Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Unbearbeitete Logs mit Raw Log Scan suchen

Wenn Sie eine Suche ausführen, untersucht Chronicle zuerst die aufgenommenen Sicherheitsdaten, die geparst und normalisiert wurden. Wenn die gesuchten Informationen nicht in den normalisierten Daten zu finden sind, können Sie den Roh-Log-Scan verwenden, um die unverarbeiteten, nicht geparsten Logs zu untersuchen. Sie können reguläre Ausdrücke auch verwenden, um die Rohprotokolle genauer zu untersuchen.

Mit dem unbearbeiteten Logscan können Sie Artefakte untersuchen, die in Logs angezeigt werden, aber nicht indexiert sind. Dazu gehören:

  • Nutzernamen
  • Dateinamen
  • Registrierungsschlüssel
  • Befehlszeilenargumente
  • Rohdaten zu HTTP-Anfragen
  • Domainnamen, die auf regulären Ausdrücken basieren
  • Asset-Namen und -Adressen

Informationen zur Verwendung des unbearbeiteten Logscans und der regulären Ausdrücke finden Sie in den folgenden Abschnitten.

Unbearbeiteter Logscan

Geben Sie einen Suchstring in das Suchfeld auf der Landingpage oder in der Menüleiste ein, z. B. einen MD5-Hash, um den Raw Log Scan zu verwenden. Geben Sie mindestens 4 Zeichen (einschließlich Platzhalter) ein. Wenn Chronicle den Suchstring nicht finden kann, wird die Option Raw Log Scan geöffnet. Geben Sie die Start- und Endzeit an (Standardeinstellung ist 1 Woche) und klicken Sie auf SUCHEN.

Unbearbeiteter Log-Scan von der Landingpage Raw Log Scan der Landingpage

Mit dem Suchstring verknüpfte Ereignisse werden angezeigt. Sie können das zugehörige Rohprotokoll öffnen, indem Sie auf die Pfeilschaltfläche klicken.

Sie können auch auf das Drop-down-Menü „Logquellen“ klicken und eine oder mehrere der Datenquellen auswählen, die Sie an Chronicle senden. Die Standardeinstellung ist Alle.

Reguläre Ausdrücke

Mit Chronicle können Sie in Ihren Sicherheitsdaten mit regulären Ausdrücken nach Strings suchen und diese abgleichen. Mit regulären Ausdrücken können Sie die Suche anhand von Informationsfragmenten eingrenzen, anstatt z. B. einen vollständigen Domainnamen zu verwenden.

Wenn Sie eine Suche mit der Syntax regulärer Ausdrücke ausführen möchten, geben Sie die Suchanfrage in das Feld Suchen mit dem regulären Ausdruck ein, klicken Sie das Kästchen Abfrage als Regex ausführen an und klicken Sie dann auf SUCHEN. Der reguläre Ausdruck muss zwischen 4 und 66 Zeichen lang sein.

Ausführung des unbearbeiteten Logscans als regulärer Ausdruck Raw Log Scan wird als regulärer Ausdruck ausgeführt

Die Infrastruktur für reguläre Ausdrücke von Chronicle basiert auf Google RE2, einer Open-Source-Engine für reguläre Ausdrücke. Chronicle verwendet dieselbe Syntax für reguläre Ausdrücke. Weitere Informationen finden Sie in der RE2-Dokumentation.

In der folgenden Tabelle sind einige Syntaxen regulärer Ausdrücke aufgeführt, die Sie für Suchanfragen verwenden können.

Beliebiges Zeichen .
x Anzahl der Zeichen {x}
Zeichenklasse [xyz]
Negierte Zeichenklasse [^xyz]
Alphanumerisch (0–9A–Za–z) [[:alnum:]]
Alphabetisch (A–Za–z) [[:Alpha:]]
Ziffern (0–9) [[:digit:]]
Kleinschreibung (a-z) [[:niedriger:]]
Großbuchstabe (A-Z) [[:oberer:]]
Wortzeichen (0-9A-Za-z_) [[:Wort:]]
Hexadezimalziffer (0-9A-Fa-f) [[:xZiffer:]]

Die folgenden Beispiele zeigen, wie Sie diese Syntax für die Suche in Ihren Daten verwenden können:

  • goo.le\.com: Übereinstimmung mit google.com, goooogle.com usw.
  • goo\w{3}\.com: entspricht google.com, goodle.com, goojle.com usw.
  • [[:digit:]]\.[[:alpha:]]: entspricht 34323.system, 23458.office, 897.net usw.

Beispiel für reguläre Ausdrücke, um nach Windows-Logs zu suchen

In diesem Abschnitt finden Sie Abfragestrings für reguläre Ausdrücke, die Sie mit dem unbearbeiteten Protokoll von Chronicle verwenden können, um nach häufig überwachten Windows-Ereignissen zu suchen. Bei diesen Beispielen wird davon ausgegangen, dass die Windows-Lognachrichten im JSON-Format vorliegen.

Weitere Informationen zu häufig überwachten Windows-Ereignis-IDs finden Sie in der Microsoft-Dokumentation im Abschnitt Zu überwachende Ereignisse. Die Beispiele basieren auf einem ähnlichen Muster, das in diesen Anwendungsfällen beschrieben wird.

