Unformatierte Logs durchsuchen
Wenn Sie eine Suche ausführen, werden in Google Security Operations zuerst die Sicherheitsdaten untersucht, die aufgenommen, geparst und normalisiert wurden. Wenn die Informationen nicht in den normalisierten Daten gefunden werden, können Sie die Rohlogsuche verwenden, um die unaufbereiteten, nicht geparsten Logs zu untersuchen. Sie können auch reguläre Ausdrücke verwenden, um die Rohlogs genauer zu untersuchen.
Mit der Rohlogsuche können Sie Artefakte untersuchen, die in Logs enthalten sind, aber nicht indexiert werden. Dazu gehören:
- Nutzernamen
- Dateinamen
- Registrierungsschlüssel
- Befehlszeilenargumente
- Rohdaten zu HTTP-Anfragen
- Domainnamen basierend auf regulären Ausdrücken
- Asset-Namespaces und -Adressen
Rohlogsuche
Sie können eine Rohlog-Suche über die Suchleiste auf der Landingpage oder in der Menüleiste durchführen. Sie haben folgende Möglichkeiten:
raw=-Format verwenden
Sie können Rohlogs mit dem Format raw= abfragen. Dies ist die empfohlene Methode.
- Wenn Sie nach einem Teilstring suchen möchten, setzen Sie den Suchbegriff in Anführungszeichen. Beispiel:
raw = "ABC". - Wenn Sie nach einem regulären Ausdruck suchen möchten, setzen Sie den Ausdruck in Schrägstriche (/) ein, z. B.
raw = /AB*C/.
Alte Methode: Prompt für die Rohlog-Suche verwenden
- Geben Sie in die Leiste Suchen einen Suchstring mit mindestens vier Zeichen ein, z. B. einen MD5-Hash, einschließlich Platzhaltern.
- Wenn die Suche keine Ergebnisse liefert, wird die Option Rohlog-Suche angezeigt.
- Optional: Geben Sie die Startzeit und die Endzeit an. Der Standardzeitraum sind die letzten 7 Tage.
- Optional: Wählen Sie in der Liste Log sources (Protokollquellen) eine oder mehrere Protokollquellen aus. Die Standardeinstellung ist Alle.
- Klicken Sie auf Suchen.
Es werden Ereignisse angezeigt, die mit dem Suchstring verknüpft sind. Klicken Sie auf Pfeil, um das entsprechende Rohlog zu öffnen.
Reguläre Ausdrücke
Sie können reguläre Ausdrücke in Google SecOps verwenden, um in Ihren Sicherheitsdaten nach Gruppen von Zeichenfolgen zu suchen und diese abzugleichen. Mit regulären Ausdrücken können Sie Ihre Suche mithilfe von Informationsfragmenten eingrenzen, anstatt eine genaue Übereinstimmung zu erzwingen.
So führen Sie eine Suche mit der Syntax für reguläre Ausdrücke aus:
- Geben Sie im Feld Suchen einen regulären Ausdruck ein. Ihr regulärer Ausdruck muss zwischen 4 und 66 Zeichen lang sein.
- Klicken Sie das Kästchen Abfrage als Regex ausführen an und klicken Sie auf Suchen.
Die Infrastruktur für reguläre Ausdrücke von Google SecOps basiert auf Google RE2, einer Open-Source-Engine für reguläre Ausdrücke. Google SecOps verwendet dieselbe Syntax für reguläre Ausdrücke.
In der folgenden Tabelle finden Sie einige der gängigen Syntaxen für reguläre Ausdrücke, die Sie für Ihre Suchanfragen verwenden können.
| Beliebiges Zeichen | . |
| x beliebige Zeichen | {x} |
| Zeichenklasse | [xyz] |
| Negierte Zeichenklasse | [^xyz] |
| Alphanumerisch (0–9A–Za–z) | [[:alnum:]] |
| Alphabetisch (A–Z, a–z) | [[:alpha:]] |
| Ziffern (0–9) | [[:digit:]] |
| Kleinbuchstaben (a–z) | [[:lower:]] |
| Großbuchstaben (A–Z) | [[:upper:]] |
| Wortzeichen (0–9A–Za–z_) | [[:word:]] |
| Hexadezimalziffer (0–9A–Fa–f) | [[:xdigit:]] |
| Fragezeichensymbol (?) | Entspricht null oder einem Vorkommen des vorhergehenden Elements. |
| Sternchen (*) | Entspricht null oder mehr Vorkommen des vorherigen Zeichens oder der vorherigen Gruppe. |
| Pluszeichen (+) | Entspricht mindestens einem Vorkommen des vorangehenden Zeichens oder der vorangehenden Gruppe. |
Die folgenden Beispiele veranschaulichen, wie Sie reguläre Ausdrücke zum Suchen von Daten verwenden können:
goo.le\.com: Stimmt mit jedem String überein, der mitgoobeginnt, gefolgt von einem beliebigen einzelnen Zeichen und dann vonle.com, z. B.google.comodergoo0le.com.goo\w{3}\.com: Stimmt mit Strings überein, die mitgoobeginnen, gefolgt von genau drei Wortzeichen (\w) und mit.comenden. Beispiele:google.com,goojle.comodergoodle.com.[[:digit:]]\.[[:alpha:]]: Stimmt mit einem String überein, der aus einer einzelnen Ziffer, gefolgt von einem Punkt (.) und einem einzelnen alphabetischen Zeichen wie34323.system,23458.officeoder897.netbesteht.
Beispiele für reguläre Ausdrücke zum Suchen in Windows-Logs
In diesem Abschnitt finden Sie Abfragestrings mit regulären Ausdrücken, die Sie mit der Rohlogsuche von Google SecOps verwenden können, um häufig überwachte Windows-Ereignisse zu finden. In diesen Beispielen wird davon ausgegangen, dass die Windows-Logmeldungen im JSON-Format vorliegen.
