未加工ログスキャンを使用して未加工ログを検索する
検索を実行すると、Google Security Operations はまず、取り込まれ、解析され、正規化されたセキュリティ データを調べます。探している情報が正規化されたデータで見つからない場合は、未加工ログスキャンを使用して解析されていない未加工のログを調べることができます。また、正規表現を使用して未加工のログを詳しく調べることもできます。
未加工ログスキャンを使用して、次のような、ログに表示されるているもののインデックスに登録されていないアーティファクトを調査できます。
- ユーザー名
- ファイル名
- レジストリキー
- コマンドライン引数
- 未加工の HTTP リクエスト関連データ
- 正規表現に基づくドメイン名
- アセットの名前空間とアドレス
未加工ログスキャン
未加工ログスキャンを使用するには、ランディング ページまたはメニューバーの検索フィールドに検索文字列を入力します(たとえば、MD5 ハッシュ)。少なくとも 4 文字(ワイルドカードを含む)を入力します。Google Security Operations で検索文字列が見つからない場合、[未加工ログスキャン] オプションが開きます。[開始時間] と [終了時間](デフォルトは 1 週間)を指定し、[検索] をクリックします。
ランディング ページからの未加工ログスキャン
検索文字列に関連付けられたイベントが表示されます。矢印ボタンをクリックすると、関連する未加工ログを開くことができます。
また、[ログソース] プルダウン メニューをクリックして、検索するために Google Security Operations に送信する 1 つ以上のデータソースを選択することもできます。デフォルトの設定は [すべて] です。
正規表現
正規表現を使用すると、Google Security Operations を使用してセキュリティ データ内の文字列のセットを検索し、照合できます。正規表現を使用すると、例えば完全なドメイン名を使用するのではなく、情報の断片を使って検索を絞り込むことができます。
正規表現構文を使用して検索を実行するには、[Search] フィールドに正規表現を入力し、[Run Query as Regex] チェックボックスをオンにして、[SEARCH] をクリックします。正規表現は 4~66 文字にする必要があります。
正規表現を使用した未加工ログスキャンの実行
Google Security Operations の正規表現インフラストラクチャは、オープンソースの正規表現エンジンである Google RE2 をベースにしています。Google Security Operations は同じ正規表現構文を使用します。詳細については、RE2 のドキュメントをご覧ください。
次の表に、検索に使用できる一般的な正規表現の構文の一部を示します。
| 任意の文字 | . |
| x 文字 | {x} |
| 文字クラス | [xyz] |
| 否定文字クラス | [^xyz] |
| 英数字([0-9 a-z A-Z]) | [[:alnum:]] |
| 英字(A-Za-z) | [[:alpha:]] |
| 数字(0-9) | [[:digit:]] |
| 小文字(a-z) | [[:lower:]] |
| 大文字(A-Z) | [[:upper:]] |
| 単語構成文字(0-9A-Za-z_) | [[:word:]] |
| 16 進数(0-9A-Fa-f) | [[:xdigit:]] |
次の例は、この構文を使用してデータ全体を検索する方法を示しています。
goo.le\.com-google.com、goooogle.comなどと一致します。goo\w{3}\.com-google.com、goodle.com、goojle.comなどと一致します。[[:digit:]]\.[[:alpha:]]-34323.system、23458.office、897.netなどと一致します。
Windows ログを検索する正規表現の例
このセクションでは、一般にモニタリングされる Windows イベントを見つけるために Google Security Operations の未加工ログスキャンで使用できる正規表現クエリ文字列について説明します。以下の例では、Windows ログ メッセージが JSON 形式であることを前提としています。
一般にモニタリングされる Windows イベント ID の詳細については、Microsoft のドキュメントのモニターするイベントのトピックをご覧ください。ここで説明する例は、これらのユースケースで説明されているものと同様のパターンに従っています。
| ユースケース: EventID 1150 でイベントを返す | |
| 正規表現文字列 | \"EventID\"\:\s*1150 |
| 一致した値 | "EventID":1150 |
| ユースケース: イベント ID が 1150 または 1151 のイベントを返します | |
| 正規表現文字列 | (?:\"EventID\"\:\s*)(?:1150|1151) |
| 一致した値 | "EventID":1150 と "EventID":1151 |
| ユースケース: イベント ID が 1150 または 1151、ThreatID が 9092 のイベントを返します | |
