Mit Raw Log Scan in Rohlogs suchen

Wenn Sie eine Suche ausführen, prüft Chronicle zuerst die aufgenommenen, geparsten und normalisierten Sicherheitsdaten. Wenn die gesuchten Informationen in den normalisierten Daten nicht enthalten sind, können Sie mit dem Raw Log Scan die unverschlüsselten unverschlüsselten Logs überprüfen. Sie können auch reguläre Ausdrücke verwenden, um die Rohlogs genauer zu untersuchen.

Sie können den Raw Log Scan verwenden, um Artefakte zu untersuchen, die in Logs erscheinen, aber nicht indexiert werden, darunter:

  • Nutzernamen
  • Dateinamen
  • Registrierungsschlüssel
  • Befehlszeilenargumente
  • Rohdaten in Bezug auf HTTP-Anfragen
  • Domainnamen basierend auf regulären Ausdrücken
  • Asset-Namen und -Adressen

Informationen zum Verwenden von Raw-Log-Scans und regulären Ausdrücken finden Sie in den folgenden Abschnitten.

Roher Logscan

Wenn Sie den Raw Log Scan verwenden möchten, geben Sie in das Suchfeld auf der Landingpage oder in der Menüleiste einen Suchstring ein, z. B. einen MD5-Hash. Geben Sie mindestens 4 Zeichen ein (einschließlich Platzhaltern). Wenn Chronicle den Suchstring nicht finden kann, wird die Option Raw Logs Scan geöffnet. Geben Sie Start und Ende an (standardmäßig 1 Woche) und klicken Sie auf SUCHEN.

Rohprotokollscan von der Landingpage Rohprotokoll-Scan von der Landingpage

Die mit dem Suchstring verknüpften Ereignisse werden angezeigt. Sie können das zugehörige Rohlog öffnen, indem Sie auf die Pfeilschaltfläche klicken.

Sie können auch auf das Drop-down-Menü LogLogquellen“ klicken und eine oder mehrere Datenquellen auswählen, die Sie zur Suche in Chronicle senden. Die Standardeinstellung ist Alle.

Reguläre Ausdrücke

Sie können mithilfe von regulären Ausdrücken in Chronle nach Zeichenstrings in Ihren Sicherheitsdaten suchen und diese abgleichen. Mit regulären Ausdrücken können Sie Ihre Suche mithilfe von Informationsfragmenten eingrenzen, anstatt einen vollständigen Domainnamen zu verwenden.

Um eine Suche mit der Syntax eines regulären Ausdrucks durchzuführen, geben Sie Ihre Suche in das Feld Suche mit dem regulären Ausdruck ein. Klicken Sie dann auf das Kästchen Abfrage als Regex ausführen. Klicke auf SUCHEN. Der reguläre Ausdruck muss 4 bis 66 Zeichen lang sein.

Raw-Log-Scan als regulärer Ausdruck ausführen Standardmäßiger Logscan als regulärer Ausdruck ausführen

Die Infrastruktur für reguläre Ausdrücke von Chronicle basiert auf Google RE2, einer Open-Source-Engine für reguläre Ausdrücke. Chronicle verwendet dieselbe Syntax für reguläre Ausdrücke. Weitere Informationen finden Sie in der RE2-Dokumentation.

In der folgenden Tabelle sind einige der gängigen Syntaxen für reguläre Ausdrücke aufgeführt, die Sie für Ihre Suchanfragen verwenden können.

Alle Zeichen .
x beliebige Zeichen {x}
Zeichenklasse [xyz]
Negierte Zeichenklasse [^xyz]
Alphanumerisch (0-9A-Za-z) [[:alnum:]]
Alphabetisch, A–Z, z–z [[:alpha:]]
Ziffern (0–9) [[:Ziffer:]]
Kleinschreibung (az) [[:niedriger:]]
Großschreibung (AZ) [[:Ober:]]
Wortzeichen (0-9A-Za-z_) [[:word:]]
Hexadezimalzahl (0–9A–Fa–f) [[:xdigit:]]

Die folgenden Beispiele veranschaulichen, wie Sie mithilfe dieser Syntax in Ihren Daten suchen können:

  • goo.le\.com: entspricht google.com, goooogle.com usw.
  • goo\w{3}\.com: entspricht google.com, goodle.com, goojle.com usw.
  • [[:digit:]]\.[[:alpha:]]: entspricht 34323.system, 23458.office, 897.net usw.

Beispiele für reguläre Ausdrücke zur Suche nach Windows-Logs

Dieser Abschnitt enthält Abfragestrings für reguläre Ausdrücke, die Sie mit dem Chronicle-Rohprotokollscan verwenden können, um häufig überwachte Windows-Ereignisse zu finden. Bei diesen Beispielen wird davon ausgegangen, dass die Windows-Lognachrichten im JSON-Format vorliegen.

Weitere Informationen zu häufig überwachten Windows-Ereignis-IDs finden Sie im Thema Zu überwachende Ereignisse in der Microsoft-Dokumentation. Die bereitgestellten Beispiele folgen einem ähnlichen Muster, das in diesen Anwendungsfällen beschrieben wird.