Weitere Informationen zu häufig überwachten Windows-Ereignis-IDs finden Sie unter Zu überwachende Ereignisse. Die Beispiele folgen einem ähnlichen Muster, das in diesen Anwendungsfällen beschrieben wird.
| Anwendungsbeispiel: Ereignisse mit der EventID 1150 zurückgeben | |
| String mit regulärem Ausdruck: | \"EventID\"\:\s*1150 |
| Abgeglichene Werte: | "EventID":1150 |
| Anwendungsbeispiel:Ereignisse mit der Ereignis-ID 1150 oder 1151 zurückgeben | |
| String für regulären Ausdruck | (?:\"EventID\"\:\s*)(?:1150|1151) |
| Abgeglichene Werte | "EventID":1150 und "EventID":1151 |
| Anwendungsbeispiel: Ereignisse mit der Ereignis-ID 1150 oder 1151 und der ThreadID 9092 zurückgeben | |
| String für regulären Ausdruck | (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092) |
| Abgeglichene Werte | "EventID":1150 <...any number of characters...> "ThreadID":9092
und "EventID":1151 <...any number of characters...> "ThreadID":9092 |
Ereignisse zur Kontoverwaltung finden
Mit diesen regulären Ausdrücken werden häufige Ereignisse zur Kontoverwaltung mithilfe des Attributs „EventID“ identifiziert.
| Art der Veranstaltung | Regulärer Ausdruck |
| Nutzerkonto erstellt | "EventID\"\:\s*4720 |
| Nutzerkonto aktiviert | "EventID\"\:\s*4722 |
| Nutzerkonto deaktiviert | "EventID\"\:\s*4725 |
| Nutzerkonto gelöscht | "EventID\"\:\s*4726 |
| Änderung der Nutzerrechte | "EventID\"\:\s*4703 |
| Mitglied wurde einer globalen Gruppe mit aktivierter Sicherheit hinzugefügt | "EventID\"\:\s*4728 |
| Mitglied aus sicherheitsaktivierter globaler Gruppe entfernt | "EventID\"\:\s*4729 |
| Globale Gruppe mit aktivierter Sicherheit wurde gelöscht | "EventID\"\:\s*4730 |
Erfolgreiche Anmeldeereignisse finden
Mit diesen regulären Ausdrücken werden Arten von erfolgreichen Anmeldeereignissen anhand der Attribute „EventID“ und „LogonType“ identifiziert.
| Art der Veranstaltung | Regulärer Ausdruck |
| Erfolgreiche Anmeldung | "EventID\"\:\s*4624 |
| Anmeldung erfolgreich – interaktiv (LogonType=2) | "EventID\"\:\s*4624.*?LogonType\"\:\s*\"2\" |
| Erfolgreiche Anmeldung – Batch-Anmeldung (LogonType=4) | "EventID\"\:\s*4624.*?LogonType\"\:\s*\"4\" |
| Erfolgreiche Anmeldung – Dienstanmeldung (LogonType=5) | "EventID\"\:\s*4624.*?LogonType\"\:\s*\"5\" |
| Erfolgreiche Anmeldung – RemoteInteractive-Anmeldung (LogonType=10) | "EventID\"\:\s*4624.*?LogonType\"\:\s*\"10\" |
| Anmeldung erfolgreich – interaktiv, Batch, Dienst oder RemoteInteractive | (?:"EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\" |
Anmeldefehlerereignisse finden
Mit diesen regulären Ausdrücken werden Arten von fehlgeschlagenen Anmeldeereignissen anhand der Attribute „EventID“ und „LogonType“ identifiziert.
| Art der Veranstaltung | Regulärer Ausdruck |
| Fehler bei der Anmeldung | "EventID\"\:\s*4625 |
| Fehlgeschlagene interaktive Anmeldung (LogonType=2) | "EventID\"\:\s*4625.*?LogonType\"\:\s*\"2\" |
| Fehler bei der Anmeldung – Batch-Anmeldung (LogonType=4) | "EventID\"\:\s*4625.*?LogonType\"\:\s*\"4\" |
| Fehler bei der Anmeldung – Dienstanmeldung (LogonType=5) | "EventID\"\:\s*4625.*?LogonType\"\:\s*\"5\" |
| Fehler bei der Anmeldung – RemoteInteractive-Anmeldung (LogonType=10) | "EventID\"\:\s*4625.*?LogonType\"\:\s*\"10\" |
| Anmeldefehler – interaktiv, Batch, Dienst oder RemoteInteractive | (?:"EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\" |
Prozess-, Dienst- und Aufgabenereignisse finden
Mit diesen regulären Ausdrücken werden bestimmte Prozess- und Dienstereignisse anhand des Attributs „EventID“ identifiziert.
| Art der Veranstaltung | Regulärer Ausdruck |
| Prozessstart | "EventID\"\:\s*4688 |
| Prozess beenden | "EventID\"\:\s*4689 |
| Dienst installiert | "EventID\"\:\s*4697 |
| Neuer Dienst erstellt | "EventID\"\:\s*7045 |
| Geplante Aufgabe erstellt | "EventID\"\:\s*4698 |
Ereignisse im Zusammenhang mit dem Objektzugriff finden
Mit diesen regulären Ausdrücken werden verschiedene Arten von prozess- und dienstbezogenen Ereignissen anhand des Attributs „EventID“ identifiziert.
| Art der Veranstaltung | Regulärer Ausdruck |
| Audit-Log gelöscht | "EventID\"\:\s*1102 |
| Versuchter Objektzugriff | "EventID\"\:\s*4663 |
| Freigegebene Inhalte aufrufen | "EventID\"\:\s*5140 |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten