4624.*?Tipo de acceso\"\:\s*\"2\"
Acceso correcto: Acceso por lotes (LogonType=4) ID de evento\"\:\s*4624.*?Tipo de acceso\"\:\s*\"4\"
Inicio de sesión correcto: acceso al servicio (LogonType=5) ID de evento\"\:\s*4624.*?Tipo de acceso\"\:\s*\"5\"
Acceso correcto: Acceso remoto interactivo (LogonType=10) EventID\"\:\s*4624.*?LogonType\"\:\s*\"10\"
Inicio de sesión correcto: interactivo, por lotes, de servicio o remoto interactivo (?:EventID\&quot;\:\s*4624.*?LogonType\&quot;\:\s*\&quot;)(?:2|4|5|10)\&quot;

Cómo encontrar eventos de fallas de acceso

Estas cadenas de consulta de expresiones regulares identifican tipos de eventos de inicio de sesión con errores mediante los atributos EventID y LogonType.

Tipo de evento Expresión regular
Error de acceso ID de evento\"\:\s*4625
Error de inicio de sesión - Interactivo (LogonType=2) ID de evento\"\:\s*4625.*?Tipo de acceso\"\:\s*\"2\"
Error de inicio de sesión: Acceso por lotes (LogonType=4) EventID\"\:\s*4625.*?LogonType\"\:\s*\"4\"
Error de inicio de sesión: Acceso al servicio (LogonType=5) ID de evento\"\:\s*4625.*?Tipo de acceso\"\:\s*\"5\"
Error de acceso: Acceso remoto interactivo (LogonType=10) EventID\"\:\s*4625.*?LogonType\"\:\s*\"10\"
Fallo de inicio de sesión: interactivo, por lotes, de servicio o interactivo remoto (?:EventID\&quot;\:\s*4625.*LogonType\&quot;\:\s*\&quot;)(?:2|4|5|10)\&quot;

Cómo buscar eventos de procesos, servicios y tareas

Estas cadenas de consulta de expresiones regulares identifican determinados eventos de procesos y servicios con el atributo EventID.

Tipo de evento Expresión regular
Inicio del proceso EventID\"\:\s*4688
Salida del proceso EventID\"\:\s*4689
Servicio instalado ID de evento\"\:\s*4697
Se creó un servicio nuevo EventID\"\:\s*7045
Se creó la tarea de programación EventID\"\:\s*4698

Estas cadenas de consulta de expresiones regulares identifican distintos tipos de eventos relacionados con procesos y servicios mediante el atributo EventID.

Tipo de evento Expresión regular
Registro de auditoría borrado ID de evento\"\:\s*1102
Intento de acceso al objeto ID de evento\"\:\s*4663
Compartir acceso EventID\"\:\s*5140