Hacer una búsqueda de registros sin procesar
En este documento se explica cómo puede usar Google Security Operations para buscar en los registros sin procesar insertados en su arrendatario de Google SecOps y obtener contexto relevante, incluidos los eventos y las entidades asociados.
Las búsquedas de registros sin procesar correlacionan los eventos sin procesar con los eventos de UDM que se han generado. Una búsqueda de registros sin procesar te ayuda a identificar las carencias de normalización y los registros sin analizar que no están procesando los analizadores.
Para realizar una búsqueda de registros sin procesar, sigue estos pasos:
Ve a Investigación > Búsqueda en SIEM.
En el campo de búsqueda, añade el prefijo
raw =a tu búsqueda y encierra el término de búsqueda entre comillas (por ejemplo,raw = "example.com").Selecciona la búsqueda de registros sin procesar en la opción de menú. Google SecOps encuentra los registros sin procesar, los eventos de UDM y las entidades asociadas. También puedes hacer la misma búsqueda (raw = "example.com") desde la página Búsqueda de UDM.
Puedes usar los mismos filtros rápidos que se usan para acotar los resultados de búsqueda de UDM. Selecciona el filtro que quieras aplicar a los resultados del registro sin procesar para acotarlos aún más.
Optimizar consultas de registros sin procesar
Las búsquedas de registros sin procesar suelen ser más lentas que las búsquedas de UDM. Para mejorar el rendimiento de la búsqueda, limita la cantidad de datos sobre los que realizas la consulta cambiando la configuración de búsqueda:
- Selector de periodo: limita el periodo de los datos sobre los que se ejecuta la consulta.
- Selector de fuente de registro: limita la búsqueda de registros sin procesar a los registros de fuentes específicas, en lugar de a todas las fuentes de registro. En el menú Fuentes de registro, selecciona una o varias fuentes de registro (la opción predeterminada es todas).
- Expresiones regulares: usa una expresión regular. Por ejemplo,
raw = /goo\w{3}.com/coincidiría congoogle.com,goodle.comygoog1e.compara limitar aún más el alcance de la búsqueda en los registros sin procesar.
Tendencia a lo largo del tiempo
Usa el gráfico de tendencias para comprender la distribución de los registros sin procesar a lo largo del tiempo de tu búsqueda. Puede aplicar filtros en el gráfico para buscar registros analizados y registros sin formato. Haz clic en Flecha hacia abajo para contraer o ampliar el gráfico.
Resultados de registros sin procesar
Cuando realizas una búsqueda de registros sin procesar, los resultados son una combinación de eventos de UDM y entidades generadas por los registros sin procesar que coinciden con tus búsquedas, junto con los registros sin procesar. Puedes consultar los resultados de búsqueda con más detalle haciendo clic en cualquiera de ellos:
Evento o entidad de UDM: si hace clic en un evento o una entidad de UDM, Google SecOps muestra los eventos y las entidades relacionados, así como el registro sin procesar asociado a ese elemento.
Registro sin procesar: si haces clic en un registro sin procesar, Google SecOps te muestra toda la línea del registro sin procesar, junto con la fuente de ese registro.
Descargar resultados de registro sin procesar
Para descargar los resultados de registro sin procesar en un archivo CSV, en la tabla de resultados Registro sin procesar, haz clic en Menú > Descargar como CSV.
De forma predeterminada, se guardan los datos de las columnas Marca de tiempo, Tipo de evento y Registro sin procesar. Puede usar el gestor de columnas para seleccionar las columnas que quiere descargar. La columna Registro sin procesar siempre se incluye.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.