Faça uma pesquisa de registos não processados

Suportado em:

Este documento explica como pode usar o Google Security Operations para pesquisar os registos não processados carregados no seu inquilino do Google SecOps e obter contexto relevante, incluindo eventos e entidades associados.

As pesquisas de registos não processados correlacionam eventos não processados com os respetivos eventos UDM gerados. Uma pesquisa de registos não processados ajuda a identificar lacunas de normalização e registos não analisados que não estão a ser processados pelos analisadores.

Para fazer uma pesquisa de registos não processados, siga estes passos:

  1. Aceda a Investigação > Pesquisa de SIEM.

  2. No campo de pesquisa, adicione o prefixo raw = à sua pesquisa e inclua o termo de pesquisa entre aspas (por exemplo, raw = "example.com").

  3. Selecione a pesquisa de registos não processados na opção de menu. O Google SecOps encontra os registos não processados associados, os eventos UDM e as entidades associadas. Também pode executar a mesma pesquisa (raw = "example.com") na página de pesquisa da UDM.

Pode usar os mesmos filtros rápidos usados para refinar os resultados da pesquisa da UDM. Selecione o filtro que quer aplicar aos resultados do registo não processado para os refinar ainda mais.

Otimize as consultas de registos não processados

As pesquisas de registos não processados são normalmente mais lentas do que as pesquisas de UDM. Para melhorar o desempenho da pesquisa, limite a quantidade de dados sobre os quais realiza a consulta alterando as definições de pesquisa:

  • Seletor de intervalo de tempo: limita o intervalo de tempo dos dados sobre os quais executa a consulta.
  • Seletor de origem do registo: limita a pesquisa de registos não processados apenas aos registos de origens específicas, em vez de todas as origens de registos. No menu Origens de registos, selecione uma ou mais origens de registos (a predefinição é tudo).
  • Expressões regulares: use uma expressão regular. Por exemplo, raw = /goo\w{3}.com/ corresponderia a google.com, goodle.com, goog1e.com para limitar ainda mais o âmbito da sua pesquisa de registos não processados.

Tendência ao longo do tempo

Use o gráfico de tendências para compreender a distribuição dos registos não processados ao longo do tempo da sua pesquisa. Pode aplicar filtros no gráfico para procurar registos analisados e registos não processados. Clique na seta de menu pendente para reduzir ou expandir o gráfico.

Resultados de registos não processados

Quando executa uma pesquisa de registos não processados, os resultados são uma combinação de eventos UDM e entidades geradas pelos registos não processados que correspondem às suas pesquisas, juntamente com os registos não processados. Pode explorar mais os resultados da pesquisa clicando em qualquer um dos resultados:

  • Evento ou entidade UDM: se clicar num evento ou numa entidade UDM, o Google SecOps mostra todos os eventos e entidades relacionados, juntamente com o registo não processado associado a esse item.

  • Registo não processado: se clicar num registo não processado, o Google SecOps mostra-lhe a linha de registo não processado completa, juntamente com a origem desse registo.

Transfira resultados de registos não processados

Para transferir os resultados do registo não processado para um ficheiro CSV, na tabela de resultados do Registo não processado, clique em Menu > Transferir como CSV.

Por predefinição, os dados nas colunas Data/hora, Tipo de evento e Registo não processado são guardados. Pode usar o Gestor de colunas para selecionar as colunas a transferir. A coluna Registo não processado está sempre incluída.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.