Cerca i log non elaborati utilizzando la scansione dei log non elaborati
Quando esegui una ricerca, Google Security Operations esamina innanzitutto i dati di sicurezza che sono stati importati, analizzati e normalizzati. Se le informazioni che stai cercando non sono presenti nei dati normalizzati, puoi utilizzare la ricerca nei log non elaborati per esaminare i log non elaborati non elaborati. Puoi anche utilizzare le espressioni regolari per esaminare più da vicino i log non elaborati.
Puoi utilizzare la scansione dei log non elaborati per esaminare gli elementi che vengono visualizzati nei log, ma non sono indicizzati, tra cui:
- Nomi utente
- Nomi file
- Chiavi del Registro di sistema
- Argomenti della riga di comando
- Dati relativi alle richieste HTTP non elaborate
- Nomi di dominio basati su espressioni regolari
- Spazi dei nomi degli asset e indirizzi
Scansione log non elaborata
Per utilizzare la ricerca dei log non elaborati, inserisci una stringa di ricerca nel campo di ricerca della pagina di destinazione o della barra dei menu (ad esempio un hash MD5). Inserisci almeno 4 caratteri (inclusi i caratteri jolly). Se Google Security Operations non riesce a trovare la stringa di ricerca, viene aperta l'opzione Scansione dei log non elaborati. Specifica l'ora di inizio e End Time (Ora di fine) (l'impostazione predefinita è 1 settimana) e fai clic su CERCA.
Scansione dei log non elaborati dalla pagina di destinazione
Vengono visualizzati gli eventi associati alla stringa di ricerca. Puoi aprire il log non elaborato associato facendo clic sul pulsante a freccia.
Puoi anche fare clic sul menu a discesa Origini log e selezionare una o più delle origini dati che invii a Google Security Operations per la ricerca. La l'impostazione predefinita è Tutte.
Espressioni regolari
Puoi utilizzare le espressioni regolari per cercare e abbinare insiemi di stringhe di caratteri all'interno dei dati sulla sicurezza utilizzando Google Security Operations. Le espressioni regolari ti consentono di restringere la ricerca utilizzando frammenti di informazioni, al contrario di utilizzare (ad esempio) un nome di dominio completo.
Per eseguire una ricerca utilizzando la sintassi delle espressioni regolari, inserisci la ricerca nel campo Cerca con l'espressione regolare, seleziona la casella di controllo Esegui query come regex e fai clic su CERCA. L'espressione regolare deve avere una lunghezza compresa tra 4 e 66 caratteri.
Esecuzione dell'analisi dei log non elaborati come espressione regolare
L'infrastruttura delle espressioni regolari di Google Security Operations si basa su Google RE2, un motore di espressioni regolari open source. Google Security Operations utilizza la stessa sintassi delle espressioni regolari. Per ulteriori informazioni, consulta la documentazione RE2.
La tabella seguente evidenzia alcune delle sintassi più comuni delle espressioni regolari che puoi utilizzare per le tue ricerche.
| Qualsiasi carattere | . |
| x numero di caratteri qualsiasi | {x} |
| Classe di caratteri | [xyz] |
| Classe di caratteri negati | [^xyz] |
| Alfanumerico (0-9A-Za-z) | [[:alnum:]] |
| Alfabetico (A-Za-z) | [[:alpha:]] |
| Cifre (0-9) | [[:digit:]] |
| Minuscole (a-z) | [[:lower:]] |
| Maiuscole (A-Z) | [[:upper:]] |
| Caratteri alfanumerici (0-9A-Za-z_) | [[:word:]] |
| Cifra esadecimale (0-9A-Fa-f) | [[:xdigit:]] |
Gli esempi riportati di seguito mostrano come utilizzare questa sintassi per eseguire ricerche nei dati:
goo.le\.com: corrisponde agoogle.com,goooogle.come così via.goo\w{3}\.com: corrisponde agoogle.com,goodle.com,goojle.come così via.[[:digit:]]\.[[:alpha:]]: corrisponde a34323.system,23458.office,897.nete così via.
Esempi di espressioni regolari per cercare i log di Windows
Questa sezione fornisce stringhe di query con espressioni regolari che puoi utilizzare con la scansione non elaborata dei log di Google Security Operations per trovare eventi di Windows monitorati comunemente. Questi esempi presuppongono che i messaggi di log di Windows siano in formato JSON.
