Rohlogs mit Raw Log Scan durchsuchen
Wenn Sie eine Suche ausführen, prüft Google Security Operations zuerst die Sicherheitsdaten, die aufgenommen, geparst und normalisiert wurden. Wenn die gesuchten Informationen in den normalisierten Daten nicht gefunden werden, können Sie den Rohlogscan verwenden, um die nicht geparsten Rohdaten zu überprüfen. Sie können auch reguläre Ausdrücke verwenden, um die Rohlogs genauer zu untersuchen.
Mit dem Raw-Logscan können Sie Artefakte untersuchen, die in Logs angezeigt, aber nicht indexiert sind. Dazu gehören:
- Nutzernamen
- Dateinamen
- Registrierungsschlüssel
- Befehlszeilenargumente
- Rohdaten für die HTTP-Anfrage
- Domainnamen basierend auf regulären Ausdrücken
- Asset-Namespaces und ‐Adressen
Rohprotokollscan
Um den Raw Log Scan zu verwenden, geben Sie entweder auf der Landingpage oder in der Menüleiste eine Suchzeichenfolge in das Suchfeld ein (z. B. einen MD5-Hash). Geben Sie mindestens 4 Zeichen (einschließlich Platzhalter) ein. Wenn Google Security Operations den Suchstring nicht finden kann, wird die Option Raw Logs Scan geöffnet. Geben Sie die Start- und Endzeit an (der Standardwert ist 1 Woche) und klicken Sie auf SUCHEN.
Raw-Log-Scan von der Landingpage
Ereignisse, die mit der Suchzeichenfolge verknüpft sind, werden angezeigt. Sie können das zugehörige Rohlog öffnen, indem Sie auf die Pfeilschaltfläche klicken.
Sie können auch auf das Dropdown-Menü Protokollquellen klicken und eine oder mehrere Datenquellen auswählen, die Sie zum Suchen an Google Security Operations senden möchten. Die Standardeinstellung ist Alle.
Reguläre Ausdrücke
Sie können reguläre Ausdrücke verwenden, um mithilfe von Google Security Operations nach Zeichenfolgensätzen in Ihren Sicherheitsdaten zu suchen und diese abzugleichen. Mit regulären Ausdrücken können Sie Ihre Suche mithilfe von Informationsfragmenten eingrenzen, statt z. B. einen vollständigen Domainnamen zu verwenden.
Um eine Suche mit der Syntax für reguläre Ausdrücke auszuführen, geben Sie Ihre Suchanfrage mit dem regulären Ausdruck in das Feld Suchen ein, klicken Sie das Kästchen Abfrage als Regex ausführen an und klicken Sie dann auf SUCHEN. Der reguläre Ausdruck muss zwischen 4 und 66 Zeichen lang sein.
Ausführung des Scans von Rohlogs als regulärer Ausdruck
Die Google Security Operations-Infrastruktur für reguläre Ausdrücke basiert auf Google RE2, einer Open-Source-Engine für reguläre Ausdrücke. Google Security Operations verwendet dieselbe Syntax für reguläre Ausdrücke. Weitere Informationen finden Sie in der RE2-Dokumentation.
In der folgenden Tabelle sind einige gängige Syntaxen für reguläre Ausdrücke aufgeführt, die Sie für Ihre Suchanfragen verwenden können.
Beliebiges Zeichen | . |
x Anzahl beliebiger Zeichen | {x} |
Zeichenklasse | [xyz] |
Negierte Zeichenklasse | [^xyz] |
Alphanumerisch (0–9 A–Za–z) | [[:alnum:]] |
Alphabetisch (A–Za–z) | [[:alpha:]] |
Ziffern (0–9) | [[:Ziffer:]] |
Kleinschreibung (a–z) | [[:lower:]] |
Großschreibung (A–Z) | [[:upper:]] |
Wortzeichen (0-9A-Za-z_) | [[:word:]] |
Hexadezimalzahl (0-9A-Fa-f) | [[:xZiffer:]] |
Die folgenden Beispiele veranschaulichen, wie Sie mit dieser Syntax Ihre Daten durchsuchen können:
goo.le\.com
: entsprichtgoogle.com
,goooogle.com
usw.goo\w{3}\.com
– entsprichtgoogle.com
,goodle.com
,goojle.com
usw.[[:digit:]]\.[[:alpha:]]
– entspricht34323.system
,23458.office
,897.net
usw.
Beispiele für reguläre Ausdrücke für die Suche nach Windows-Protokollen
Dieser Abschnitt enthält Abfragestrings mit regulären Ausdrücken, die Sie mit dem Scan von Rohprotokollen von Google Security Operations verwenden können, um häufig überwachte Windows-Ereignisse zu finden. In diesen Beispielen wird davon ausgegangen, dass die Windows-Logmeldungen im JSON-Format vorliegen.
Weitere Informationen zu häufig überwachten Windows-Ereignis-IDs finden Sie in der Microsoft-Dokumentation unter Zu überwachende Ereignisse. Die bereitgestellten Beispiele folgen einem ähnlichen Muster, das in diesen Anwendungsfällen beschrieben wird.
