Daten in der Ansicht "Standard-Logscan" filtern

Mit Raw Log Scan können Sie Ihre nicht geparsten Rohdaten prüfen. Beim Ausführen einer Suche prüft Chronicle zuerst die Sicherheitsdaten, die sowohl aufgenommen als auch geparst wurden. Wenn die gesuchten Informationen nicht gefunden werden, können Sie mit „Raw Log Scan“ Ihre nicht geparsten Rohdaten prüfen. Sie können auch reguläre Ausdrücke verwenden, um die Rohlogs genauer zu untersuchen.

Verwenden Sie Raw Log Scan, um Artefakte zu untersuchen, die in Logs enthalten, aber nicht indexiert sind, darunter:

  • Nutzernamen
  • Dateinamen
  • Registrierungsschlüssel
  • Befehlszeilenargumente
  • HTTP-Anfragebezogene Rohdaten
  • Domainnamen basierend auf regulären Ausdrücken
  • Asset-Namen und -Adressen

Führen Sie die folgenden Schritte aus, um den Rohdatenscan in Chronicle zu verwenden:

  1. Geben Sie entweder auf der Landingpage oder in der Menüleiste oben in der Chronicle-Benutzeroberfläche einen Suchstring in die Suchleiste ein. Klicken Sie auf SUCHEN.

    Image Auf der Landingpage nach dem Textwert suchen

  2. Wählen Sie Raw Log Scan aus dem Drop-down-Menü aus.

    Image Menü für automatische Erkennung in Chronicle Search

  3. Chronicle öffnet die Optionen für „RAW Log Scan“.

    Image Menü mit Suchoptionen für Rohdaten des Logscans

  4. Geben Sie die Start- und Endzeit an (Standardwert ist 1 Woche) und klicken Sie auf SUCHEN.

    In der Ansicht Raw Log Search (Raw-Logsuche) basieren die Filter auf einer begrenzten Anzahl von Ereignissen wie DNS, Webproxy, EDR und Benachrichtigung. Die Filter enthalten keine Informationen zu anderen Ereignistypen wie GENERIC, EMAIL und USER.

  5. Die Ansicht „Rohprotokollscan“ wird angezeigt (siehe Abbildung unten).

    Image Ansicht des Logscans

    Sie können reguläre Ausdrücke verwenden, um mit Chronicle nach Zeichenfolgen von Zeichenstrings in Ihren Sicherheitsdaten zu suchen und diese abzugleichen. Mit regulären Ausdrücken können Sie die Suche mithilfe von Informationsfragmenten anstatt eines vollständigen Domainnamens eingrenzen.

    In der Ansicht „Rohlogscan“ sind die folgenden Optionen für die prozedurale Filterung verfügbar:

    • VERANSTALTUNGSTYP
    • PROTOKOLLQUELLE
    • STATUS DER NETZWERKVERBINDUNG
    • TLD

    Image Filteroptionen für die Ansicht „Raw Log Scan“