Mit Raw Log Scan in Rohlogs suchen
Wenn Sie eine Suche ausführen, prüft Chronicle zuerst die aufgenommenen, geparsten und normalisierten Sicherheitsdaten. Wenn die gesuchten Informationen in den normalisierten Daten nicht enthalten sind, können Sie mit dem Raw Log Scan die unverschlüsselten unverschlüsselten Logs überprüfen. Sie können auch reguläre Ausdrücke verwenden, um die Rohlogs genauer zu untersuchen.
Sie können den Raw Log Scan verwenden, um Artefakte zu untersuchen, die in Logs erscheinen, aber nicht indexiert werden, darunter:
- Nutzernamen
- Dateinamen
- Registrierungsschlüssel
- Befehlszeilenargumente
- Rohdaten in Bezug auf HTTP-Anfragen
- Domainnamen basierend auf regulären Ausdrücken
- Asset-Namen und -Adressen
Informationen zum Verwenden von Raw-Log-Scans und regulären Ausdrücken finden Sie in den folgenden Abschnitten.
Roher Logscan
Wenn Sie den Raw Log Scan verwenden möchten, geben Sie in das Suchfeld auf der Landingpage oder in der Menüleiste einen Suchstring ein, z. B. einen MD5-Hash. Geben Sie mindestens 4 Zeichen ein (einschließlich Platzhaltern). Wenn Chronicle den Suchstring nicht finden kann, wird die Option Raw Logs Scan geöffnet. Geben Sie Start und Ende an (standardmäßig 1 Woche) und klicken Sie auf SUCHEN.
Rohprotokoll-Scan von der Landingpage
Die mit dem Suchstring verknüpften Ereignisse werden angezeigt. Sie können das zugehörige Rohlog öffnen, indem Sie auf die Pfeilschaltfläche klicken.
Sie können auch auf das Drop-down-Menü LogLogquellen“ klicken und eine oder mehrere Datenquellen auswählen, die Sie zur Suche in Chronicle senden. Die Standardeinstellung ist Alle.
Reguläre Ausdrücke
Sie können mithilfe von regulären Ausdrücken in Chronle nach Zeichenstrings in Ihren Sicherheitsdaten suchen und diese abgleichen. Mit regulären Ausdrücken können Sie Ihre Suche mithilfe von Informationsfragmenten eingrenzen, anstatt einen vollständigen Domainnamen zu verwenden.
Um eine Suche mit der Syntax eines regulären Ausdrucks durchzuführen, geben Sie Ihre Suche in das Feld Suche mit dem regulären Ausdruck ein. Klicken Sie dann auf das Kästchen Abfrage als Regex ausführen. Klicke auf SUCHEN. Der reguläre Ausdruck muss 4 bis 66 Zeichen lang sein.
Standardmäßiger Logscan als regulärer Ausdruck ausführen
Die Infrastruktur für reguläre Ausdrücke von Chronicle basiert auf Google RE2, einer Open-Source-Engine für reguläre Ausdrücke. Chronicle verwendet dieselbe Syntax für reguläre Ausdrücke. Weitere Informationen finden Sie in der RE2-Dokumentation.
In der folgenden Tabelle sind einige der gängigen Syntaxen für reguläre Ausdrücke aufgeführt, die Sie für Ihre Suchanfragen verwenden können.
| Alle Zeichen | . |
| x beliebige Zeichen | {x} |
| Zeichenklasse | [xyz] |
| Negierte Zeichenklasse | [^xyz] |
| Alphanumerisch (0-9A-Za-z) | [[:alnum:]] |
| Alphabetisch, A–Z, z–z | [[:alpha:]] |
| Ziffern (0–9) | [[:Ziffer:]] |
| Kleinschreibung (az) | [[:niedriger:]] |
| Großschreibung (AZ) | [[:Ober:]] |
| Wortzeichen (0-9A-Za-z_) | [[:word:]] |
| Hexadezimalzahl (0–9A–Fa–f) | [[:xdigit:]] |
Die folgenden Beispiele veranschaulichen, wie Sie mithilfe dieser Syntax in Ihren Daten suchen können:
goo.le\.com: entsprichtgoogle.com,goooogle.comusw.goo\w{3}\.com: entsprichtgoogle.com,goodle.com,goojle.comusw.[[:digit:]]\.[[:alpha:]]: entspricht34323.system,23458.office,897.netusw.
Beispiele für reguläre Ausdrücke zur Suche nach Windows-Logs
Dieser Abschnitt enthält Abfragestrings für reguläre Ausdrücke, die Sie mit dem Chronicle-Rohprotokollscan verwenden können, um häufig überwachte Windows-Ereignisse zu finden. Bei diesen Beispielen wird davon ausgegangen, dass die Windows-Lognachrichten im JSON-Format vorliegen.
