Filtrar datos en la vista Raw Log Scan
El análisis de registros sin procesar te permite examinar tus registros sin procesar y sin analizar. Cuando ejecutas una búsqueda, Chronicle primero examina los datos de seguridad que se transfirieron y analizaron. Si no se encuentra la información que buscas, puedes usar el análisis de registros sin procesar para examinar tus registros sin procesar. También puedes usar expresiones regulares para examinar con más detalle los registros sin procesar.
Usa el análisis de registros sin procesar para investigar los artefactos que aparecen en los registros, pero no están indexados, incluidos los siguientes:
- Nombres de usuario
- Nombres del archivo
- Claves de registro
- Argumentos de la línea de comandos
- Datos sin procesar relacionados con solicitudes HTTP
- Nombres de dominio basados en expresiones regulares
- Nombres y direcciones de los recursos
Para usar el análisis de registros sin procesar en Chronicle, completa los siguientes pasos:
Ingresa una cadena de búsqueda en la barra de búsqueda de la página de destino o de la barra de menú en la parte superior de la interfaz de usuario de Chronicle. Haz clic en BUSCAR.
Busca el valor de texto de la página de destino
Selecciona Análisis de registros sin procesar en el menú desplegable.
Menú de detección automática de la búsqueda de Chronicle
Chronicle abrirá las opciones de Análisis de registros sin procesar.
Menú de opciones de búsqueda del análisis de registros sin procesar
Especifica la hora de inicio y la hora de finalización (el valor predeterminado es 1 semana) y haz clic en BUSCAR.
En la vista Búsqueda de registros sin procesar, los filtros se basan en un conjunto limitado de eventos, como DNS, Webproxy, EDR y Alerta. Los filtros no incluyen información sobre otros tipos de eventos, como GENERIC, EMAIL y USER.
Aparecerá la vista de análisis de registros sin procesar, tal como se muestra a continuación.
Vista de análisis de registros sin procesar
Puedes usar expresiones regulares para buscar conjuntos de cadenas de caracteres en tus datos de seguridad y hacer coincidir conjuntos de ellas con Chronicle. Las expresiones regulares te permiten limitar tu búsqueda mediante fragmentos de información en lugar de usar un nombre de dominio completo, por ejemplo.
Las siguientes opciones de filtrado de procedimientos están disponibles en la vista de análisis de registros sin procesar:
- TIPO DE EVENTO
- REGISTRAR FUENTE
- ESTADO DE CONEXIÓN DE RED
- TLD
Opciones de filtrado de la vista del análisis de registros sin procesar