Rechercher des journaux bruts à l'aide de l'analyse des journaux bruts
Lorsque vous effectuez une recherche, Google Security Operations examine d'abord les données de sécurité qui ont été ingérées, analysées et normalisées. Si les informations que vous recherchez sont introuvables dans les données normalisées, vous pouvez utiliser l'analyse des journaux bruts pour examiner les journaux bruts non analysés. Vous pouvez également utiliser des expressions régulières pour examiner de plus près les journaux bruts.
Vous pouvez utiliser l'analyse des journaux bruts pour examiner les artefacts qui apparaissent dans les journaux, mais qui ne sont pas indexés, y compris:
- Noms d'utilisateur
- Noms de fichiers
- Clés de registre
- Arguments de ligne de commande
- Données brutes liées aux requêtes HTTP
- Noms de domaine basés sur des expressions régulières
- Espaces de noms des éléments et adresses
Analyse des journaux bruts
Pour utiliser l'analyse de journaux bruts, saisissez une chaîne de recherche dans le champ de recherche du page de destination ou la barre de menu (un hachage MD5, par exemple). Saisissez au moins 4 (y compris les caractères génériques). Si Google Security Operations ne trouve pas la recherche l'option Raw Logs Scan (Analyse des journaux bruts). Indiquez l'heure de début et Heure de fin (par défaut, une semaine) et cliquez sur RECHERCHER.
Analyse du journal brut depuis la page de destination
Les événements associés à la chaîne de recherche s'affichent. Vous pouvez ouvrir le journal brut associé en cliquant sur le bouton fléché.
Vous pouvez également cliquer sur le menu déroulant "Log Sources" (Sources de journal) et sélectionner une ou plusieurs des sources de données que vous envoyez à Google Security Operations pour effectuer des recherches. La le paramètre par défaut est Tous.
Expressions régulières
Vous pouvez utiliser des expressions régulières pour rechercher et faire correspondre des jeux de caractères dans vos données de sécurité à l'aide de Google Security Operations. Expressions régulières vous permettent d'affiner votre recherche à l'aide de fragments d'informations, plutôt que d'utiliser (par exemple) un nom de domaine complet.
Pour lancer une recherche à l'aide de la syntaxe d'expression régulière, saisissez votre recherche dans Rechercher avec l'expression régulière, cochez la case Exécuter la requête en tant qu'expression régulière. case à cocher, puis cliquez sur RECHERCHER. Votre expression régulière doit être comprise entre 4 et 66 caractères.
Exécution de l'analyse de journaux brut en tant qu'expression régulière
L'infrastructure d'expressions régulières de Google Security Operations est basée sur Google RE2, un moteur d'expressions régulières Open Source. Google Security Operations utilise la même syntaxe d'expression régulière. Pour en savoir plus, consultez la documentation RE2.
Le tableau suivant met en évidence certaines syntaxes d'expressions régulières courantes que vous pouvez utiliser pour vos recherches.
| Tout caractère | . |
| nombre x de caractères quelconques | {x} |
| Classe de caractère | [xyz] |
| Classe de caractères inversée | [^xyz] |
| Alphanumérique (0-9A-Za-z) | [[:alnum:]] |
| Alphabétique (A-Za-z) | [[:alpha:]] |
| Chiffres (0-9) | [[:digit:]] |
| Minuscules (a-z) | [[:lower:]] |
| Majuscules (A-Z) | [[:upper:]] |
| Caractères de mot (0-9A-Za-z_) | [[:word:]] |
| Chiffre hexadécimal (0-9A-Fa-f) | [[:xdigit:]] |
Les exemples suivants illustrent la manière dont vous pouvez utiliser cette syntaxe pour effectuer une recherche dans vos données:
goo.le\.com: correspond àgoogle.com,goooogle.com, etc.goo\w{3}\.com: correspond àgoogle.com,goodle.com,goojle.com, etc.[[:digit:]]\.[[:alpha:]]: correspond à34323.system,23458.office,897.net, etc.
Exemples d'expressions régulières pour rechercher des journaux Windows
Cette section fournit des chaînes de requête d'expression régulière que vous pouvez utiliser avec l'analyse de journaux bruts Google Security Operations pour identifier les événements Windows couramment surveillés. Ces exemples supposent que les messages de journal Windows sont au format JSON.
