Unformatierte Logs mit dem Standard-Logscan durchsuchen
Wenn Sie eine Suche durchführen, werden in Google Security Operations zuerst die Sicherheitsdaten geprüft, die aufgenommen, analysiert und normalisiert wurden. Wenn die gesuchten Informationen in den normalisierten Daten nicht gefunden werden, können Sie die Rohlogs mit der Funktion „Rohprotokollsuche“ untersuchen. Sie können auch reguläre Ausdrücke verwenden, um die Rohprotokolle genauer zu untersuchen.
Mit der Funktion „Raw Log Scan“ können Sie Artefakte untersuchen, die in Protokollen erscheinen, aber nicht indexiert werden. Dazu gehören:
- Nutzernamen
- Dateinamen
- Registry-Schlüssel
- Befehlszeilenargumente
- Rohdaten zu HTTP-Anfragen
- Domainnamen basierend auf regulären Ausdrücken
- Asset-Namespaces und ‑Adressen
Rohlog-Scan
Wenn Sie die Rohlogs-Suche verwenden möchten, geben Sie einen Suchstring in das Suchfeld auf der Landingpage oder in der Menüleiste ein (z. B. einen MD5-Hash). Geben Sie mindestens 4 Zeichen ein (einschließlich Platzhalter). Wenn das Google Security Operations-Team den Suchstring nicht finden kann, wird die Option Raw Logs Scan (Scan von Rohlogs) geöffnet. Geben Sie die Startzeit und die Endzeit an (Standardeinstellung: 1 Woche) und klicken Sie auf SUCHEN.
Scannen von Rohlogs von der Landingpage
Es werden Ereignisse angezeigt, die mit dem Suchstring verknüpft sind. Sie können das zugehörige Rohprotokoll öffnen, indem Sie auf die Pfeilschaltfläche klicken.
Sie können auch auf das Drop-down-Menü „Log-Quellen“ klicken und eine oder mehrere der Datenquellen auswählen, die Sie zur Suche an Google Security Operations senden. Die Standardeinstellung ist Alle.
Reguläre Ausdrücke
Mit regulären Ausdrücken können Sie mit Google Security Operations nach Zeichenfolgen in Ihren Sicherheitsdaten suchen und diese abgleichen. Mit regulären Ausdrücken können Sie Ihre Suche mithilfe von Informationsfragmenten eingrenzen, anstatt beispielsweise einen vollständigen Domainnamen zu verwenden.
Wenn Sie eine Suche mit regulären Ausdrücken ausführen möchten, geben Sie die Suchanfrage mit dem regulären Ausdruck in das Feld Suchen ein, klicken Sie das Kästchen Abfrage als regulären Ausdruck ausführen an und klicken Sie auf SUCHEN. Der reguläre Ausdruck muss zwischen 4 und 66 Zeichen lang sein.
Standard-Logscan als regulärer Ausdruck ausgeführt
Die reguläre Ausdrucksinfrastruktur von Google Security Operations basiert auf Google RE2, einer Open-Source-Engine für reguläre Ausdrücke. Google Security Operations verwendet dieselbe reguläre Ausdruckssyntax. Weitere Informationen finden Sie in der RE2-Dokumentation.
In der folgenden Tabelle sind einige der gängigen regulären Ausdruckssyntaxen aufgeführt, die Sie für Ihre Suchanfragen verwenden können.
| Beliebiges Zeichen | . |
| x beliebige Zeichen | {x} |
| Zeichenklasse | [xyz] |
| Negierte Zeichenklasse | [^xyz] |
| Alphanumerisch (0–9A–Za–z) | [[:alnum:]] |
| Alphabetisch (A–Z, a–z) | [[:alpha:]] |
| Ziffern (0–9) | [[:digit:]] |
| Kleinbuchstaben (a–z) | [[:lower:]] |
| Großbuchstaben (A–Z) | [[:upper:]] |
| Wortzeichen (0–9A–Za–z_) | [[:word:]] |
| Hexadezimalzahl (0–9A–Fa–f) | [[:xdigit:]] |
In den folgenden Beispielen wird gezeigt, wie Sie diese Syntax verwenden können, um in Ihren Daten zu suchen:
goo.le\.com– entsprichtgoogle.com,goooogle.comusw.goo\w{3}\.com– stimmt mitgoogle.com,goodle.com,goojle.comusw. überein[[:digit:]]\.[[:alpha:]]– entspricht34323.system,23458.office,897.netusw.
Beispiele für reguläre Ausdrücke zur Suche nach Windows-Protokollen
In diesem Abschnitt finden Sie reguläre Ausdrucksabfragestrings, die Sie mit dem Google Security Operations-Scan für Rohlogs verwenden können, um häufig überwachte Windows-Ereignisse zu finden. In diesen Beispielen wird davon ausgegangen, dass die Windows-Protokollmeldungen im JSON-Format vorliegen.
