원시 로그 스캔 뷰에서 데이터 필터링

원시 로그 스캔을 사용하면 파싱되지 않은 원시 로그를 검사할 수 있습니다. 검색을 수행할 때 Chronicle은 먼저 수집 및 파싱된 보안 데이터를 검사합니다. 검색하는 정보를 찾을 수 없는 경우 원시 로그 스캔을 사용하여 파싱되지 않은 원시 로그를 검사할 수 있습니다. 또한 정규 표현식을 사용하여 원시 로그를 보다 면밀하게 검사할 수 있습니다.

원시 로그 스캔을 사용하여 로그에 표시되지만 색인으로 생성되지 않은 다음과 같은 아티팩트를 조사하세요.

  • 사용자 이름
  • 파일 이름
  • 레지스트리 키
  • 명령줄 인수
  • 원시 HTTP 요청 관련 데이터
  • 정규 표현식 기반의 도메인 이름
  • 애셋 이름 및 주소

Chronicle에서 원시 로그 스캔을 사용하려면 다음 단계를 완료하세요.

  1. 방문 페이지 또는 Chronicle 사용자 인터페이스 상단의 메뉴 바에 있는 검색창에 검색 문자열을 입력합니다. 검색을 클릭합니다.

    이미지 방문 페이지에서 텍스트 값 검색

  2. 드롭다운 메뉴에서 원시 로그 스캔을 선택합니다.

    이미지 Chronicle 검색 자동 감지 메뉴

  3. Chronicle에서 원시 로그 스캔 옵션이 열립니다.

    이미지 원시 로그 스캔 검색 옵션 메뉴

  4. 시작 시간 및 종료 시간을 지정하고(기본값 1주) 검색을 클릭합니다.

  5. 아래와 같이 원시 로그 스캔 뷰가 표시됩니다.

    이미지 원시 로그 스캔 뷰

    정규 표현식을 사용하면 Chronicle을 사용하여 보안 데이터 내에서 문자열 집합을 검색하고 일치 항목을 찾을 수 있습니다. 정규 표현식을 사용하면 예를 들어 전체 도메인 이름을 사용할 때와 반대로 해당 정보의 일부만 사용하여 검색 범위를 좁힐 수 있습니다.

    원시 로그 스캔 뷰에서 사용할 수 있는 절차적 필터링 옵션은 다음과 같습니다.

    • 이벤트 유형
    • 로그 소스
    • 네트워크 연결 상태
    • TLD

    이미지 원시 로그 스캔 뷰 필터링 옵션