Rechercher des journaux bruts à l'aide de l'analyse des journaux bruts
Lorsque vous effectuez une recherche, Google Security Operations examine d'abord les données de sécurité qui ont été ingérées, analysées et normalisées. Si les informations que vous recherchez ne figurent pas dans les données normalisées, vous pouvez utiliser l'analyse des journaux bruts pour examiner les journaux bruts non analysés. Vous pouvez également utiliser des expressions régulières pour examiner de plus près les journaux bruts.
Vous pouvez utiliser l'analyse des journaux bruts pour examiner les artefacts qui apparaissent dans les journaux, mais qui ne sont pas indexés, y compris :
- Noms d'utilisateur
- Noms de fichiers
- Clés de registre
- Arguments de ligne de commande
- Données brutes liées aux requêtes HTTP
- Noms de domaine basés sur des expressions régulières
- Espaces de noms des éléments et adresses
Analyse des journaux bruts
Pour utiliser l'analyse de journaux bruts, saisissez une chaîne de recherche dans le champ de recherche du page de destination ou la barre de menu (un hachage MD5, par exemple). Saisissez au moins quatre caractères (y compris des caractères génériques). Si Google Security Operations ne parvient pas à trouver la chaîne de recherche, l'option Analyse des journaux bruts s'ouvre. Indiquez l'heure de début et Heure de fin (par défaut, une semaine) et cliquez sur RECHERCHER.
Analyse des journaux bruts à partir de la page de destination
Les événements associés à la chaîne de recherche s'affichent. Vous pouvez ouvrir le journal brut associé en cliquant sur le bouton de la flèche.
Vous pouvez également cliquer sur le menu déroulant "Sources de journaux" et sélectionner une ou plusieurs des sources de données que vous envoyez à Google Security Operations pour effectuer une recherche. Le paramètre par défaut est Tout.
Expressions régulières
Vous pouvez utiliser des expressions régulières pour rechercher et faire correspondre des jeux de caractères dans vos données de sécurité à l'aide de Google Security Operations. Les expressions régulières vous permettent d'affiner votre recherche à l'aide de fragments d'informations, plutôt que d'utiliser (par exemple) un nom de domaine complet.
Pour lancer une recherche à l'aide de la syntaxe d'expression régulière, saisissez votre recherche dans Rechercher avec l'expression régulière, cochez la case Exécuter la requête en tant qu'expression régulière. case à cocher, puis cliquez sur RECHERCHER. Votre expression régulière doit être comprise entre 4 et 66 caractères.
Exécution de l'analyse de journaux bruts en tant qu'expression régulière
L'infrastructure d'expressions régulières de Google Security Operations est basée sur Google RE2, un moteur d'expressions régulières Open Source. Google Security Operations utilise la même syntaxe d'expression régulière. Pour en savoir plus, consultez la documentation RE2.
Le tableau suivant présente certaines des syntaxes d'expressions régulières courantes que vous pouvez utiliser pour vos recherches.
| Tout caractère | . |
| nombre x de caractères quelconques | {x} |
| Classe de caractère | [xyz] |
| Classe de caractères inversée | [^xyz] |
| Alphanumérique (0-9A-Za-z) | [[:alnum:]] |
| Alphabétique (A-Za-z) | [[:alpha:]] |
| Chiffres (0-9) | [[:digit:]] |
| Minuscules (a-z) | [[:lower:]] |
| Majuscules (A-Z) | [[:upper:]] |
| Caractères de mot (0-9A-Za-z_) | [[:mot:]] |
| Chiffre hexadécimal (0-9A-Fa-f) | [[:xdigit:]] |
Les exemples suivants illustrent la manière dont vous pouvez utiliser cette syntaxe pour effectuer une recherche dans vos données:
goo.le\.com: correspond àgoogle.com,goooogle.com, etc.goo\w{3}\.com: correspond àgoogle.com,goodle.com,goojle.com, etc.[[:digit:]]\.[[:alpha:]]: correspond à34323.system,23458.office,897.net, etc.
Exemples d'expressions régulières pour rechercher des journaux Windows
Cette section fournit des chaînes de requête d'expression régulière que vous pouvez utiliser avec l'analyse de journaux bruts Google Security Operations pour identifier les événements Windows couramment surveillés. Ces exemples supposent que les messages de journal Windows sont au format JSON.
