Raw-Logs mit Raw-Log-Scan durchsuchen

Wenn Sie eine Suche ausführen, untersucht Chronicle zuerst die Sicherheitsdaten, die aufgenommen, geparst und normalisiert wurden. Wenn die gesuchten Informationen nicht in den normalisierten Daten enthalten sind, können Sie mit den Rohprotokollscans die nicht geparsten Rohlogs prüfen. Außerdem können Sie mit regulären Ausdrücken die Rohlogs genauer analysieren.

Sie können den Raw-Log-Scan verwenden, um Artefakte zu untersuchen, die in Logs angezeigt, aber nicht indexiert werden. Dazu gehören:

  • Nutzernamen
  • Dateinamen
  • Registrierungsschlüssel
  • Befehlszeilenargumente
  • Rohdaten zu HTTP-Anfragen
  • Domainnamen, die auf regulären Ausdrücken basieren
  • Asset-Namen und -Adressen

In den folgenden Abschnitten erfahren Sie, wie Sie den Rohlogscan und reguläre Ausdrücke verwenden.

Rohlogscan

Geben Sie zur Verwendung des Rohprotokollscans einen Suchstring in das Suchfeld entweder auf der Landingpage oder in der Menüleiste ein, z. B. einen MD5-Hash. Geben Sie mindestens 4 Zeichen ein (einschließlich Platzhaltern). Wenn Chronicle den Suchstring nicht findet, wird die Option Raw Logs Scan (Rohdaten-Logscan) geöffnet. Geben Sie die Start- und Endzeit an (Standard ist 1 Woche) und klicken Sie auf SUCHEN.

Rohprotokollscan von der Landingpage Standard-Log-Scan von der Landingpage

Es werden Ereignisse angezeigt, die dem Suchstring zugeordnet sind. Sie können das zugehörige Rohlog öffnen, indem Sie auf die Pfeilschaltfläche klicken.

Sie können auch auf das Drop-down-Menü "Log Sources" (Logquellen) klicken und eine oder mehrere Datenquellen auswählen, die Sie für die Suche an Chronicle senden. Die Standardeinstellung ist Alle.

Reguläre Ausdrücke

Sie können mit regulären Ausdrücken nach Chronicle-Zeichensätzen in Ihren Sicherheitsdaten suchen und diese abgleichen. Mit regulären Ausdrücken können Sie Ihre Suche mit Informationsfragmenten eingrenzen, anstatt beispielsweise einen vollständigen Domainnamen zu verwenden.

Geben Sie für die Suche mit dem regulären Ausdruck das Feld Suche mit dem regulären Ausdruck ein, indem Sie das Kästchen Abfrage als Regex ausführen anklicken. Klicken Sie auf SUCHEN. Der reguläre Ausdruck muss 4 bis 66 Zeichen lang sein.

Raw-Protokollscan als regulärer Ausdruck ausführen Standard-Logscan als regulärer Ausdruck ausgeführt

Die Infrastruktur für reguläre Ausdrücke von Chronicle basiert auf Google RE2, einer Open-Source-Engine für reguläre Ausdrücke. Chronicle verwendet die gleiche Syntax für reguläre Ausdrücke. Weitere Informationen finden Sie in der RE2-Dokumentation.

In der folgenden Tabelle sind einige der gängigen Syntaxen für reguläre Ausdrücke aufgeführt, die Sie für Ihre Suchanfragen verwenden können.

Alle Zeichen .
x-Zeichen aller Zeichen {x}
Zeichenklasse [xyz]
Negierte Zeichenklasse [^XYZ]
Alphanumerisch (0–9A–Za–z) [[:alnum:]]
Alphabetisch (A–Za–z) [[:alpha:]]
Ziffern (0–9) [[:Ziffer:]]
Kleinschreibung (az) [[:lower:]]
Großbuchstabe (AZ) [[:Ober:]]
Wortzeichen (0-9A-Za-z_) [[:word:]]
Hexadezimalzahl (0–9A–Fa–f) [[:xZiffer:]]

Die folgenden Beispiele zeigen, wie Sie mit dieser Syntax in Ihren Daten suchen können:

  • goo.le\.com: entspricht google.com, goooogle.com usw.
  • goo\w{3}\.com: entspricht google.com, goodle.com, goojle.com usw.
  • [[:digit:]]\.[[:alpha:]]: entspricht 34323.system, 23458.office, 897.net usw.

Beispiel für reguläre Ausdrücke für die Suche nach Windows-Logs

Dieser Abschnitt enthält Abfragestrings für reguläre Ausdrücke, die Sie mit dem Chronicle-Rohprotokollscan verwenden können, um häufig überwachte Windows-Ereignisse zu finden. In diesen Beispielen wird davon ausgegangen, dass die Windows-Lognachrichten im JSON-Format vorliegen.

Weitere Informationen zu häufig überwachten Windows-Ereignis-IDs finden Sie unter dem Thema Ereignisse, die überwacht werden sollen in der Microsoft-Dokumentation. Die bereitgestellten Beispiele folgen einem ähnlichen Muster, das in diesen Anwendungsfällen beschrieben wird.