| 正規表現文字列 | (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092) |
| 一致した値 | "EventID":1150 <...任意の文字数...> "ThreadID":9092 "EventID":1151 <...任意の文字数...glt; "ThreadID":9092 |
アカウント管理イベントを検索する
これらの正規表現クエリ文字列は、EventID 属性を使用して一般的なアカウント管理イベントを識別します。
| イベントのタイプ | 正規表現 |
| ユーザー アカウントが作成されました | EventID\"\:\s*4720 |
| ユーザー アカウントが有効 | EventID\"\:\s*4722 |
| ユーザー アカウントが無効 | EventID\"\:\s*4725 |
| ユーザー アカウントが削除されました | EventID\"\:\s*4726 |
| ユーザー権限の変更 | EventID\"\:\s*4703 |
| セキュリティが有効なグローバル グループに追加されたメンバー | EventID\"\:\s*4728 |
| セキュリティが有効なグローバル グループからメンバーを削除しました | EventID\"\:\s*4729 |
| セキュリティが有効なグローバル グループが削除されました | EventID\"\:\s*4730 |
ログイン成功イベントを探す
これらの正規表現クエリ文字列は、EventID 属性と LogonType 属性を使用して、成功したログオン イベントの種類を識別します。
| イベントのタイプ | 正規表現 |
| ログオンの成功 | EventID\"\:\s*4624 |
| ログオンの成功 - インタラクティブ(LogonType=2) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"2\" |
| ログオンの成功 - バッチログイン(LogonType=4) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"4\" |
| ログオンの成功 - サービス ログイン(LogonType=5) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"5\" |
| ログイン成功 - リモート インタラクティブ ログイン(LogonType=10) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"10\" |
| ログオンの成功 - インタラクティブ、バッチ、サービス、リモート インタラクティブ | (?:EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\" |
ログイン失敗イベントを探す
これらの正規表現クエリ文字列は、EventID と LogonType 属性を使用して、失敗したログオン イベントの種類を識別します。
| イベントのタイプ | 正規表現 |
| ログイン失敗 | EventID\"\:\s*4625 |
| ログイン失敗 - インタラクティブ(LogonType=2) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"2\" |
| ログオンの失敗 - バッチログイン(LogonType=4) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"4\" |
| ログイン失敗 - サービス ログイン(LogonType=5) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"5\" |
| ログオンの失敗 - リモート インタラクティブ ログイン(LogonType=10) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"10\" |
| ログオンの失敗 - インタラクティブ、バッチ、サービス、リモート インタラクティブ | (?:EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\" |
プロセス、サービス、タスクのイベントを探す
これらの正規表現クエリ文字列は、EventID 属性を使用して特定のプロセスとサービス イベントを識別します。
| イベントのタイプ | 正規表現 |
| プロセスの開始 | EventID\"\:\s*4688 |
| プロセスの終了 | EventID\"\:\s*4689 |
| サービスがインストールされました | EventID\"\:\s*4697 |
| 新しいサービスが作成されました | EventID\"\:\s*7045 |
| タスクのスケジュールが作成されました | EventID\"\:\s*4698 |
オブジェクト アクセスに関連するイベントを探す
これらの正規表現クエリ文字列は、EventID 属性を使用して、さまざまな種類のプロセスとサービス関連のイベントを識別します。
| イベントのタイプ | 正規表現 |
| 監査ログを消去しました | EventID\"\:\s*1102 |
| オブジェクト アクセスが試行されました | EventID\"\:\s*4663 |
| 共有アクセス | EventID\"\:\s*5140 |