未加工ログスキャン ビューでデータをフィルタする

未加工ログスキャンを使用すると、解析されていない未加工のログを調べることができます。検索を実行すると、Chronicle はまず取り込まれて解析されたセキュリティ データを調べます。探している情報が見つからない場合は、未加工ログスキャンを使用して解析されていない未加工のログを調べることができます。正規表現を使用して、未加工のログをさらに調べることもできます。

未加工ログスキャンを使用して、次のような、ログに表示されるているもののインデックスに登録されていないアーティファクトを調査します。

  • ユーザー名
  • ファイル名
  • レジストリキー
  • コマンドライン引数
  • 未加工の HTTP リクエスト関連データ
  • 正規表現に基づくドメイン名
  • アセットの名前とアドレス

Chronicle で未加工ログスキャンを使用するには、次の手順を行います。

  1. ランディング ページ、または Chronicle ユーザー インターフェースの上部にあるメニューバーのいずれかの検索バーに検索文字列を入力します。[検索] をクリックします。

    画像 ランディング ページからテキスト値を検索する

  2. プルダウン メニューから [Raw Log Scan] を選択します。

    画像 Chronicle の検索自動検出メニュー

  3. Chronicle が [Raw Log Scan] オプションを開きます。

    画像 未加工ログスキャンの検索オプション メニュー

  4. 開始時刻と終了時刻(デフォルトは 1 週間)を指定し、[検索] をクリックします。

    [未加工ログ検索] ビューでは、フィルタは DNS、Webproxy、EDR、アラートなどの限定された一連のイベントに基づいています。フィルタには、GENERIC、EMAIL、USER などの他のイベントタイプに関する情報は含まれません。

  5. 次に示すように、[Raw Log Scan] ビューが表示されます。

    画像 [Raw Log Scan] ビュー

    正規表現を使用すると、Chronicle を使用してセキュリティ データ内の文字列のセットを検索し、照合できます。正規表現を使用すると、たとえば完全なドメイン名を使用するのではなく、情報の断片を使って検索を絞り込むことができます。

    [Raw Log Scan] ビューでは、次の [Procedural Filtering] オプションを使用できます。

    • EVENT TYPE
    • LOG SOURCE
    • NETWORK CONNECTION STATUS
    • TLD

    画像 [Raw Log Scan] ビューのフィルタ オプション