Buscar registros sin procesar con el análisis de registros sin procesar
Cuando realizas una búsqueda, Chronicle primero examina los datos de seguridad que se transfirieron, analizaron y normalizaron. Si la información que buscas no se encuentra en los datos normalizados, puedes usar el análisis de registros sin procesar para examinar los registros sin analizar sin procesar. También puedes usar expresiones regulares para examinar más de cerca los registros sin procesar.
Puedes usar el análisis de registros sin procesar para investigar los artefactos que aparecen en los registros, pero no están indexados, por ejemplo:
- Nombres de usuario
- Nombres del archivo
- Claves de registro
- Argumentos de la línea de comandos
- Datos sin procesar relacionados con solicitudes HTTP
- Nombres de dominio basados en expresiones regulares
- Espacios de nombres y direcciones de los recursos
Análisis de registros sin procesar
Para usar el análisis de registros sin procesar, ingresa una cadena de búsqueda en el campo de búsqueda de la página de destino o de la barra de menú (por ejemplo, un hash MD5). Ingresa al menos 4 caracteres (incluidos los comodines). Si Chronicle no puede encontrar la string de búsqueda, abrirá la opción Raw Logs Scan. Especifica la Hora de inicio y la Hora de finalización (el valor predeterminado es 1 semana) y haz clic en BUSCAR.
Escaneo de registro sin procesar desde la página de destino
Se muestran los eventos asociados con la cadena de búsqueda. Puedes abrir el registro sin procesar asociado con solo hacer clic en el botón de flecha.
También puedes hacer clic en el menú desplegable Fuentes de registros y seleccionar una o más de las fuentes de datos que envías a Chronicle para buscarlas. La configuración predeterminada es Todas.
Expresiones regulares
Puedes usar expresiones regulares para buscar conjuntos de cadenas de caracteres y hacer coincidir conjuntos de cadenas de caracteres dentro de tus datos de seguridad con Chronicle. Las expresiones regulares te permiten restringir la búsqueda mediante fragmentos de información, en lugar de usar, por ejemplo, un nombre de dominio completo.
Para ejecutar una búsqueda con la sintaxis de expresiones regulares, ingresa la búsqueda en el campo Buscar con la expresión regular, marca la casilla de verificación Ejecutar consulta como regex y haz clic en BUSCAR. Tu expresión regular debe tener entre 4 y 66 caracteres.
El análisis de registros sin procesar se ejecuta como una expresión regular
La infraestructura de expresiones regulares de Chronicle se basa en Google RE2, un motor de expresiones regulares de código abierto. Chronicle usa la misma sintaxis de expresiones regulares. Consulta la documentación sobre RE2 para obtener más información.
En la siguiente tabla, se destacan algunas de las sintaxis de expresiones regulares comunes que puedes usar para tus búsquedas.
Cualquier carácter | . |
x cantidad de caracteres | {x} |
Clase de personaje | [xyz] |
Clase de carácter negado | [^xyz] |
Alfanuméricos (0-9A-Za-z) | [[:alnum:]] |
Orden alfabético (A-Za-z) | [[:alpha:]] |
Dígitos (0-9) | [[:dígito:]] |
Minúscula (a-z) | [[:lower:]] |
Mayúscula (A-Z) | [[:upper:]] |
Caracteres de palabras (0-9A-Za-z_) | [[:palabra:]] |
Dígito hexadecimal (0-9A-Fa-f) | [[:xdígitos:]] |
Los siguientes ejemplos muestran cómo podrías usar esta sintaxis para buscar en todos tus datos:
goo.le\.com
: coincide congoogle.com
,goooogle.com
, etcétera.goo\w{3}\.com
: coincide congoogle.com
,goodle.com
,goojle.com
, etcétera.[[:digit:]]\.[[:alpha:]]
: coincide con34323.system
,23458.office
,897.net
, etcétera.
Expresiones regulares de muestra para buscar registros de Windows
En esta sección, se proporcionan cadenas de consulta de expresiones regulares que puedes usar con el análisis de registros sin procesar de Chronicle para encontrar eventos de Windows con supervisión general. En estos ejemplos, se supone que los mensajes de registro de Windows están en formato JSON.
Para obtener más información sobre los IDs de eventos de Windows que se supervisan comúnmente, consulta el tema Eventos para supervisar en la documentación de Microsoft. Los ejemplos proporcionados siguen un patrón similar, que se describe en estos casos de uso.
