Filtrar datos en la vista Raw Log Scan

El análisis de registros sin procesar te permite examinar tus registros sin procesar y sin analizar. Cuando ejecutas una búsqueda, Chronicle primero examina los datos de seguridad que se transfirieron y analizaron. Si no se encuentra la información que buscas, puedes usar el análisis de registros sin procesar para examinar tus registros sin procesar. También puedes usar expresiones regulares para examinar con más detalle los registros sin procesar.

Usa el análisis de registros sin procesar para investigar los artefactos que aparecen en los registros, pero no están indexados, incluidos los siguientes:

  • Nombres de usuario
  • Nombres del archivo
  • Claves de registro
  • Argumentos de la línea de comandos
  • Datos sin procesar relacionados con solicitudes HTTP
  • Nombres de dominio basados en expresiones regulares
  • Nombres y direcciones de los recursos

Para usar el análisis de registros sin procesar en Chronicle, completa los siguientes pasos:

  1. Ingresa una cadena de búsqueda en la barra de búsqueda de la página de destino o de la barra de menú en la parte superior de la interfaz de usuario de Chronicle. Haz clic en BUSCAR.

    imagen Busca el valor de texto de la página de destino

  2. Selecciona Análisis de registros sin procesar en el menú desplegable.

    imagen Menú de detección automática de la búsqueda de Chronicle

  3. Chronicle abrirá las opciones de Análisis de registros sin procesar.

    imagen Menú de opciones de búsqueda del análisis de registros sin procesar

  4. Especifica la hora de inicio y la hora de finalización (el valor predeterminado es 1 semana) y haz clic en BUSCAR.

    En la vista Búsqueda de registros sin procesar, los filtros se basan en un conjunto limitado de eventos, como DNS, Webproxy, EDR y Alerta. Los filtros no incluyen información sobre otros tipos de eventos, como GENERIC, EMAIL y USER.

  5. Aparecerá la vista de análisis de registros sin procesar, tal como se muestra a continuación.

    imagen Vista de análisis de registros sin procesar

    Puedes usar expresiones regulares para buscar conjuntos de cadenas de caracteres en tus datos de seguridad y hacer coincidir conjuntos de ellas con Chronicle. Las expresiones regulares te permiten limitar tu búsqueda mediante fragmentos de información en lugar de usar un nombre de dominio completo, por ejemplo.

    Las siguientes opciones de filtrado de procedimientos están disponibles en la vista de análisis de registros sin procesar:

    • TIPO DE EVENTO
    • REGISTRAR FUENTE
    • ESTADO DE CONEXIÓN DE RED
    • TLD

    imagen Opciones de filtrado de la vista del análisis de registros sin procesar