Wenn Sie eine Suche ausführen, untersucht Chronicle zuerst die Sicherheitsdaten, die aufgenommen, geparst und normalisiert wurden. Wenn die gesuchten Informationen nicht in den normalisierten Daten enthalten sind, können Sie mit den Rohprotokollscans die nicht geparsten Rohlogs prüfen. Außerdem können Sie mit regulären Ausdrücken die Rohlogs genauer analysieren.
Sie können den Raw-Log-Scan verwenden, um Artefakte zu untersuchen, die in Logs angezeigt, aber nicht indexiert werden. Dazu gehören:
- Nutzernamen
- Dateinamen
- Registrierungsschlüssel
- Befehlszeilenargumente
- Rohdaten zu HTTP-Anfragen
- Domainnamen, die auf regulären Ausdrücken basieren
- Asset-Namen und -Adressen
In den folgenden Abschnitten erfahren Sie, wie Sie den Rohlogscan und reguläre Ausdrücke verwenden.
Rohlogscan
Geben Sie zur Verwendung des Rohprotokollscans einen Suchstring in das Suchfeld entweder auf der Landingpage oder in der Menüleiste ein, z. B. einen MD5-Hash. Geben Sie mindestens 4 Zeichen ein (einschließlich Platzhaltern). Wenn Chronicle den Suchstring nicht findet, wird die Option Raw Logs Scan (Rohdaten-Logscan) geöffnet. Geben Sie die Start- und Endzeit an (Standard ist 1 Woche) und klicken Sie auf SUCHEN.
Standard-Log-Scan von der Landingpage
Es werden Ereignisse angezeigt, die dem Suchstring zugeordnet sind. Sie können das zugehörige Rohlog öffnen, indem Sie auf die Pfeilschaltfläche klicken.
Sie können auch auf das Drop-down-Menü "Log Sources" (Logquellen) klicken und eine oder mehrere Datenquellen auswählen, die Sie für die Suche an Chronicle senden. Die Standardeinstellung ist Alle.
Reguläre Ausdrücke
Sie können mit regulären Ausdrücken nach Chronicle-Zeichensätzen in Ihren Sicherheitsdaten suchen und diese abgleichen. Mit regulären Ausdrücken können Sie Ihre Suche mit Informationsfragmenten eingrenzen, anstatt beispielsweise einen vollständigen Domainnamen zu verwenden.
Geben Sie für die Suche mit dem regulären Ausdruck das Feld Suche mit dem regulären Ausdruck ein, indem Sie das Kästchen Abfrage als Regex ausführen anklicken. Klicken Sie auf SUCHEN. Der reguläre Ausdruck muss 4 bis 66 Zeichen lang sein.
Standard-Logscan als regulärer Ausdruck ausgeführt
Die Infrastruktur für reguläre Ausdrücke von Chronicle basiert auf Google RE2, einer Open-Source-Engine für reguläre Ausdrücke. Chronicle verwendet die gleiche Syntax für reguläre Ausdrücke. Weitere Informationen finden Sie in der RE2-Dokumentation.
In der folgenden Tabelle sind einige der gängigen Syntaxen für reguläre Ausdrücke aufgeführt, die Sie für Ihre Suchanfragen verwenden können.
| Alle Zeichen | . |
| x-Zeichen aller Zeichen | {x} |
| Zeichenklasse | [xyz] |
| Negierte Zeichenklasse | [^XYZ] |
| Alphanumerisch (0–9A–Za–z) | [[:alnum:]] |
| Alphabetisch (A–Za–z) | [[:alpha:]] |
| Ziffern (0–9) | [[:Ziffer:]] |
| Kleinschreibung (az) | [[:lower:]] |
| Großbuchstabe (AZ) | [[:Ober:]] |
| Wortzeichen (0-9A-Za-z_) | [[:word:]] |
| Hexadezimalzahl (0–9A–Fa–f) | [[:xZiffer:]] |
Die folgenden Beispiele zeigen, wie Sie mit dieser Syntax in Ihren Daten suchen können:
goo.le\.com: entsprichtgoogle.com,goooogle.comusw.goo\w{3}\.com: entsprichtgoogle.com,goodle.com,goojle.comusw.[[:digit:]]\.[[:alpha:]]: entspricht34323.system,23458.office,897.netusw.
Beispiel für reguläre Ausdrücke für die Suche nach Windows-Logs
Dieser Abschnitt enthält Abfragestrings für reguläre Ausdrücke, die Sie mit dem Chronicle-Rohprotokollscan verwenden können, um häufig überwachte Windows-Ereignisse zu finden. In diesen Beispielen wird davon ausgegangen, dass die Windows-Lognachrichten im JSON-Format vorliegen.