Anwendungsfall: Ereignisse mit EventID 1150 zurückgeben
Regex-String: \"Ereignis-ID\"\:\s*1150
Übereinstimmende Werte: &EventID":1150
Anwendungsfall:Ereignisse mit der Ereignis-ID 1150 oder 1151 zurückgeben
Regex-String (?:\"Ereignis-ID\"\:\s*)(?:1150|1151)
Übereinstimmende Werte "EventID":1150 und "EventID":1151
Anwendungsfall: Ereignisse mit der Ereignis-ID 1150 oder 1151 und mit ThreatID 9092 zurückgeben
Regex-String (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092)
Übereinstimmende Werte "EventID":1150 <...eine beliebige Anzahl von Zeichen...> "ThreadID":9092
und
"EventID":1151 <...eine beliebige Anzahl von Zeichen...glt; "ThreadID":9092

Nach Konten suchen

Diese Abfragestrings für reguläre Ausdrücke identifizieren häufig verwendete Ereignisse für die Kontoverwaltung mithilfe des Attributs „EventID“.

Ereignistyp Regulärer Ausdruck
Nutzerkonto erstellt EventID\"\:\s*4720
Nutzerkonto aktiviert Ereignis-ID\"\:\s*4722
Nutzerkonto deaktiviert Ereignis-ID\"\:\s*4725
Nutzerkonto gelöscht Ereignis-ID\"\:\s*4726
Änderung der Nutzerrechte Ereignis-ID\"\:\s*4703
Mitglied zur globalen Sicherheitsgruppe hinzugefügt Ereignis-ID\"\:\s*4728
Mitglied aus der globalen Sicherheitsgruppe entfernt Ereignis-ID\"\:\s*4729
Sicherheitsfähige globale Gruppe wurde gelöscht Ereignis-ID\"\:\s*4730

Erfolgreiche Anmeldungen finden

Diese Abfragestrings für reguläre Ausdrücke identifizieren Typen erfolgreicher Anmeldungen mit den Attributen EventID und LogonType.

Ereignistyp Regulärer Ausdruck
Anmeldung erfolgreich Ereignis-ID\"\:\s*4624
Anmeldung erfolgreich – Interaktiv (LogonType=2) Ereignis-ID\"\:\s*4624.*?LogonType\"\:\s*\"2\"
Anmeldung erfolgreich – Batch-Anmeldung (LogonType=4) Ereignis-ID\"\:\s*4624.*?LogonType\"\:\s*\"4\"
Anmeldung erfolgreich – Dienstanmeldung (LogonType=5) Ereignis-ID\"\:\s*4624.*?LogonType\"\:\s*\"5\"
Anmeldung erfolgreich – RemoteInteractive Login (LogonType=10) Ereignis-ID\"\:\s*4624.*?LogonType\"\:\s*\"10\"
Anmeldung erfolgreich – Interaktiv, Batch, Dienst oder RemoteInteractive (?:Ereignis-ID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\"

Anmeldefehler finden

Diese Abfragestrings für reguläre Ausdrücke identifizieren Typen fehlgeschlagener Anmeldungen mithilfe der Attribute EventID und LogonType.

Ereignistyp Regulärer Ausdruck
Fehler bei der Anmeldung Ereignis-ID\"\:\s*4625
Fehler bei der Anmeldung – Interaktiv (LogonType=2) Ereignis-ID\"\:\s*4625.*?LogonType\"\:\s*\"2\"
Fehler bei der Anmeldung – Batch-Anmeldung (LogonType=4) Ereignis-ID\"\:\s*4625.*?LogonType\"\:\s*\"4\"
Fehler bei der Anmeldung – Dienstanmeldung (LogonType=5) Ereignis-ID\"\:\s*4625.*?LogonType\"\:\s*\"5\"
Fehler bei der Anmeldung – RemoteInteractive Login (LogonType=10) Ereignis-ID\"\:\s*4625.*?LogonType\"\:\s*\"10\"
Fehler bei der Anmeldung – Interaktiv, Batch, Dienst oder RemoteInteractive (?:Ereignis-ID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\"

Prozess-, Dienst- und Aufgabenereignisse finden

Diese Abfragestrings für reguläre Ausdrücke identifizieren bestimmte Prozess- und Dienstereignisse mit dem Ereignis-ID-Attribut.

Ereignistyp Regulärer Ausdruck
Prozessstart Ereignis-ID\"\:\s*4688
Prozess verlassen Ereignis-ID\"\:\s*4689
Dienst installiert Ereignis-ID\"\:\s*4697
Neuer Dienst erstellt Ereignis-ID\"\:\s*7045
Aufgabe planen Ereignis-ID\"\:\s*4698

Diese Abfragestrings für reguläre Ausdrücke identifizieren verschiedene Arten von prozess- und dienstbezogenen Ereignissen mithilfe des Attributs „EventID“.

Ereignistyp Regulärer Ausdruck
Audit-Log gelöscht Ereignis-ID\"\:\s*1102
Objektzugriff versucht Ereignis-ID\"\:\s*4663
Zugriff freigegeben Ereignis-ID\"\:\s*5140