원시 로그 스캔 뷰에서 데이터 필터링

원시 로그 스캔을 사용하면 파싱되지 않은 원시 로그를 검사할 수 있습니다. 검색을 수행할 때 Chronicle은 먼저 수집 및 파싱된 보안 데이터를 검사합니다. 검색하는 정보를 찾을 수 없는 경우 원시 로그 스캔을 사용하여 파싱되지 않은 원시 로그를 검사할 수 있습니다. 또한 정규 표현식을 사용하여 원시 로그를 보다 면밀하게 검사할 수 있습니다.

원시 로그 스캔을 사용하여 로그에 표시되지만 색인으로 생성되지 않은 다음과 같은 아티팩트를 조사하세요.

  • 사용자 이름
  • 파일 이름
  • 레지스트리 키
  • 명령줄 인수
  • 원시 HTTP 요청 관련 데이터
  • 정규 표현식 기반의 도메인 이름
  • 애셋 이름 및 주소

Chronicle에서 원시 로그 스캔을 사용하려면 다음 단계를 완료하세요.

  1. 방문 페이지 또는 Chronicle 사용자 인터페이스 상단의 메뉴 바에 있는 검색창에 검색 문자열을 입력합니다. 검색을 클릭합니다.

    이미지 방문 페이지에서 텍스트 값 검색

  2. 드롭다운 메뉴에서 원시 로그 스캔을 선택합니다.

    이미지 Chronicle 검색 자동 감지 메뉴

  3. Chronicle에서 원시 로그 스캔 옵션이 열립니다.

    이미지 원시 로그 스캔 검색 옵션 메뉴

  4. 시작 시간 및 종료 시간을 지정하고(기본값 1주) 검색을 클릭합니다.

    원시 로그 검색 뷰에서 필터는 DNS, Webproxy, EDR, 알림과 같은 제한된 이벤트 집합을 기반으로 합니다. 필터에는 일반, 이메일, 사용자와 같은 다른 이벤트 유형에 대한 정보가 포함되지 않습니다.

  5. 아래와 같이 원시 로그 스캔 뷰가 표시됩니다.

    이미지 원시 로그 스캔 뷰

    정규 표현식을 사용하면 Chronicle을 사용하여 보안 데이터 내에서 문자열 집합을 검색하고 일치 항목을 찾을 수 있습니다. 정규 표현식을 사용하면 예를 들어 전체 도메인 이름을 사용할 때와 반대로 해당 정보의 일부만 사용하여 검색 범위를 좁힐 수 있습니다.

    원시 로그 스캔 뷰에서 사용할 수 있는 절차적 필터링 옵션은 다음과 같습니다.

    • 이벤트 유형
    • 로그 소스
    • 네트워크 연결 상태
    • TLD

    이미지 원시 로그 스캔 뷰 필터링 옵션