Weitere Informationen zu häufig überwachten Windows-Ereignis-IDs finden Sie in der Microsoft-Dokumentation unter Zu überwachende Ereignisse. Die bereitgestellten Beispiele folgen einem ähnlichen Muster, das in diesen Anwendungsfällen beschrieben wird.
| Anwendungsbeispiel: Ereignisse mit der Ereignis-ID 1150 zurückgeben | |
| Regex-String: | \"EventID\"\:\s*1150 |
| Übereinstimmende Werte: | „EventID“:1150 |
| Beispiel:Ereignisse mit der Ereignis-ID 1150 oder 1151 zurückgeben | |
| Regex-String | (?:\"EventID\"\:\s*)(?:1150|1151) |
| Werte stimmen überein | „EventID“:1150 und „EventID“:1151 |
| Beispiel: Ereignisse mit der Ereignis-ID 1150 oder 1151 und der Bedrohungs-ID 9092 zurückgeben | |
| Regex-String | (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092) |
| Werte stimmen überein | „EventID“:1150 <…beliebige Anzahl von Zeichen…> „ThreadID“:9092
und "EventID“:1151 <…beliebige Anzahl von Zeichen…> „ThreadID“:9092 |
Ereignisse zur Kontoverwaltung ansehen
Mit diesen regulären Ausdrucks-Suchstrings werden gängige Ereignisse zur Kontoverwaltung anhand des Attributs „Ereignis-ID“ identifiziert.
| Art des Ereignisses | Regulärer Ausdruck |
| Nutzerkonto erstellt | EventID\"\:\s*4720 |
| Nutzerkonto aktiviert | Ereignis-ID\"\:\s*4722 |
| Nutzerkonto deaktiviert | EventID\"\:\s*4725 |
| Nutzerkonto gelöscht | EventID\"\:\s*4726 |
| Änderung der Nutzerrechte | EventID\"\:\s*4703 |
| Mitglied zu einer globalen Gruppe mit aktivierter Sicherheit hinzugefügt | EventID\"\:\s*4728 |
| Mitglied aus einer globalen Gruppe mit aktivierter Sicherheit entfernt | EventID\"\:\s*4729 |
| Globale Gruppe mit aktivierter Sicherheit wurde gelöscht | EventID\"\:\s*4730 |
Ereignisse für erfolgreiche Anmeldungen finden
Mit diesen regulären Ausdruck-Abfragestrings werden Typen erfolgreicher Anmeldevorgänge anhand der Attribute „EventID“ und „LogonType“ identifiziert.
| Art des Ereignisses | Regulärer Ausdruck |
| Anmeldung erfolgreich | Ereignis-ID\"\:\s*4624 |
| Anmeldung erfolgreich – interaktiv (LogonType=2) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"2\" |
| Anmeldung erfolgreich – Batch-Anmeldung (LogonType=4) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"4\" |
| Anmeldung erfolgreich – Dienstanmeldung (LogonType=5) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"5\" |
| Logon Success - RemoteInteractive Login (LogonType=10) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"10\" |
| Erfolgreiche Anmeldung – interaktiv, Batch, Dienst oder RemoteInteractive | (?:EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\" |
Anmeldefehlereignisse finden
Mit diesen regulären Ausdrucks-Suchstrings werden Typen fehlgeschlagener Anmeldevorgänge anhand der Attribute „EventID“ und „LogonType“ identifiziert.
| Art des Ereignisses | Regulärer Ausdruck |
| Anmeldung fehlgeschlagen | EventID\"\:\s*4625 |
| Anmeldefehler – interaktiv (LogonType=2) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"2\" |
| Anmeldefehler – Batch-Anmeldung (LogonType=4) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"4\" |
| Anmeldung fehlgeschlagen – Dienstanmeldung (LogonType=5) | Ereignis-ID\"\:\s*4625.*?LogonType\"\:\s*\"5\" |
| Logon Failure - RemoteInteractive Login (LogonType=10) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"10\" |
| Anmeldefehler – interaktiv, Batch, Dienst oder RemoteInteractive | (?:EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\" |
Prozess-, Dienst- und Aufgabenereignisse finden
Mit diesen regulären Ausdruck-Suchstrings werden bestimmte Prozess- und Dienstereignisse anhand des Attributs „Ereignis-ID“ identifiziert.
| Art des Ereignisses | Regulärer Ausdruck |
| Prozessstart | EventID\"\:\s*4688 |
| Prozessende | EventID\"\:\s*4689 |
| Dienst installiert | Ereignis-ID\"\:\s*4697 |
| Neuer Dienst erstellt | EventID\"\:\s*7045 |
| Geplante Aufgabe erstellt | Ereignis-ID\"\:\s*4698 |
Ereignisse im Zusammenhang mit dem Objektzugriff finden
Mit diesen regulären Ausdrucks-Suchstrings werden verschiedene Arten von prozess- und dienstbezogenen Ereignissen anhand des Attributs „Ereignis-ID“ identifiziert.
| Art des Ereignisses | Regulärer Ausdruck |
| Audit-Log gelöscht | EventID\"\:\s*1102 |
| Versuch des Zugriffs auf Objekt | EventID\"\:\s*4663 |
| Zugriff teilen | Ereignis-ID\"\:\s*5140 |