Anwendungsfall: Rückgabeereignisse mit EventID 1150
Regex-String: \"Ereignis-ID\"\:\s*1150
Übereinstimmende Werte: EventEventID“:1150
Anwendungsfall:Ereignisse mit der Ereignis-ID 1150 oder 1151 zurückgeben
Regex-String (?:\"Ereignis-ID\"\:\s*)(?:1150|1151)
Übereinstimmende Werte EventEventID“:1150 und EventEventID“:1151
Anwendungsfall: Ereignisse mit der Ereignis-ID 1150 oder 1151 und mit ThreatID 9092 zurückgeben
Regex-String (?:\"Ereignis-ID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092)
Übereinstimmende Werte "EventID":1150 <... beliebige Anzahl von Zeichen...> "ThreadID":9092
und
"EventID":1151 <. ...eine beliebige Anzahl von Zeichen...glt ThreadThreadID“:9092

Kontoverwaltungsereignisse suchen

Diese Abfragestrings für reguläre Ausdrücke identifizieren häufige Kontoverwaltungsereignisse mit dem Ereignis-ID-Attribut.

Art der Veranstaltung Regulärer Ausdruck
Nutzerkonto erstellt EventID\"\:\s*4720
Nutzerkonto aktiviert Ereignis-ID\"\:\s*4722
Nutzerkonto deaktiviert Ereignis-ID\"\:\s*4725
Nutzerkonto gelöscht Ereignis-ID\"\:\s*4726
Änderung der Nutzerrechte Ereignis-ID\"\:\s*4703
Mitglied wurde zur globalen Gruppe SecuritySicherheit aktiviert“ hinzugefügt Ereignis-ID\"\:\s*4728
Mitglied aus globaler Sicherheitsgruppe entfernt Ereignis-ID\"\:\s*4729
Globale Sicherheitsgruppe wurde gelöscht Ereignis-ID\"\:\s*4730

Anmeldeerfolgsereignisse suchen

Diese Abfragestrings für reguläre Ausdrücke identifizieren die Typen erfolgreicher Anmeldeereignisse mit den Attributen "EventID" und "LogonType".

Art der Veranstaltung Regulärer Ausdruck
Anmeldung erfolgreich Ereignis-ID\"\:\s*4624
Anmeldung erfolgreich – Interaktiv (LogonType=2) Ereignis-ID\"\:\s*4624.*?LogonType\"\:\s*\"2\"
Anmeldung erfolgreich – Batch-Anmeldung (LogonType=4) Ereignis-ID\"\:\s*4624.*?LogonType\"\:\s*\"4\"
Anmeldung erfolgreich – Dienstanmeldung (LogonType=5) Ereignis-ID\"\:\s*4624.*?LogonType\"\:\s*\"5\"
Anmeldung erfolgreich – RemoteInteractive Log-in (LogonType=10) Ereignis-ID\"\:\s*4624.*?LogonType\"\:\s*\"10\"
Anmeldung erfolgreich – interaktiv, Batch, Dienst oder RemoteInteractive (?:EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\"

Anmeldefehler suchen

Diese Abfragestrings für reguläre Ausdrücke identifizieren die Typen fehlgeschlagener Anmeldeereignisse mit den Attributen "EventID" und "LogonType".

Art der Veranstaltung Regulärer Ausdruck
Fehler bei der Anmeldung Ereignis-ID\"\:\s*4625
Fehler bei der Anmeldung – interaktiv (LogonType=2) Ereignis-ID\"\:\s*4625.*?LogonType\"\:\s*\"2\"
Anmeldungsfehler – Batch-Anmeldung (LogonType=4) Ereignis-ID\"\:\s*4625.*?LogonType\"\:\s*\"4\"
Anmeldungsfehler – Dienstanmeldung (LogonType=5) Ereignis-ID\"\:\s*4625.*?LogonType\"\:\s*\"5\"
Anmeldungsfehler – RemoteInteractive Log-in (LogonType=10) Ereignis-ID\"\:\s*4625.*?LogonType\"\:\s*\"10\"
Fehler bei der Anmeldung – interaktiv, Batch, Dienst oder RemoteInteractive (?:EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\"

Prozess-, Dienst- und Aufgabenereignisse suchen

Diese Abfragestrings für reguläre Ausdrücke identifizieren bestimmte Prozess- und Dienstereignisse mit dem Attribut EventID.

Art der Veranstaltung Regulärer Ausdruck
Prozessstart Ereignis-ID\"\:\s*4688
Exit beenden Ereignis-ID\"\:\s*4689
Dienst installiert Ereignis-ID\"\:\s*4697
Neuer Dienst erstellt Ereignis-ID\\s*7045
Aufgabe erstellen Ereignis-ID\"\:\s*4698

Mit diesen Abfragestrings für reguläre Ausdrücke werden verschiedene Arten von prozess- und dienstbezogenen Ereignissen mithilfe des Attributs "EventID" identifiziert.

Art der Veranstaltung Regulärer Ausdruck
Audit-Log gelöscht Ereignis-ID\"\:\s*1102
Objektzugriff versucht Ereignis-ID\"\:\s*4663
Zugriff freigegeben Ereignis-ID\"\:\s*5140