Unformatierte Logs mit dem Standard-Logscan durchsuchen
Wenn Sie eine Suche durchführen, werden in Google Security Operations zuerst die Sicherheitsdaten geprüft, die aufgenommen, analysiert und normalisiert wurden. Wenn die gesuchten Informationen in den normalisierten Daten nicht gefunden werden, können Sie den Rohlogscan verwenden, um die nicht geparsten Rohdaten zu prüfen. Sie können auch reguläre Ausdrücke verwenden, um die Rohlogs genauer zu untersuchen.
Mit dem Raw-Logscan können Sie Artefakte untersuchen, die in Logs angezeigt, aber nicht indexiert sind. Dazu gehören:
- Nutzernamen
- Dateinamen
- Registrierungsschlüssel
- Befehlszeilenargumente
- Rohdaten zu HTTP-Anfragen
- Domainnamen basierend auf regulären Ausdrücken
- Asset-Namespaces und ‐Adressen
Rohlog-Scan
Um den Raw Log Scan zu verwenden, geben Sie eine Suchzeichenfolge in das Suchfeld auf der Landingpage oder Menüleiste (z. B. ein MD5-Hash) zu öffnen. Geben Sie mindestens 4 Zeichen ein (einschließlich Platzhalter). Wenn Google Security Operations die Suche nicht finden kann String enthält, wird die Option Raw Logs Scan (Raw-Log-Scan) geöffnet. Geben Sie die Startzeit und Ende – der Standardwert ist eine Woche. Klicken Sie dann auf SUCHEN.
Raw-Log-Scan von der Landingpage
Ereignisse, die mit der Suchzeichenfolge verknüpft sind, werden angezeigt. Sie können die das zugehörige Rohprotokoll an, indem Sie auf die Pfeilschaltfläche klicken.
Sie können auch auf das Drop-down-Menü „Log-Quellen“ klicken und eine oder mehrere der Datenquellen auswählen, die Sie zur Suche an Google Security Operations senden. Die Standardeinstellung ist Alle.
Reguläre Ausdrücke
Mit regulären Ausdrücken können Sie mit Google Security Operations nach Zeichenfolgen in Ihren Sicherheitsdaten suchen und diese abgleichen. Reguläre Ausdrücke können Sie Ihre Suche mithilfe von Informationsfragmenten eingrenzen, und nicht z. B. einen vollständigen Domainnamen verwenden.
Um eine Suche mit der Syntax für reguläre Ausdrücke durchzuführen, geben Sie Ihre Suchanfrage in das Suchen mit dem regulären Ausdruck, klicken Sie das Kästchen Abfrage als Regex ausführen an. und klicken Sie auf SUCHEN. Der reguläre Ausdruck muss zwischen 4 und 66 Zeichen lang sein.
Ausführung des Scans von Rohprotokollen als regulärer Ausdruck
Die Google Security Operations-Infrastruktur für reguläre Ausdrücke basiert auf Google RE2, einer Open-Source-Engine für reguläre Ausdrücke. Google Security Operations verwendet dieselbe reguläre Ausdruckssyntax. Weitere Informationen finden Sie in der RE2-Dokumentation.
In der folgenden Tabelle sind einige der gängigen regulären Ausdruckssyntaxen aufgeführt, die Sie für Ihre Suchanfragen verwenden können.
| Beliebiges Zeichen | . |
| x Anzahl beliebiger Zeichen | {x} |
| Zeichenklasse | [xyz] |
| Negierte Zeichenklasse | [^xyz] |
| Alphanumerisch (0–9A–Za–z) | [[:alnum:]] |
| Alphabetisch (A–Z, a–z) | [[:alpha:]] |
| Ziffern (0–9) | [[:digit:]] |
| Kleinschreibung (a–z) | [[:lower:]] |
| Großbuchstaben (A–Z) | [[:upper:]] |
| Wortzeichen (0–9A–Za–z_) | [[:word:]] |
| Hexadezimalzahl (0–9A–Fa–f) | [[:xdigit:]] |
Die folgenden Beispiele veranschaulichen, wie Sie mit dieser Syntax Ihre Daten durchsuchen können:
goo.le\.com– entsprichtgoogle.com,goooogle.comusw.goo\w{3}\.com– entsprichtgoogle.com,goodle.com,goojle.comusw.[[:digit:]]\.[[:alpha:]]– entspricht34323.system,23458.office,897.netusw.
Beispiele für reguläre Ausdrücke zur Suche nach Windows-Protokollen
In diesem Abschnitt finden Sie reguläre Ausdrucksabfragestrings, die Sie mit dem Google Security Operations-Scan für Rohlogs verwenden können, um häufig überwachte Windows-Ereignisse zu finden. In diesen Beispielen wird davon ausgegangen, dass die Windows-Protokollmeldungen im JSON-Format vorliegen.
