Realiza una búsqueda de registros sin procesar

Se admite en los siguientes sistemas operativos:

En este documento, se explica cómo puedes usar Google Security Operations para buscar en los registros sin procesar que se transfirieron a tu arrendatario de Google SecOps y obtener contexto relevante, incluidos los eventos y las entidades asociados.

Las búsquedas de registros sin procesar correlacionan los eventos sin procesar con sus eventos de UDM generados. Una búsqueda de registros sin procesar te ayuda a identificar las brechas de normalización y los registros sin analizar que los analizadores no procesan.

Para realizar una búsqueda de registros sin procesar, sigue estos pasos:

  1. Ve a Investigación > Búsqueda en SIEM.

  2. En el campo de búsqueda, agrega el prefijo raw = a tu búsqueda y encierra el término de búsqueda entre comillas (por ejemplo, raw = "example.com").

  3. Selecciona la búsqueda de registros sin procesar en la opción del menú. Google SecOps encuentra los registros sin procesar, los eventos de UDM y las entidades asociadas. También puedes ejecutar la misma búsqueda (raw = "example.com") desde la página de UDM Search.

Puedes usar los mismos filtros rápidos que se usan para definir mejor los resultados de la búsqueda de UDM. Selecciona el filtro que deseas aplicar a los resultados del registro sin procesar para definirlos mejor.

Optimiza las consultas de registros sin procesar

Las búsquedas en registros sin procesar suelen ser más lentas que las búsquedas en UDM. Para mejorar el rendimiento de la búsqueda, limita la cantidad de datos sobre los que realizas la consulta. Para ello, cambia la configuración de búsqueda:

  • Selector de período: Limita el período de los datos sobre los que ejecutas tu búsqueda.
  • Selector de fuente de registro: Limita la búsqueda de registros sin procesar solo a los registros de fuentes específicas, en lugar de todas tus fuentes de registro. En el menú Fuentes de registros, selecciona una o más fuentes de registros (la opción predeterminada es todas).
  • Expresiones regulares: Usa una expresión regular. Por ejemplo, raw = /goo\w{3}.com/ coincidiría con google.com, goodle.com y goog1e.com para limitar aún más el alcance de tu búsqueda de registros sin procesar.

Tendencia en el tiempo

Usa el gráfico de tendencias para comprender la distribución de los registros sin procesar durante el período de tu búsqueda. Puedes aplicar filtros en el gráfico para buscar registros analizados y registros sin procesar. Haz clic en Flecha hacia abajo para contraer o expandir el gráfico.

Resultados de registros sin procesar

Cuando ejecutas una búsqueda de registros sin procesar, los resultados son una combinación de eventos y entidades del UDM generados por los registros sin procesar que coinciden con tus búsquedas, junto con los registros sin procesar. Puedes explorar más los resultados de la búsqueda haciendo clic en cualquiera de ellos:

  • Evento o entidad del UDM: Si haces clic en un evento o una entidad del UDM, Google SecOps muestra los eventos y las entidades relacionados, junto con el registro sin procesar asociado a ese elemento.

  • Registro sin procesar: Si haces clic en un registro sin procesar, Google SecOps te muestra toda la línea del registro sin procesar, junto con la fuente de ese registro.

Descarga los resultados de los registros sin procesar

Para descargar los resultados del registro sin procesar en un archivo CSV, en la tabla de resultados del Registro sin procesar, haz clic en Menú > Descargar como CSV.

De forma predeterminada, se guardan los datos de las columnas Timestamp, Event Type y Raw Log. Puedes usar el Administrador de columnas para seleccionar las columnas que deseas descargar. La columna Raw Log siempre se incluye.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.