Filtrar dados na visualização de verificação de registros brutos

A verificação bruta de registros permite examinar os registros brutos não analisados. Quando você executa uma pesquisa, o Chronicle examina primeiro os dados de segurança que foram ingeridos e analisados. Se as informações que você está procurando não forem encontradas, use a verificação bruta de registros para examinar os registros brutos não analisados. Também é possível usar expressões regulares para examinar mais de perto os registros brutos.

Use a verificação bruta de registros para investigar artefatos que aparecem nos registros, mas não são indexados, incluindo:

  • Nomes de usuário
  • Nomes de arquivo
  • Chaves de registro
  • Argumentos de linha de comando
  • Dados brutos relacionados à solicitação HTTP
  • Nomes de domínio baseados em expressões regulares
  • Nomes e endereços dos recursos

Para usar a verificação bruta de registros no Chronicle, siga estas etapas:

  1. Digite uma string de pesquisa na barra de pesquisa da página de destino ou na barra de menus na parte de cima da interface do usuário do Chronicle. Clique em PESQUISAR.

    imagem Pesquisar valor de texto na página de destino

  2. Selecione Verificação de registro bruto no menu suspenso.

    imagem Menu de detecção automática da pesquisa do Chronicle

  3. O Chronicle abre as opções de verificação de registros brutos.

    imagem Menu de opções de pesquisa da verificação de registro bruto

  4. Especifique o horário de início e de término (o padrão é uma semana) e clique em PESQUISAR.

    Na visualização Pesquisa de registros brutos, os filtros são baseados em um conjunto limitado de eventos, como DNS, Webproxy, EDR e Alerta. Os filtros não incluem informações sobre outros tipos de eventos, como GENERIC, EMAIL e USER.

  5. A visualização "Verificação de registro bruta" é exibida, conforme mostrado abaixo.

    imagem Visualização "Verificação de registro bruto"

    É possível usar expressões regulares para pesquisar e corresponder conjuntos de strings de caracteres nos seus dados de segurança usando o Chronicle. As expressões regulares permitem restringir a pesquisa usando fragmentos de informações, em vez de usar um nome de domínio completo, por exemplo.

    As seguintes opções de filtragem processual estão disponíveis na visualização "Verificação de registro bruto":

    • TIPO DE EVENTO
    • FONTE DO REGISTRO
    • STATUS DA CONEXÃO DE REDE
    • TLD

    imagem Opções de filtragem da visualização da verificação de registro bruto