使用原始記錄搜尋功能
執行搜尋時,Google Security Operations 會先檢查已擷取、剖析及正規化的安全性資料。如果找不到標準化資料,可以使用原始記錄搜尋功能檢查未經剖析的原始記錄。您也可以使用規則運算式,更詳細地檢查原始記錄。
您可以使用原始記錄搜尋功能,調查記錄中出現 (但未編入索引) 的構件,包括:
- 使用者名稱
- 檔案名稱
- 登錄檔機碼
- 指令列引數
- 與原始 HTTP 要求相關的資料
- 以規則運算式為準的網域名稱
- 資產命名空間和地址
原始記錄檔搜尋
您可以使用登陸頁面或選單列中的「搜尋」列,執行原始記錄搜尋。選擇下列其中一種做法:
使用 raw= 格式
您可以使用 raw= 格式查詢原始記錄。這是建議做法。
- 如要搜尋子字串,請在搜尋字詞前後加上引號。例如:
raw = "ABC"。 - 如要使用規則運算式搜尋,請在運算式前後加上正斜線 (/)。
例如:
raw = /AB*C/。
舊版方法:使用原始記錄搜尋提示
- 在「搜尋」列中輸入至少四個字元的搜尋字串 (例如 MD5 雜湊),包括萬用字元。
- 如果搜尋沒有結果,系統會顯示「原始記錄搜尋」選項。
- 選用:指定「開始時間」和「結束時間」。預設範圍為最近 7 天。
- 選用:在「記錄來源」清單中,選取一或多個記錄來源。預設設定為「全部」。
- 按一下 [搜尋]。
系統會顯示與搜尋字串相關的事件。按一下「箭頭」即可開啟對應的原始記錄。
規則運算式
您可以在 Google SecOps 中使用規則運算式,在安全性資料中搜尋及比對字元字串集。規則運算式可協助您使用資訊片段縮小搜尋範圍,不必完全相符。
如要使用規則運算式語法執行搜尋,請按照下列步驟操作:
- 在「搜尋」欄位中輸入規則運算式。規則運算式長度必須介於 4 至 66 個字元之間。
- 選取「以規則運算式執行查詢」核取方塊,然後按一下「搜尋」。
Google SecOps 規則運算式基礎架構是以開放原始碼規則運算式引擎 Google RE2 為基礎。Google SecOps 使用相同的規則運算式語法。
下表列出一些常用的規則運算式語法,供您用於搜尋。
| 任何字元 | . |
| x 個任意字元 | {x} |
| 字元類別 | [xyz] |
| 否定字元類別 | [^xyz] |
| 英數字元 (0-9A-Za-z) | [[:alnum:]] |
| 字母 (A-Za-z) | [[:alpha:]] |
| 數字 (0-9) | [[:digit:]] |
| 小寫 (a-z) | [[:lower:]] |
| 大寫 (A-Z) | [[:upper:]] |
| 文字字元 (0-9A-Za-z_) | [[:word:]] |
| 十六進位數字 (0-9A-Fa-f) | [[:xdigit:]] |
| 問號符號 (?) | 符合前一個元素出現零次或一次的情況。 |
| 星號 (*) | 比對前接字元或群組出現零次或多次的情況。 |
| 加號 (+) | 比對前一個字元或群組出現一或多次的情況。 |
以下範例說明如何使用規則運算式搜尋資料:
goo.le\.com:比對開頭為goo的任何字串,後面接任何單一字元,再接le.com,例如google.com或goo0le.com。goo\w{3}\.com:比對開頭為goo的字串,後面接著正好三個單字字元 (\w),並以.com結尾。例如google.com、goojle.com或goodle.com。[[:digit:]]\.[[:alpha:]]:比對的字串必須包含一個數字、一個半形句號 (.),以及一個英文字母,例如34323.system、23458.office或897.net。
搜尋 Windows 記錄的規則運算式範例
本節提供可搭配 Google SecOps 原始記錄搜尋使用的規則運算式查詢字串,方便您尋找常見的 Windows 監控事件。這些範例假設 Windows 記錄訊息採用 JSON 格式。
如要進一步瞭解常見的監控 Windows 事件 ID,請參閱「要監控的事件」。提供的範例遵循類似模式,如這些用途所述。
| 用途:傳回 EventID 為 1150 的事件 | |
| 規則運算式字串: | \"EventID\"\:\s*1150 |
| 相符的值: | "EventID":1150 |
| 用途:傳回活動 ID 為 1150 或 1151 的活動 | |
| 規則運算式字串 | (?:\"EventID\"\:\s*)(?:1150|1151) |
| 相符的值 | "EventID":1150 和 "EventID":1151 |
| 用途:傳回事件 ID 為 1150 或 1151,且 ThreadID 為 9092 的事件 | |
