Rechercher des journaux bruts à l'aide de l'analyse des journaux bruts
Lorsque vous effectuez une recherche, Chronicle commence par examiner les données de sécurité qui ont été ingérées, analysées et normalisées. Si les informations que vous recherchez ne figurent pas dans les données normalisées, vous pouvez utiliser l'analyse des journaux bruts pour examiner les journaux bruts non analysés. Vous pouvez également utiliser des expressions régulières pour examiner plus en détail les journaux bruts.
Vous pouvez utiliser l'analyse des journaux bruts pour examiner les artefacts qui apparaissent dans les journaux, mais ne sont pas indexés, y compris:
- Noms d'utilisateur
- Noms de fichiers
- Clés de registre
- Arguments de ligne de commande
- Données brutes liées aux requêtes HTTP
- Noms de domaine basés sur des expressions régulières
- Espaces de noms des composants et adresses
Analyse des journaux bruts
Pour utiliser l'analyse des journaux bruts, saisissez une chaîne de recherche dans le champ de recherche de la page de destination ou de la barre de menu (par exemple, un hachage MD5). Saisissez au moins quatre caractères (caractères génériques inclus). Si Chronicle ne parvient pas à trouver la chaîne de recherche, l'option Analyse des journaux bruts s'ouvre. Indiquez l'heure de début et l'heure de fin (la valeur par défaut est "1 semaine"), puis cliquez sur RECHERCHER.
Analyse des journaux bruts à partir de la page de destination
Les événements associés à la chaîne de recherche s'affichent. Vous pouvez ouvrir le journal brut associé en cliquant sur la flèche.
Vous pouvez également cliquer sur le menu déroulant "Sources de journal", puis sélectionner une ou plusieurs des sources de données que vous envoyez à Chronicle pour effectuer la recherche. Le paramètre par défaut est Tous.
Expressions régulières
Vous pouvez utiliser des expressions régulières pour rechercher et mettre en correspondance des ensembles de chaînes de caractères dans vos données de sécurité à l'aide de Chronicle. Les expressions régulières vous permettent d'affiner votre recherche à l'aide de fragments d'informations plutôt qu'en utilisant (par exemple) un nom de domaine complet.
Pour effectuer une recherche à l'aide d'une expression régulière, saisissez votre recherche dans le champ Rechercher à l'aide de l'expression régulière, cochez la case Exécuter la requête en tant qu'expression régulière, puis cliquez sur RECHERCHER. Votre expression régulière doit comporter entre 4 et 66 caractères.
Exécution de l'analyse des journaux bruts en tant qu'expression régulière
L'infrastructure d'expressions régulières de Chronicle est basée sur Google RE2, un moteur d'expressions régulières Open Source. Chronicle utilise la même syntaxe d'expression régulière. Pour en savoir plus, consultez la documentation RE2.
Le tableau suivant met en évidence certaines des syntaxes d'expressions régulières courantes que vous pouvez utiliser pour vos recherches.
| N'importe quel caractère | |
| nombre x de n'importe quel caractère | {x} |
| Classe de caractères | [xyz] |
| Classe de caractères exclues | [^xyz] |
| Alphanumérique (0-9A-Za-z) | [[:alnum:]] |
| Alphabétique (A-Za-z) | [[:alpha:]] |
| Chiffres (0-9) | [[:chiffre:]] |
| Tout en minuscules (a-z) | [[:lower:]] |
| Majuscules (A-Z) | [[:upper:]] |
| Caractères de mots (0-9A-Za-z_) | [[:word:]] |
| Chiffre hexadécimal (0-9A-Fa-f) | [[:xdigit:]] |
Les exemples suivants montrent comment utiliser cette syntaxe pour effectuer des recherches dans vos données:
goo.le\.com: établir une correspondance avecgoogle.com,goooogle.com, etc.goo\w{3}\.com: correspondent àgoogle.com,goodle.com,goojle.com, etc.[[:digit:]]\.[[:alpha:]]: correspondent à34323.system,23458.office,897.net, etc.
Exemples d'expressions régulières pour rechercher des journaux Windows
Cette section fournit des chaînes de requête avec des expressions régulières que vous pouvez utiliser avec l'analyse de journaux bruts Chronicle pour identifier les événements Windows couramment surveillés. Ces exemples supposent que les messages de journal Windows sont au format JSON.