Pour en savoir plus sur les ID d'événement Windows couramment surveillés, consultez la section Événements à surveiller dans la documentation Microsoft. Les exemples fournis suivent un schéma similaire, décrit dans ces cas d'utilisation.
| Cas d'utilisation: renvoyer des événements associés à l'ID d'événement 1150 | |
| Chaîne d'expression régulière: | \"IDévénement\"\:\s*1150 |
| Valeurs mises en correspondance : | "EventID":1150 |
| Cas d'utilisation : renvoyer des événements avec un ID d'événement de 1150 ou 1151 | |
| Chaîne d'expression régulière | (?:\"EventID\"\:\s*)(?:1150|1151) |
| Valeurs correspondantes | "EventID":1150 et "EventID":1151 |
| Cas d'utilisation: renvoyer des événements dont l'ID d'événement est 1150 ou 1151, et dont l'ID de menace est 9092 | |
| Chaîne d'expression régulière | (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092) |
| Valeurs mises en correspondance | "EventID":1150 <...any number of characters...> "ThreadID":9092
et "EventID":1151 <...any number of characters...glt; "ThreadID":9092 |
Rechercher des événements de gestion de compte
Ces chaînes de requêtes d'expression régulière identifient les événements de gestion de compte courants à l'aide de l'attribut EventID.
| Type d'événement | Expression régulière |
| Compte utilisateur créé | EventID\"\:\s*4720 |
| Compte utilisateur activé | EventID\"\:\s*4722 |
| Compte utilisateur désactivé | EventID\"\:\s*4725 |
| Compte utilisateur supprimé | IDévénement\"\:\s*4726 |
| modification des droits d’utilisateur | EventID\"\:\s*4703 |
| Membre ajouté au groupe global avec sécurité activée | IDévénement\"\:\s*4728 |
| Membre supprimé du groupe global avec sécurité activée | EventID\"\:\s*4729 |
| Groupe global activé pour la sécurité supprimé | EventID\"\:\s*4730 |
Rechercher les événements de réussite d’ouverture de session
Ces chaînes de requêtes d'expression régulière identifient les types d'événements de connexion réussis à l'aide des attributs EventID et LogonType.
| Type d'événement | Expression régulière |
| Connexion réussie | IDévénement\"\:\s*4624 |
| Connexion réussie - Interactif (LogonType=2) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"2\" |
| Connexion réussie : connexion par lot (LogonType=4) | IDévénement\"\:\s*4624.*?Typed'authentification\"\:\s*\"4\" |
| Connexion réussie - Connexion au service (Type d’authentification=5) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"5\" |
| Connexion réussie : connexion RemoteInteractive (LogonType=10) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"10\" |
| Logon Success - Interactive, Batch, Service, or RemoteInteractive | (?:EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\" |
Rechercher des événements de défaillance de connexion
Ces chaînes de requête d'expression régulière identifient les types d'événements d'ouverture de session ayant échoué à l'aide des attributs EventID et LogonType.
| Type d'événement | Expression régulière |
| Échec de la connexion | EventID\"\:\s*4625 |
| Échec de connexion - Interactif (LogonType=2) | IDévénement\"\:\s*4625.*?Typed'authentification\"\:\s*\"2\" |
| Échec de la connexion : connexion par lot (LogonType=4) | IDévénement\"\:\s*4625.*?Typed'authentification\"\:\s*\"4\" |
| Échec d’ouverture de session - Connexion au service (Type d’authentification=5) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"5\" |
| Échec de la connexion : connexion RemoteInteractive (LogonType=10) | IDévénement\"\:\s*4625.*?Typed'authentification\"\:\s*\"10\" |
| Échec de la connexion : interactive, par lot, service ou RemoteInteractive | (?:EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\" |
Rechercher des événements de processus, de service et de tâche
Ces chaînes de requêtes d'expression régulière identifient certains événements de processus et de service à l'aide de l'attribut EventID.
| Type d'événement | Expression régulière |
| Début du processus | EventID\"\:\s*4688 |
| Sortie du processus | IDévénement\"\:\s*4689 |
| Service installé | EventID\"\:\s*4697 |
| Nouveau service créé | EventID\"\:\s*7045 |
| Planifier la création de la tâche | EventID\"\:\s*4698 |
Rechercher les événements liés à l'accès aux objets
Ces chaînes de requête d'expression régulière identifient différents types d'événements liés aux processus et aux services à l'aide de l'attribut EventID.
| Type d'événement | Expression régulière |
| Journal d'audit effacé | IDévénement\"\:\s*1102 |
| Tentative d'accès à l'objet | IDévénement\"\:\s*4663 |
| Partage consulté | EventID\"\:\s*5140 |