| 規則運算式字串 | (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092) |
| 相符的值 | "EventID":1150 <...any number of characters...> "ThreadID":9092
和 "EventID":1151 <...any number of characters...> "ThreadID":9092 |
尋找帳戶管理事件
這些規則運算式查詢字串會使用 EventID 屬性,找出常見的帳戶管理事件。
| 活動類型 | 規則運算式 |
| 已建立使用者帳戶 | "EventID\"\:\s*4720 |
| 已啟用使用者帳戶 | "EventID\"\:\s*4722 |
| 使用者帳戶已停用 | "EventID\"\:\s*4725 |
| 使用者帳戶已刪除 | "EventID\"\:\s*4726 |
| 修改使用者權限 | "EventID\"\:\s*4703 |
| 成員已新增至啟用安全性的全域群組 | "EventID\"\:\s*4728 |
| 已從啟用安全性的全域群組中移除成員 | "EventID\"\:\s*4729 |
| 已刪除啟用安全性的全域群組 | "EventID\"\:\s*4730 |
尋找登入成功事件
這些規則運算式查詢字串會使用 EventID 和 LogonType 屬性,識別成功登入事件的類型。
| 活動類型 | 規則運算式 |
| 登入成功 | "EventID\"\:\s*4624 |
| 登入成功 - 互動式 (LogonType=2) | "EventID\"\:\s*4624.*?LogonType\"\:\s*\"2\" |
| 登入成功 - 批次登入 (LogonType=4) | "EventID\"\:\s*4624.*?LogonType\"\:\s*\"4\" |
| 登入成功 - 服務登入 (LogonType=5) | "EventID\"\:\s*4624.*?LogonType\"\:\s*\"5\" |
| 登入成功 - RemoteInteractive 登入 (LogonType=10) | "EventID\"\:\s*4624.*?LogonType\"\:\s*\"10\" |
| 登入成功 - 互動式、批次、服務或遠端互動式 | (?:"EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\" |
尋找登入失敗事件
這些規則運算式查詢字串會使用 EventID 和 LogonType 屬性,識別登入失敗事件的類型。
| 活動類型 | 規則運算式 |
| 登入失敗 | "EventID\"\:\s*4625 |
| 登入失敗 - 互動式 (LogonType=2) | "EventID\"\:\s*4625.*?LogonType\"\:\s*\"2\" |
| 登入失敗 - 批次登入 (LogonType=4) | "EventID\"\:\s*4625.*?LogonType\"\:\s*\"4\" |
| 登入失敗 - 服務登入 (LogonType=5) | "EventID\"\:\s*4625.*?LogonType\"\:\s*\"5\" |
| 登入失敗 - RemoteInteractive 登入 (LogonType=10) | "EventID\"\:\s*4625.*?LogonType\"\:\s*\"10\" |
| 登入失敗 - 互動式、批次、服務或遠端互動式 | (?:"EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\" |
尋找程序、服務和工作事件
這些規則運算式查詢字串會使用 EventID 屬性,識別特定程序和服務事件。
| 活動類型 | 規則運算式 |
| 程序開始 | "EventID\"\:\s*4688 |
| 程序結束 | "EventID\"\:\s*4689 |
| 已安裝服務 | "EventID\"\:\s*4697 |
| 已建立新服務 | "EventID\"\:\s*7045 |
| 已建立排定的工作 | "EventID\"\:\s*4698 |
尋找與物件存取權相關的事件
這些規則運算式查詢字串會使用 EventID 屬性,識別不同類型的程序和服務相關事件。
| 活動類型 | 規則運算式 |
| 稽核記錄已清除 | "EventID\"\:\s*1102 |
| 嘗試存取物件 | "EventID\"\:\s*4663 |
| 共用存取權 | "EventID\"\:\s*5140 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。