Pour en savoir plus sur les ID d'événement Windows couramment surveillés, consultez l'article Événements à surveiller dans la documentation Microsoft. Les exemples fournis suivent un modèle similaire, décrit dans ces cas d'utilisation.
| Cas d'utilisation: renvoyer des événements avec l'ID d'événement 1150 | |
| Chaîne Regex: | \"IDévénement\"\:\s*1150 |
| Valeurs correspondantes: | "ID de l'événement":1150 |
| Cas d'utilisation:renvoyer des événements dont l'ID d'événement est 1150 ou 1151 | |
| Chaîne Regex | (?:\"EventID\"\:\s*)(?:1150|1151) |
| Valeurs correspondantes | "EventID":1150 et "EventID":1151 |
| Cas d'utilisation: renvoyer des événements associés à un ID d'événement 1150 ou 1151, et à un ThreatID 9092 | |
| Chaîne Regex | (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092) |
| Valeurs correspondantes | "EventID":1150 <...n'importe quel nombre de caractères...> "ThreadID":9092
et "EventID":1151 <...n'importe quel nombre de caractères...glt; "ThreadID":9092 |
Rechercher des événements de gestion de compte
Ces chaînes de requête à l'aide d'expressions régulières identifient les événements courants de gestion de compte à l'aide de l'attribut EventID.
| Type d'événement | Expression régulière |
| Compte utilisateur créé | EventID\"\:\s*4720 |
| Compte utilisateur activé | ID d'événement\"\:\s*4722 |
| Compte utilisateur désactivé | ID d'événement\"\:\s*4725 |
| Compte utilisateur supprimé | ID d'événement\"\:\s*4726 |
| Modification des droits d'utilisateur | ID d'événement\"\:\s*4703 |
| Membre ajouté au groupe global avec sécurité activée | ID d'événement\"\:\s*4728 |
| Membre supprimé du groupe global avec sécurité activée | ID d'événement\"\:\s*4729 |
| Le groupe global sécurisé a été supprimé | ID d'événement\"\:\s*4730 |
Rechercher les événements de réussite d'ouverture de session
Ces chaînes de requête à l'aide d'expressions régulières identifient les types d'événements d'ouverture de session réussis à l'aide des attributs EventID et LogonType.
| Type d'événement | Expression régulière |
| Connexion réussie | ID d'événement\"\:\s*4624 |
| Connexion réussie - Interactif (Type d'authentification=2) | ID d'événement\"\:\s*4624.*?Type d'authentification\"\:\s*\"2\" |
| Connexion réussie - Connexion groupée (Type d'authentification=4) | ID d'événement\"\:\s*4624.*?Type d'authentification\"\:\s*\"4\" |
| Connexion réussie - Connexion au service (Type d'authentification=5) | ID d'événement\"\:\s*4624.*?Type d'authentification\"\:\s*\"5\" |
| Connexion réussie - Connexion RemoteInteractive (LogonType=10) | ID d'événement\"\:\s*4624.*?Type d'authentification\"\:\s*\"10\" |
| Connexion réussie - Interactif, par lot, service ou RemoteInteractive | (?:EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\" |
Rechercher les événements d'échec d'ouverture de session
Ces chaînes de requête à l'aide d'expressions régulières identifient les types d'événements d'ouverture de session ayant échoué à l'aide des attributs EventID et LogonType.
| Type d'événement | Expression régulière |
| Échec de l'ouverture de session | ID d'événement\"\:\s*4625 |
| Échec de l'authentification - Interactif (Type d'authentification=2) | ID d'événement\"\:\s*4625.*?Type d'authentification\"\:\s*\"2\" |
| Échec d'ouverture de session – Connexion par lot (Type d'authentification=4) | ID d'événement\"\:\s*4625.*?Type d'authentification\"\:\s*\"4\" |
| Échec d'ouverture de session – Connexion au service (Type d'authentification=5) | ID d'événement\"\:\s*4625.*?Type d'authentification\"\:\s*\"5\" |
| Échec de l'ouverture de session - Connexion RemoteInteractive (LogonType=10) | ID d'événement\"\:\s*4625.*?Type d'authentification\"\:\s*\"10\" |
| Échec de l'ouverture de session – Interactif, par lot, Service ou RemoteInteractive | (?:EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\" |
Rechercher des événements de processus, de service et de tâche
Ces chaînes de requête à l'aide d'expressions régulières identifient certains événements de processus et de service à l'aide de l'attribut EventID.
| Type d'événement | Expression régulière |
| Début du processus | ID d'événement\"\:\s*4688 |
| Sortie du processus | ID d'événement\"\:\s*4689 |
| Service installé | ID d'événement\"\:\s*4697 |
| Service créé | ID d'événement\"\:\s*7045 |
| Tâche de planification créée | ID événement\"\:\s*4698 |
Rechercher des événements liés à l'accès aux objets
Ces chaînes de requête avec des expressions régulières identifient différents types d'événements liés aux processus et aux services à l'aide de l'attribut EventID.
| Type d'événement | Expression régulière |
| Journal d'audit effacé | ID d'événement\"\:\s*1102 |
| Tentative d'accès à l'objet | ID d'événement\"\:\s*4663 |
| Partage consulté | ID d'événement\"\:\s*5140 |