Anwendungsfall: Ereignisse mit der EventID 1150 zurückgeben | |
Regex-String: | \"Ereignis-ID\"\:\s*1150 |
Übereinstimmende Werte: | "Ereignis-ID":1150 |
Anwendungsfall:Ereignisse mit der Ereignis-ID 1150 oder 1151 zurückgeben | |
Regex-String | (?:\"EventID\"\:\s*)(?:1150|1151) |
Übereinstimmende Werte | "EventID":1150 und "EventID":1151 |
Anwendungsfall: Ereignisse mit der Ereignis-ID 1150 oder 1151 und mit der ThreatID 9092 zurückgeben | |
Regex-String | (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092) |
Übereinstimmende Werte | "EventID":1150 <...beliebige Anzahl von Zeichen...> "ThreadID":9092
und "EventID":1151 <...beliebig viele Zeichen...glt; "ThreadID":9092 |
Veranstaltungen zur Kontoverwaltung finden
Diese Abfragestrings für reguläre Ausdrücke identifizieren gängige Kontoverwaltungsereignisse mithilfe des Attributs „EventID“.
Ereignistyp | Regulärer Ausdruck |
Nutzerkonto erstellt | EventID\"\:\s*4720 |
Nutzerkonto aktiviert | EventID\"\:\s*4722 |
Nutzerkonto deaktiviert | EventID\"\:\s*4725 |
Nutzerkonto gelöscht | EventID\"\:\s*4726 |
Änderung der Nutzerrechte | EventID\"\:\s*4703 |
Mitglied wurde der globalen Gruppe mit aktivierter Sicherheit hinzugefügt | EventID\"\:\s*4728 |
Mitglied aus globaler Gruppe mit aktivierter Sicherheit entfernt | EventID\"\:\s*4729 |
Globale Gruppe mit aktivierter Sicherheit wurde gelöscht | EventID\"\:\s*4730 |
Ereignisse bei erfolgreicher Anmeldung finden
Diese Abfragestrings für reguläre Ausdrücke identifizieren Typen erfolgreicher Anmeldeereignisse mithilfe der Attribute EventID und LogonType.
Ereignistyp | Regulärer Ausdruck |
Anmeldung erfolgreich | EventID\"\:\s*4624 |
Anmeldung erfolgreich – Interaktiv (Anmeldetyp=2) | EventID\"\:\s*4624.*?Anmeldetyp\"\:\s*\"2\" |
Anmeldung erfolgreich – Batch-Anmeldung (Anmeldetyp=4) | EventID\"\:\s*4624.*?Anmeldetyp\"\:\s*\"4\" |
Anmeldung erfolgreich – Dienstanmeldung (Anmeldetyp=5) | EventID\"\:\s*4624.*?Anmeldetyp\"\:\s*\"5\" |
Anmeldung erfolgreich - RemoteInteractive-Anmeldung (Anmeldetyp=10) | EventID\"\:\s*4624.*?Anmeldetyp\"\:\s*\"10\" |
Erfolgreiche Anmeldung – Interaktiv, Batch, Service oder RemoteInteractive | (?:EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\" |
Ereignisse zu Anmeldefehlern suchen
Diese Abfragestrings für reguläre Ausdrücke identifizieren die Arten fehlgeschlagener Anmeldeereignisse mithilfe der Attribute EventID und LogonType.
Ereignistyp | Regulärer Ausdruck |
Anmeldefehler | EventID\"\:\s*4625 |
Anmeldefehler – Interaktiv (Anmeldetyp=2) | EventID\"\:\s*4625.*?Anmeldetyp\"\:\s*\"2\" |
Fehlgeschlagene Anmeldung – Batch-Anmeldung (Anmeldetyp=4) | EventID\"\:\s*4625.*?Anmeldetyp\"\:\s*\"4\" |
Fehler bei der Anmeldung – Dienstanmeldung (Anmeldetyp=5) | EventID\"\:\s*4625.*?Anmeldetyp\"\:\s*\"5\" |
Anmeldefehler – RemoteInteractive-Anmeldung (Anmeldetyp=10) | EventID\"\:\s*4625.*?Anmeldetyp\"\:\s*\"10\" |
Fehler bei der Anmeldung – Interaktiv, Batch, Service oder RemoteInteractive | (?:EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\" |
Prozess-, Dienst- und Aufgabenereignisse finden
Diese Abfragestrings für reguläre Ausdrücke identifizieren mithilfe des Attributs "EventID" bestimmte Prozess- und Dienstereignisse.
Ereignistyp | Regulärer Ausdruck |
Prozessstart | EventID\"\:\s*4688 |
Prozessausstieg | EventID\"\:\s*4689 |
Dienst installiert | EventID\"\:\s*4697 |
Neuer Dienst erstellt | EventID\"\:\s*7045 |
Erstellte Aufgabe planen | EventID\"\:\s*4698 |
Ereignisse im Zusammenhang mit dem Objektzugriff suchen
Diese Abfragestrings für reguläre Ausdrücke identifizieren mithilfe des Attributs „EventID“ verschiedene Arten von prozess- und dienstbezogenen Ereignissen.
Ereignistyp | Regulärer Ausdruck |
Audit-Log gelöscht | EventID\"\:\s*1102 |
Objektzugriff versucht | EventID\"\:\s*4663 |
Freigabezugriff | EventID\"\:\s*5140 |