Daten in der Ansicht "Standard-Logscan" filtern
Mit Raw Log Scan können Sie Ihre nicht geparsten Rohdaten prüfen. Beim Ausführen einer Suche prüft Chronicle zuerst die Sicherheitsdaten, die sowohl aufgenommen als auch geparst wurden. Wenn die gesuchten Informationen nicht gefunden werden, können Sie mit „Raw Log Scan“ Ihre nicht geparsten Rohdaten prüfen. Sie können auch reguläre Ausdrücke verwenden, um die Rohlogs genauer zu untersuchen.
Verwenden Sie Raw Log Scan, um Artefakte zu untersuchen, die in Logs enthalten, aber nicht indexiert sind, darunter:
- Nutzernamen
- Dateinamen
- Registrierungsschlüssel
- Befehlszeilenargumente
- HTTP-Anfragebezogene Rohdaten
- Domainnamen basierend auf regulären Ausdrücken
- Asset-Namen und -Adressen
Führen Sie die folgenden Schritte aus, um den Rohdatenscan in Chronicle zu verwenden:
Geben Sie entweder auf der Landingpage oder in der Menüleiste oben in der Chronicle-Benutzeroberfläche einen Suchstring in die Suchleiste ein. Klicken Sie auf SUCHEN.
Auf der Landingpage nach dem Textwert suchen
Wählen Sie Raw Log Scan aus dem Drop-down-Menü aus.
Menü für automatische Erkennung in Chronicle Search
Chronicle öffnet die Optionen für „RAW Log Scan“.
Menü mit Suchoptionen für Rohdaten des Logscans
Geben Sie die Start- und Endzeit an (Standardwert ist 1 Woche) und klicken Sie auf SUCHEN.
In der Ansicht Raw Log Search (Raw-Logsuche) basieren die Filter auf einer begrenzten Anzahl von Ereignissen wie DNS, Webproxy, EDR und Benachrichtigung. Die Filter enthalten keine Informationen zu anderen Ereignistypen wie GENERIC, EMAIL und USER.
Die Ansicht „Rohprotokollscan“ wird angezeigt (siehe Abbildung unten).
Ansicht des Logscans
Sie können reguläre Ausdrücke verwenden, um mit Chronicle nach Zeichenfolgen von Zeichenstrings in Ihren Sicherheitsdaten zu suchen und diese abzugleichen. Mit regulären Ausdrücken können Sie die Suche mithilfe von Informationsfragmenten anstatt eines vollständigen Domainnamens eingrenzen.
In der Ansicht „Rohlogscan“ sind die folgenden Optionen für die prozedurale Filterung verfügbar:
- VERANSTALTUNGSTYP
- PROTOKOLLQUELLE
- STATUS DER NETZWERKVERBINDUNG
- TLD
Filteroptionen für die Ansicht „Raw Log Scan“