Weitere Informationen zu häufig überwachten Windows-Ereignis-IDs finden Sie im Thema Zu überwachende Ereignisse in der Microsoft-Dokumentation. Die bereitgestellten Beispiele folgen einem ähnlichen Muster, das in diesen Anwendungsfällen beschrieben wird.
| Anwendungsfall: Rückgabeereignisse mit EventID 1150 | |
| Regex-String: | \"Ereignis-ID\"\:\s*1150 |
| Übereinstimmende Werte: | EventEventID“:1150 |
| Anwendungsfall:Ereignisse mit der Ereignis-ID 1150 oder 1151 zurückgeben | |
| Regex-String | (?:\"Ereignis-ID\"\:\s*)(?:1150|1151) |
| Übereinstimmende Werte | EventEventID“:1150 und EventEventID“:1151 |
| Anwendungsfall: Ereignisse mit der Ereignis-ID 1150 oder 1151 und mit ThreatID 9092 zurückgeben | |
| Regex-String | (?:\"Ereignis-ID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092) |
| Übereinstimmende Werte | "EventID":1150 <... beliebige Anzahl von Zeichen...> "ThreadID":9092
und "EventID":1151 <. ...eine beliebige Anzahl von Zeichen...glt ThreadThreadID“:9092 |
Kontoverwaltungsereignisse suchen
Diese Abfragestrings für reguläre Ausdrücke identifizieren häufige Kontoverwaltungsereignisse mit dem Ereignis-ID-Attribut.
| Art der Veranstaltung | Regulärer Ausdruck |
| Nutzerkonto erstellt | EventID\"\:\s*4720 |
| Nutzerkonto aktiviert | Ereignis-ID\"\:\s*4722 |
| Nutzerkonto deaktiviert | Ereignis-ID\"\:\s*4725 |
| Nutzerkonto gelöscht | Ereignis-ID\"\:\s*4726 |
| Änderung der Nutzerrechte | Ereignis-ID\"\:\s*4703 |
| Mitglied wurde zur globalen Gruppe SecuritySicherheit aktiviert“ hinzugefügt | Ereignis-ID\"\:\s*4728 |
| Mitglied aus globaler Sicherheitsgruppe entfernt | Ereignis-ID\"\:\s*4729 |
| Globale Sicherheitsgruppe wurde gelöscht | Ereignis-ID\"\:\s*4730 |
Anmeldeerfolgsereignisse suchen
Diese Abfragestrings für reguläre Ausdrücke identifizieren die Typen erfolgreicher Anmeldeereignisse mit den Attributen "EventID" und "LogonType".
| Art der Veranstaltung | Regulärer Ausdruck |
| Anmeldung erfolgreich | Ereignis-ID\"\:\s*4624 |
| Anmeldung erfolgreich – Interaktiv (LogonType=2) | Ereignis-ID\"\:\s*4624.*?LogonType\"\:\s*\"2\" |
| Anmeldung erfolgreich – Batch-Anmeldung (LogonType=4) | Ereignis-ID\"\:\s*4624.*?LogonType\"\:\s*\"4\" |
| Anmeldung erfolgreich – Dienstanmeldung (LogonType=5) | Ereignis-ID\"\:\s*4624.*?LogonType\"\:\s*\"5\" |
| Anmeldung erfolgreich – RemoteInteractive Log-in (LogonType=10) | Ereignis-ID\"\:\s*4624.*?LogonType\"\:\s*\"10\" |
| Anmeldung erfolgreich – interaktiv, Batch, Dienst oder RemoteInteractive | (?:EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\" |
Anmeldefehler suchen
Diese Abfragestrings für reguläre Ausdrücke identifizieren die Typen fehlgeschlagener Anmeldeereignisse mit den Attributen "EventID" und "LogonType".
| Art der Veranstaltung | Regulärer Ausdruck |
| Fehler bei der Anmeldung | Ereignis-ID\"\:\s*4625 |
| Fehler bei der Anmeldung – interaktiv (LogonType=2) | Ereignis-ID\"\:\s*4625.*?LogonType\"\:\s*\"2\" |
| Anmeldungsfehler – Batch-Anmeldung (LogonType=4) | Ereignis-ID\"\:\s*4625.*?LogonType\"\:\s*\"4\" |
| Anmeldungsfehler – Dienstanmeldung (LogonType=5) | Ereignis-ID\"\:\s*4625.*?LogonType\"\:\s*\"5\" |
| Anmeldungsfehler – RemoteInteractive Log-in (LogonType=10) | Ereignis-ID\"\:\s*4625.*?LogonType\"\:\s*\"10\" |
| Fehler bei der Anmeldung – interaktiv, Batch, Dienst oder RemoteInteractive | (?:EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\" |
Prozess-, Dienst- und Aufgabenereignisse suchen
Diese Abfragestrings für reguläre Ausdrücke identifizieren bestimmte Prozess- und Dienstereignisse mit dem Attribut EventID.
| Art der Veranstaltung | Regulärer Ausdruck |
| Prozessstart | Ereignis-ID\"\:\s*4688 |
| Exit beenden | Ereignis-ID\"\:\s*4689 |
| Dienst installiert | Ereignis-ID\"\:\s*4697 |
| Neuer Dienst erstellt | Ereignis-ID\\s*7045 |
| Aufgabe erstellen | Ereignis-ID\"\:\s*4698 |
Ereignisse in Bezug auf den Objektzugriff finden
Mit diesen Abfragestrings für reguläre Ausdrücke werden verschiedene Arten von prozess- und dienstbezogenen Ereignissen mithilfe des Attributs "EventID" identifiziert.
| Art der Veranstaltung | Regulärer Ausdruck |
| Audit-Log gelöscht | Ereignis-ID\"\:\s*1102 |
| Objektzugriff versucht | Ereignis-ID\"\:\s*4663 |
| Zugriff freigegeben | Ereignis-ID\"\:\s*5140 |