Weitere Informationen zu häufig überwachten Windows-Ereignis-IDs finden Sie unter dem Thema Ereignisse, die überwacht werden sollen in der Microsoft-Dokumentation. Die bereitgestellten Beispiele folgen einem ähnlichen Muster, das in diesen Anwendungsfällen beschrieben wird.
| Anwendungsfall: Ereignisse mit der EventID 1150 zurückgeben | |
| Regex-String: | \"Ereignis-ID\"\:\s*1150 |
| Übereinstimmende Werte: | "EventID":1150 |
| Anwendungsfall:Ereignisse mit einer Ereignis-ID zurückgeben, die entweder 1150 oder 1151 ist | |
| Regex-String | (?:\"Ereignis-ID\"\:\s*)(?:1150|1151) |
| Übereinstimmende Werte | "EventID":1150 und "EventID":1151 |
| Anwendungsfall: Ereignisse mit der Ereignis-ID 1150 oder 1151 und mit ThreatID 9092 zurückgeben | |
| Regex-String | (?:\"Ereignis-ID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092) |
| Übereinstimmende Werte | "EventID":1150 <...Beliebig viele Zeichen...> "ThreadID":9092
und "EventID":1151 <. ...eine beliebige Anzahl an Zeichen...glt; ThreadThreadID“:9092 |
Veranstaltungen zur Kontoverwaltung finden
Mit diesen Abfragestrings für häufige Ausdrücke werden allgemeine Kontoverwaltungsereignisse mit dem Attribut "EventID" identifiziert.
| Art der Veranstaltung | Regulärer Ausdruck |
| Nutzerkonto erstellt | EventID\"\:\s*4720 |
| Nutzerkonto aktiviert | Ereignis-ID\"\:\s*4722 |
| Nutzerkonto deaktiviert | Ereignis-ID\"\:\s*4725 |
| Nutzerkonto gelöscht | Ereignis-ID\"\:\s*4726 |
| Änderung der Nutzerrechte | Ereignis-ID\"\:\s*4703 |
| Mitglied zur globalen Gruppe mit aktivierter Sicherheit hinzugefügt | Ereignis-ID\"\:\s*4728 |
| Mitglied aus der globalen Gruppe mit aktivierter Sicherheit entfernt | Ereignis-ID\"\:\s*4729 |
| Globale Gruppe mit aktivierter Sicherheit wurde gelöscht | Ereignis-ID\"\:\s*4730 |
Erfolgsereignisse für Anmeldungen suchen
Diese Abfragestrings für reguläre Ausdrücke identifizieren Typen erfolgreicher Anmeldeereignisse mithilfe der Attribute "EventID" und "LogonType".
| Art der Veranstaltung | Regulärer Ausdruck |
| Anmeldung erfolgreich | Ereignis-ID\"\:\s*4624 |
| Anmeldung erfolgreich - Interaktiv (Anmeldetyp=2) | Ereignis-ID\"\:\s*4624.*?LogonType\\s*\"2\" |
| Anmeldung erfolgreich - Batch-Anmeldung (AnmeldenType=4) | Ereignis-ID\"\:\s*4624.*?LogonType\\s*\"4\" |
| Anmeldung erfolgreich - Dienstanmeldung (Anmeldetyp=5) | Ereignis-ID\"\:\s*4624.*?LogonType\\s*\"5\" |
| Anmeldung erfolgreich - RemoteInteractive-Anmeldung (LogonType=10) | Ereignis-ID\"\:\s*4624.*?LogonType\\s*\"10\" |
| Anmeldung erfolgreich – Interaktiv, Batch, Dienst oder RemoteInteractive | (?:EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\" |
Anmeldefehlerereignisse suchen
Diese Abfragestrings für reguläre Ausdrücke identifizieren Typen von fehlgeschlagenen Anmeldeereignissen anhand der Attribute "EventID" und "LogonType".
| Art der Veranstaltung | Regulärer Ausdruck |
| Anmeldefehler | Ereignis-ID\"\:\s*4625 |
| Anmeldefehler – Interaktiv (LogonType=2) | Ereignis-ID\"\:\s*4625.*?LogonType\\s*\"2\" |
| Anmeldefehler – Batch-Anmeldung (AnmeldenType=4) | Ereignis-ID\"\:\s*4625.*?LogonType\\s*\"4\" |
| Anmeldefehler – Dienstanmeldung (Anmeldetyp=5) | Ereignis-ID\"\:\s*4625.*?LogonType\\s*\"5\" |
| Anmeldefehler – RemoteInteractive Login (LogonType=10) | Ereignis-ID\"\:\s*4625.*?LogonType\\s*\"10\" |
| Anmeldefehler – Interaktiv, Batch, Dienst oder RemoteInteractive | (?:Ereignis-ID\"\:\s*4625.*LogonType\\s*\")(?:2|4|5|10)\" |
Prozess-, Dienst- und Aufgabenereignisse suchen
Diese Abfragestrings für reguläre Ausdrücke identifizieren bestimmte Prozess- und Dienstereignisse mit dem Ereignis-ID-Attribut.
| Art der Veranstaltung | Regulärer Ausdruck |
| Prozessbeginn | Ereignis-ID\"\:\s*4688 |
| Exit beenden | Ereignis-ID\"\:\s*4689 |
| Dienst installiert | Ereignis-ID\"\:\s*4697 |
| Neuer Dienst erstellt | Ereignis-ID\"\:\s*7045 |
| Geplante Aufgabe erstellen | Ereignis-ID\"\:\s*4698 |
Ereignisse in Bezug auf den Objektzugriff finden
Diese Abfragestrings für reguläre Ausdrücke identifizieren verschiedene Arten von Prozess- und dienstbezogenen Ereignissen mithilfe des Attributs "EventID".
| Art der Veranstaltung | Regulärer Ausdruck |
| Audit-Log gelöscht | Ereignis-ID\"\:\s*1102 |
| Objektzugriff versucht | Ereignis-ID\"\:\s*4663 |
| Zugriff freigeben | Ereignis-ID\"\:\s*5140 |