Filtrar dados na visualização de verificação de registros brutos
A verificação bruta de registros permite examinar os registros brutos não analisados. Quando você executa uma pesquisa, o Chronicle examina primeiro os dados de segurança que foram ingeridos e analisados. Se as informações que você está procurando não forem encontradas, use a verificação bruta de registros para examinar os registros brutos não analisados. Também é possível usar expressões regulares para examinar mais de perto os registros brutos.
Use a verificação bruta de registros para investigar artefatos que aparecem nos registros, mas não são indexados, incluindo:
- Nomes de usuário
- Nomes de arquivo
- Chaves de registro
- Argumentos de linha de comando
- Dados brutos relacionados à solicitação HTTP
- Nomes de domínio baseados em expressões regulares
- Nomes e endereços dos recursos
Para usar a verificação bruta de registros no Chronicle, siga estas etapas:
Digite uma string de pesquisa na barra de pesquisa da página de destino ou na barra de menus na parte de cima da interface do usuário do Chronicle. Clique em PESQUISAR.
Pesquisar valor de texto na página de destino
Selecione Verificação de registro bruto no menu suspenso.
Menu de detecção automática da pesquisa do Chronicle
O Chronicle abre as opções de verificação de registros brutos.
Menu de opções de pesquisa da verificação de registro bruto
Especifique o horário de início e de término (o padrão é uma semana) e clique em PESQUISAR.
Na visualização Pesquisa de registros brutos, os filtros são baseados em um conjunto limitado de eventos, como DNS, Webproxy, EDR e Alerta. Os filtros não incluem informações sobre outros tipos de eventos, como GENERIC, EMAIL e USER.
A visualização "Verificação de registro bruta" é exibida, conforme mostrado abaixo.
Visualização "Verificação de registro bruto"
É possível usar expressões regulares para pesquisar e corresponder conjuntos de strings de caracteres nos seus dados de segurança usando o Chronicle. As expressões regulares permitem restringir a pesquisa usando fragmentos de informações, em vez de usar um nome de domínio completo, por exemplo.
As seguintes opções de filtragem processual estão disponíveis na visualização "Verificação de registro bruto":
- TIPO DE EVENTO
- FONTE DO REGISTRO
- STATUS DA CONEXÃO DE REDE
- TLD
Opções de filtragem da visualização da verificação de registro bruto