Pour en savoir plus sur les ID d'événement Windows couramment surveillés, consultez la rubrique Événements à surveiller dans la documentation Microsoft. Les exemples fournis suivent un modèle similaire, décrit dans ces cas d'utilisation.
| Cas d'utilisation: renvoyer des événements associés à l'ID d'événement 1150 | |
| Chaîne d'expression régulière: | \"IDévénement\"\:\s*1150 |
| Valeurs correspondantes: | "IDÉvénement":1150 |
| Cas d'utilisation:renvoyer des événements dont l'ID d'événement est 1150 ou 1151 | |
| Chaîne d'expression régulière | (?:\"EventID\"\:\s*)(?:1150|1151) |
| Valeurs correspondantes | "EventID":1150 et "EventID":1151 |
| Cas d'utilisation: renvoyer des événements dont l'ID d'événement est 1150 ou 1151, et dont l'ID de menace est 9092 | |
| Chaîne d'expression régulière | (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092) |
| Valeurs correspondantes | "EventID":1150 <...n'importe quel nombre de caractères...> "IDThread":9092
et "EventID":1151 <...n'importe quel nombre de caractères...glt; "IDThread":9092 |
Rechercher des événements de gestion de compte
Ces chaînes de requête d'expression régulière identifient les événements courants de gestion de compte à l'aide de l'attribut EventID.
| Type d'événement | Expression régulière |
| Compte utilisateur créé | EventID\"\:\s*4720 |
| Compte utilisateur activé | IDévénement\"\:\s*4722 |
| Compte utilisateur désactivé | IDévénement\"\:\s*4725 |
| Compte utilisateur supprimé | IDévénement\"\:\s*4726 |
| modification des droits d’utilisateur | IDévénement\"\:\s*4703 |
| Membre ajouté au groupe global avec sécurité activée | IDévénement\"\:\s*4728 |
| Membre supprimé du groupe global avec sécurité activée | IDévénement\"\:\s*4729 |
| Le groupe global avec sécurité activée a été supprimé | IDévénement\"\:\s*4730 |
Rechercher les événements de réussite d’ouverture de session
Ces chaînes de requête d'expression régulière identifient les types d'événements d'ouverture de session réussis à l'aide des attributs EventID et LogonType.
| Type d'événement | Expression régulière |
| Connexion réussie | IDévénement\"\:\s*4624 |
| Connexion réussie - Interactif (LogonType=2) | IDévénement\"\:\s*4624.*?Typed'authentification\"\:\s*\"2\" |
| Connexion réussie - Connexion par lot (LogonType=4) | IDévénement\"\:\s*4624.*?Typed'authentification\"\:\s*\"4\" |
| Connexion réussie - Connexion au service (Type d’authentification=5) | IDévénement\"\:\s*4624.*?Typed'authentification\"\:\s*\"5\" |
| Connexion réussie - Connexion à distance interactive (Type d’authentification=10) | IDévénement\"\:\s*4624.*?Typed'authentification\"\:\s*\"10\" |
| Connexion réussie : interactive, Batch, Service ou RemoteInteractive | (?:EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\" |
Rechercher les événements d'échec d'ouverture de session
Ces chaînes de requête d'expression régulière identifient les types d'événements d'ouverture de session ayant échoué à l'aide des attributs EventID et LogonType.
| Type d'événement | Expression régulière |
| Échec de connexion | IDévénement\"\:\s*4625 |
| Échec de connexion - Interactif (Type d’authentification=2) | IDévénement\"\:\s*4625.*?Typed'authentification\"\:\s*\"2\" |
| Échec d’ouverture de session - Connexion par lot (Type d’authentification=4) | IDévénement\"\:\s*4625.*?Typed'authentification\"\:\s*\"4\" |
| Échec d’ouverture de session - Connexion au service (Type d’authentification=5) | IDévénement\"\:\s*4625.*?Typed'authentification\"\:\s*\"5\" |
| Échec d’ouverture de session - Connexion à distance interactive (Type d’authentification=10) | IDévénement\"\:\s*4625.*?Typed'authentification\"\:\s*\"10\" |
| Échec de l'ouverture de session : interactive, Batch, Service ou RemoteInteractive | (?:EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\" |
Rechercher des événements de processus, de services et de tâches
Ces chaînes de requête d'expression régulière identifient certains événements de processus et de service à l'aide de l'attribut EventID.
| Type d'événement | Expression régulière |
| Début du processus | IDévénement\"\:\s*4688 |
| Sortie du processus | IDévénement\"\:\s*4689 |
| Service installé | IDévénement\"\:\s*4697 |
| Nouveau service créé | IDévénement\"\:\s*7045 |
| Planifier la création de la tâche | IDévénement\"\:\s*4698 |
Rechercher les événements liés à l'accès aux objets
Ces chaînes de requête d'expression régulière identifient différents types d'événements liés aux processus et aux services à l'aide de l'attribut EventID.
| Type d'événement | Expression régulière |
| Journal d'audit effacé | IDévénement\"\:\s*1102 |
| Tentative d'accès à l'objet | IDévénement\"\:\s*4663 |
| Partage consulté | IDévénement\"\:\s*5140 |