Caso de uso: Muestra eventos con el EventID 1150 | |
Cadena de expresiones regulares: | \"ID del evento\"\:\s*1150 |
Valores coincidentes: | “ID del evento”: 1150 |
Caso de uso:Muestra eventos con un ID de evento que sea 1150 o 1151 | |
Cadena de expresiones regulares | (?:\"EventID\"\:\s*)(?:1150|1151) |
Valores que coinciden | "EventID":1150 y "EventID":1151 |
Caso de uso: Muestra eventos con un ID de evento que sea 1,150 o 1,151, y con ThreatID 9092 | |
Cadena de expresiones regulares | (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092) |
Valores que coinciden | "EventID":1150 <...cualquier cantidad de caracteres...> "ThreadID":9092
y "EventID":1151 <...cualquier cantidad de caracteres...glt; "ThreadID":9092 |
Cómo buscar eventos de administración de la cuenta
Estas cadenas de consulta de expresiones regulares identifican eventos comunes de administración de cuentas mediante el atributo EventID.
Tipo de evento | Expresión regular |
Cuenta de usuario creada | EventID\"\:\s*4720 |
Cuenta de usuario habilitada | ID del evento\"\:\s*4722 |
Cuenta de usuario inhabilitada | ID del evento\"\:\s*4725 |
Cuenta de usuario eliminada | ID del evento\"\:\s*4726 |
Modificación de derechos del usuario | ID del evento\"\:\s*4703 |
Se agregó el miembro al grupo global con seguridad habilitada | ID del evento\"\:\s*4728 |
Se quitó al miembro del grupo global con seguridad habilitada | ID del evento\"\:\s*4729 |
Se borró el grupo global con seguridad habilitada | ID del evento\"\:\s*4730 |
Busca eventos de éxito de acceso
Estas cadenas de consulta de expresiones regulares identifican tipos de eventos de inicio de sesión correctos mediante los atributos EventID y LogonType.
Tipo de evento | Expresión regular |
Se accedió correctamente | ID del evento\"\:\s*4624 |
Inicio de sesión exitoso: interactivo (LogonType=2) | ID del evento\"\:\s*4624.*?LogonType\"\:\s*\"2\" |
Inicio de sesión exitoso: acceso por lotes (LogonType=4) | ID del evento\"\:\s*4624.*?LogonType\"\:\s*\"4\" |
Inicio de sesión correcto: Acceso al servicio (LogonType=5) | ID del evento\"\:\s*4624.*?LogonType\"\:\s*\"5\" |
Inicio de sesión exitoso - Acceso remoto interactivo (LogonType=10) | ID del evento\"\:\s*4624.*?LogonType\"\:\s*\"10\" |
Inicio de sesión exitoso: interactivo, por lotes, de servicio o remoto | (?:EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\" |
Cómo buscar eventos de error de acceso
Estas cadenas de consulta de expresiones regulares identifican los tipos de eventos de acceso con errores mediante los atributos EventID y LogonType.
Tipo de evento | Expresión regular |
Error al iniciar sesión | ID del evento\"\:\s*4625 |
Error de inicio de sesión: interactivo (LogonType=2) | ID del evento\"\:\s*4625.*?LogonType\"\:\s*\"2\" |
Error de inicio de sesión: acceso por lotes (LogonType=4) | ID del evento\"\:\s*4625.*?LogonType\"\:\s*\"4\" |
Error de acceso: Acceso al servicio (LogonType=5) | ID del evento\"\:\s*4625.*?LogonType\"\:\s*\"5\" |
Error de acceso: Acceso remoto interactivo (LogonType=10) | ID del evento\"\:\s*4625.*?LogonType\"\:\s*\"10\" |
Error de inicio de sesión: interactivo, por lotes, de servicio o remoto | (?:EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\" |
Cómo buscar eventos de procesos, tareas y servicios
Estas strings de consulta de expresiones regulares identifican ciertos eventos de procesos y servicios mediante el atributo EventID.
Tipo de evento | Expresión regular |
Inicio del proceso | ID del evento\"\:\s*4688 |
Procesar salida | ID del evento\"\:\s*4689 |
Servicio instalado | ID del evento\"\:\s*4697 |
Se creó un nuevo servicio | ID del evento\"\:\s*7045 |
Programar creación de tarea | ID del evento\"\:\s*4698 |
Encuentra eventos relacionados con el acceso a objetos
Estas cadenas de consulta de expresiones regulares identifican diferentes tipos de eventos relacionados con procesos y servicios mediante el atributo EventID.
Tipo de evento | Expresión regular |
Registro de auditoría borrado | ID del evento\"\:\s*1102 |
Se intentó acceder al objeto | ID del evento\"\:\s*4663 |
Acceso compartido | ID del evento\":\s*5140 |