Per ulteriori informazioni sugli ID evento di Windows monitorati comunemente, consulta l'argomento Eventi da monitorare nella documentazione Microsoft. Gli esempi forniti seguono uno schema simile, descritto in questi casi d'uso.
| Caso d'uso: restituire eventi con EventID 1150 | |
| Stringa regex: | \"EventID\"\:\s*1150 |
| Valori corrispondenti: | "EventID":1150 |
| Caso d'uso:restituire eventi con un ID evento 1150 o 1151 | |
| Stringa regex | (?:\"EventID\"\:\s*)(?:1150|1151) |
| Valori corrispondenti | "EventID":1150 e "EventID":1151 |
| Caso d'uso: restituire eventi con un ID evento 1150 o 1151 e con ThreatID 9092 | |
| Stringa regex | (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092) |
| Valori corrispondenti | "EventID":1150 <...any number of characters...> "ThreadID":9092
e "EventID":1151 <...any number of characters...glt; "ThreadID":9092 |
Trovare eventi di gestione dell'account
Queste stringhe di query con espressioni regolari identificano gli eventi comuni di gestione dell'account utilizzando l'attributo EventID.
| Tipo di evento | Espressione regolare |
| Account utente creato | EventID\"\:\s*4720 |
| Account utente abilitato | EventID\"\:\s*4722 |
| Account utente disattivato | ID evento\"\:\s*4725 |
| Account utente eliminato | EventID\"\:\s*4726 |
| Modifica dei diritti utente | ID evento\"\:\s*4703 |
| Membro aggiunto al gruppo globale abilitato per la sicurezza | EventID\"\:\s*4728 |
| Membro rimosso dal gruppo globale abilitato per la sicurezza | EventID\"\:\s*4729 |
| Gruppo globale abilitato per la sicurezza è stato eliminato | ID evento\"\:\s*4730 |
Trova eventi di accesso riusciti
Queste stringhe di query con espressioni regolari identificano i tipi di eventi di accesso riusciti utilizzando gli attributi EventID e LogonType.
| Tipo di evento | Espressione regolare |
| Accesso riuscito | ID evento\"\:\s*4624 |
| Accesso riuscito - Interattivo (LogonType=2) | ID evento\"\:\s*4624.*?LogonType\"\:\s*\"2\" |
| Accesso riuscito - Accesso batch (LogonType=4) | ID evento\"\:\s*4624.*?LogonType\"\:\s*\"4\" |
| Accesso riuscito - Accesso al servizio (LogonType=5) | ID evento\"\:\s*4624.*?LogonType\"\:\s*\"5\" |
| Accesso riuscito - Accesso RemoteInteractive (LogonType=10) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"10\" |
| Accesso riuscito: interattivo, batch, servizio o interattivo remoto | (?:EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\" |
Trovare gli eventi di errore di accesso
Queste stringhe di query con espressioni regolari identificano i tipi di eventi di accesso non riuscito utilizzando gli attributi EventID e LogonType.
| Tipo di evento | Espressione regolare |
| Accesso non riuscito | ID evento\"\:\s*4625 |
| Errore di accesso - Interattivo (LogonType=2) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"2\" |
| Errore di accesso: accesso batch (LogonType=4) | ID evento\"\:\s*4625.*?LogonType\"\:\s*\"4\" |
| Errore di accesso - Accesso al servizio (LogonType=5) | ID evento\"\:\s*4625.*?LogonType\"\:\s*\"5\" |
| Errore di accesso - Accesso RemoteInteractive (LogonType=10) | ID evento\"\:\s*4625.*?LogonType\"\:\s*\"10\" |
| Errore di accesso: interattivo, batch, servizio o interattivo remoto | (?:EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\" |
Trovare gli eventi relativi a processi, servizi e attività
Queste stringhe di query con espressioni regolari identificano determinati eventi di processo e servizio utilizzando l'attributo EventID.
| Tipo di evento | Espressione regolare |
| Avvio processo | ID evento\"\:\s*4688 |
| Procedura di uscita | ID evento\"\:\s*4689 |
| Servizio installato | EventID\"\:\s*4697 |
| Nuovo servizio creato | ID evento\"\:\s*7045 |
| Attività pianificata creata | ID evento\"\:\s*4698 |
Trovare gli eventi correlati all'accesso agli oggetti
Queste stringhe di query con espressioni regolari identificano diversi tipi di eventi relativi a processi e servizi utilizzando l'attributo EventID.
| Tipo di evento | Espressione regolare |
| Audit log cancellato | ID evento\"\:\s*1102 |
| Tentativo di accesso all'oggetto | ID evento\"\:\s*4663 |
| Condividi elementi a cui è stato eseguito l'accesso | EventID\"\:\s*5140 |