Esta página foi traduzida pela API Cloud Translation.

Fazer uma pesquisa de registros brutos

Compatível com:

Google SecOps SIEM

Este documento explica como usar o Google Security Operations para pesquisar os registros brutos ingeridos no seu locatário do Google SecOps e receber contexto relevante, incluindo eventos e entidades associados.

As pesquisas de registros brutos correlacionam eventos brutos com os eventos de UDM gerados. Uma pesquisa de registros brutos ajuda a identificar lacunas de normalização e registros não analisados que não estão sendo processados pelos analisadores.

Para fazer uma pesquisa de registros brutos, siga estas etapas:

Acesse Investigação > Pesquisa do SIEM.
No campo de pesquisa, adicione o prefixo raw = à sua pesquisa e coloque o termo entre aspas (por exemplo, raw = "example.com").
Selecione a pesquisa de registros brutos na opção de menu. O Google SecOps encontra os registros brutos, os eventos da UDM e as entidades associadas. Você também pode executar a mesma pesquisa (raw = "example.com") na página de pesquisa UDM.

Você pode usar os mesmos filtros rápidos usados para refinar os resultados da pesquisa da UDM. Selecione o filtro que você quer aplicar aos resultados brutos do registro para refinar ainda mais.

Otimizar consultas de registros brutos

As pesquisas de registros brutos costumam ser mais lentas do que as pesquisas UDM. Para melhorar a performance da pesquisa, limite a quantidade de dados da consulta mudando as configurações de pesquisa:

Seletor de período: limita o período dos dados em que você executa a consulta.
Seletor de origem do registro: limita a pesquisa de registros brutos apenas aos registros de fontes específicas, em vez de todas as fontes de registros. No menu Origens de registros, selecione uma ou mais origens de registros. O padrão é todas.
Expressões regulares: use uma expressão regular. Por exemplo, raw = /goo\w{3}.com/ corresponderia a google.com, goodle.com, goog1e.com para limitar ainda mais o escopo da sua pesquisa de registros brutos.

Tendência ao longo do tempo

Use o gráfico de tendência para entender a distribuição dos registros brutos ao longo do período da pesquisa. É possível aplicar filtros no gráfico para procurar registros analisados e brutos. Clique em Menu suspenso de seta para abrir ou fechar o gráfico.

Resultados de registros brutos

Quando você executa uma pesquisa de registros brutos, os resultados são uma combinação de eventos e entidades da UDM gerados pelos registros brutos que correspondem às suas pesquisas, além dos registros brutos. Para saber mais sobre os resultados da pesquisa, clique em qualquer um deles:

Evento ou entidade da UDM: se você clicar em um evento ou entidade da UDM, o Google SecOps vai mostrar todos os eventos e entidades relacionados, além do registro bruto associado a esse item.
Registro bruto: se você clicar em um registro bruto, o Google SecOps vai mostrar toda a linha do registro bruto, além da origem dele.

Baixar resultados de registros brutos

Para fazer o download dos resultados de registros brutos em um arquivo CSV, na tabela de resultados Registro bruto, clique em Menu > Fazer o download como CSV.

Por padrão, os dados nas colunas Carimbo de data/hora, Tipo de evento e Registro bruto são salvos. Use o gerenciador de colunas para selecionar quais colunas baixar. A coluna Registro bruto sempre é incluída.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.