Anwendungsfall: Ereignisse mit der EventID 1150 zurückgeben
Regex-String: \"Ereignis-ID\"\:\s*1150
Übereinstimmende Werte: "EventID":1150
Anwendungsfall:Ereignisse mit einer Ereignis-ID zurückgeben, die entweder 1150 oder 1151 ist
Regex-String (?:\"Ereignis-ID\"\:\s*)(?:1150|1151)
Übereinstimmende Werte "EventID":1150 und "EventID":1151
Anwendungsfall: Ereignisse mit der Ereignis-ID 1150 oder 1151 und mit ThreatID 9092 zurückgeben
Regex-String (?:\"Ereignis-ID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092)
Übereinstimmende Werte "EventID":1150 <...Beliebig viele Zeichen...> "ThreadID":9092
und
"EventID":1151 <. ...eine beliebige Anzahl an Zeichen...glt; ThreadThreadID“:9092

Veranstaltungen zur Kontoverwaltung finden

Mit diesen Abfragestrings für häufige Ausdrücke werden allgemeine Kontoverwaltungsereignisse mit dem Attribut "EventID" identifiziert.

Art der Veranstaltung Regulärer Ausdruck
Nutzerkonto erstellt EventID\"\:\s*4720
Nutzerkonto aktiviert Ereignis-ID\"\:\s*4722
Nutzerkonto deaktiviert Ereignis-ID\"\:\s*4725
Nutzerkonto gelöscht Ereignis-ID\"\:\s*4726
Änderung der Nutzerrechte Ereignis-ID\"\:\s*4703
Mitglied zur globalen Gruppe mit aktivierter Sicherheit hinzugefügt Ereignis-ID\"\:\s*4728
Mitglied aus der globalen Gruppe mit aktivierter Sicherheit entfernt Ereignis-ID\"\:\s*4729
Globale Gruppe mit aktivierter Sicherheit wurde gelöscht Ereignis-ID\"\:\s*4730

Erfolgsereignisse für Anmeldungen suchen

Diese Abfragestrings für reguläre Ausdrücke identifizieren Typen erfolgreicher Anmeldeereignisse mithilfe der Attribute "EventID" und "LogonType".

Art der Veranstaltung Regulärer Ausdruck
Anmeldung erfolgreich Ereignis-ID\"\:\s*4624
Anmeldung erfolgreich - Interaktiv (Anmeldetyp=2) Ereignis-ID\"\:\s*4624.*?LogonType\\s*\"2\"
Anmeldung erfolgreich - Batch-Anmeldung (AnmeldenType=4) Ereignis-ID\"\:\s*4624.*?LogonType\\s*\"4\"
Anmeldung erfolgreich - Dienstanmeldung (Anmeldetyp=5) Ereignis-ID\"\:\s*4624.*?LogonType\\s*\"5\"
Anmeldung erfolgreich - RemoteInteractive-Anmeldung (LogonType=10) Ereignis-ID\"\:\s*4624.*?LogonType\\s*\"10\"
Anmeldung erfolgreich – Interaktiv, Batch, Dienst oder RemoteInteractive (?:EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\"

Anmeldefehlerereignisse suchen

Diese Abfragestrings für reguläre Ausdrücke identifizieren Typen von fehlgeschlagenen Anmeldeereignissen anhand der Attribute "EventID" und "LogonType".

Art der Veranstaltung Regulärer Ausdruck
Anmeldefehler Ereignis-ID\"\:\s*4625
Anmeldefehler – Interaktiv (LogonType=2) Ereignis-ID\"\:\s*4625.*?LogonType\\s*\"2\"
Anmeldefehler – Batch-Anmeldung (AnmeldenType=4) Ereignis-ID\"\:\s*4625.*?LogonType\\s*\"4\"
Anmeldefehler – Dienstanmeldung (Anmeldetyp=5) Ereignis-ID\"\:\s*4625.*?LogonType\\s*\"5\"
Anmeldefehler – RemoteInteractive Login (LogonType=10) Ereignis-ID\"\:\s*4625.*?LogonType\\s*\"10\"
Anmeldefehler – Interaktiv, Batch, Dienst oder RemoteInteractive (?:Ereignis-ID\"\:\s*4625.*LogonType\\s*\")(?:2|4|5|10)\"

Prozess-, Dienst- und Aufgabenereignisse suchen

Diese Abfragestrings für reguläre Ausdrücke identifizieren bestimmte Prozess- und Dienstereignisse mit dem Ereignis-ID-Attribut.

Art der Veranstaltung Regulärer Ausdruck
Prozessbeginn Ereignis-ID\"\:\s*4688
Exit beenden Ereignis-ID\"\:\s*4689
Dienst installiert Ereignis-ID\"\:\s*4697
Neuer Dienst erstellt Ereignis-ID\"\:\s*7045
Geplante Aufgabe erstellen Ereignis-ID\"\:\s*4698

Diese Abfragestrings für reguläre Ausdrücke identifizieren verschiedene Arten von Prozess- und dienstbezogenen Ereignissen mithilfe des Attributs "EventID".

Art der Veranstaltung Regulärer Ausdruck
Audit-Log gelöscht Ereignis-ID\"\:\s*1102
Objektzugriff versucht Ereignis-ID\"\:\s*4663
Zugriff freigeben Ereignis-ID\"\:\s*5140