Weitere Informationen zu häufig überwachten Windows-Ereignis-IDs finden Sie in der Microsoft-Dokumentation unter Zu überwachende Ereignisse. Die bereitgestellten Beispiele folgen einem ähnlichen Muster, das in diesen Anwendungsfällen beschrieben wird.
| Anwendungsfall: Ereignisse mit der EventID 1150 zurückgeben | |
| Regex-String: | \"Ereignis-ID\"\:\s*1150 |
| Übereinstimmende Werte: | „EventID“:1150 |
| Anwendungsfall:Ereignisse mit der Ereignis-ID 1150 oder 1151 zurückgeben | |
| Regex-String | (?:\"EventID\"\:\s*)(?:1150|1151) |
| Werte stimmen überein | "EventID":1150 und "EventID":1151 |
| Beispiel: Ereignisse mit der Ereignis-ID 1150 oder 1151 und der Bedrohungs-ID 9092 zurückgeben | |
| Regex-String | (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092) |
| Übereinstimmende Werte | "EventID":1150 <...beliebig viele Zeichen...> "ThreadID":9092
und "EventID":1151 <...beliebige Anzahl von Zeichen...glt; "ThreadID":9092 |
Veranstaltungen zur Kontoverwaltung finden
Mit diesen regulären Ausdrucks-Suchstrings werden gängige Ereignisse zur Kontoverwaltung mithilfe des Attributs „Ereignis-ID“ identifiziert.
| Ereignistyp | Regulärer Ausdruck |
| Nutzerkonto erstellt | EventID\"\:\s*4720 |
| Nutzerkonto aktiviert | Ereignis-ID\"\:\s*4722 |
| Nutzerkonto deaktiviert | EventID\"\:\s*4725 |
| Nutzerkonto gelöscht | EventID\"\:\s*4726 |
| Änderung der Nutzerrechte | EventID\"\:\s*4703 |
| Mitglied zu einer globalen Gruppe mit aktivierter Sicherheit hinzugefügt | EventID\"\:\s*4728 |
| Mitglied aus einer globalen Gruppe mit aktivierter Sicherheit entfernt | EventID\"\:\s*4729 |
| Globale Gruppe mit aktivierter Sicherheit wurde gelöscht | EventID\"\:\s*4730 |
Ereignisse für erfolgreiche Anmeldungen finden
Diese Abfragestrings für reguläre Ausdrücke identifizieren Typen erfolgreicher Anmeldeereignisse mithilfe der Attribute EventID und LogonType.
| Art des Ereignisses | Regulärer Ausdruck |
| Anmeldung erfolgreich | Ereignis-ID\"\:\s*4624 |
| Anmeldung erfolgreich – Interaktiv (Anmeldetyp=2) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"2\" |
| Anmeldung erfolgreich – Batch-Anmeldung (Anmeldetyp=4) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"4\" |
| Anmeldung erfolgreich – Dienstanmeldung (LogonType=5) | EventID\"\:\s*4624.*?Anmeldetyp\"\:\s*\"5\" |
| Anmeldung erfolgreich – RemoteInteractive Login (LogonType=10) | EventID\"\:\s*4624.*?Anmeldetyp\"\:\s*\"10\" |
| Erfolgreiche Anmeldung – interaktiv, Batch, Dienst oder RemoteInteractive | (?:EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\" |
Anmeldefehlereignisse finden
Mit diesen regulären Ausdrucks-Suchstrings werden Typen fehlgeschlagener Anmeldevorgänge anhand der Attribute „EventID“ und „LogonType“ identifiziert.
| Ereignistyp | Regulärer Ausdruck |
| Anmeldefehler | EventID\"\:\s*4625 |
| Anmeldefehler – Interaktiv (Anmeldetyp=2) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"2\" |
| Logon Failure - Batch Login (LogonType=4) | EventID\"\:\s*4625.*?Anmeldetyp\"\:\s*\"4\" |
| Anmeldefehler – Dienstanmeldung (LogonType=5) | Ereignis-ID\"\:\s*4625.*?LogonType\"\:\s*\"5\" |
| Logon Failure - RemoteInteractive Login (LogonType=10) | EventID\"\:\s*4625.*?Anmeldetyp\"\:\s*\"10\" |
| Anmeldefehler – interaktiv, Batch, Dienst oder RemoteInteractive | (?:EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\" |
Prozess-, Dienst- und Aufgabenereignisse finden
Diese Abfragestrings für reguläre Ausdrücke identifizieren mithilfe des Attributs "EventID" bestimmte Prozess- und Dienstereignisse.
| Art des Ereignisses | Regulärer Ausdruck |
| Prozessstart | EventID\"\:\s*4688 |
| Prozessende | EventID\"\:\s*4689 |
| Dienst installiert | Ereignis-ID\"\:\s*4697 |
| Neuer Dienst erstellt | EventID\"\:\s*7045 |
| Erstellte Aufgabe planen | EventID\"\:\s*4698 |
Ereignisse im Zusammenhang mit dem Objektzugriff suchen
Diese Abfragestrings für reguläre Ausdrücke identifizieren mithilfe des Attributs „EventID“ verschiedene Arten von prozess- und dienstbezogenen Ereignissen.
| Art des Ereignisses | Regulärer Ausdruck |
| Audit-Log gelöscht | EventID\"\:\s*1102 |
| Objektzugriff versucht | EventID\"\:\s*4663 |
| Zugriff teilen | Ereignis-ID\"\:\s*5140 |