Unbearbeitete Logs mit Raw Log Scan suchen
Wenn Sie eine Suche ausführen, untersucht Chronicle zuerst die aufgenommenen Sicherheitsdaten, die geparst und normalisiert wurden. Wenn die gesuchten Informationen nicht in den normalisierten Daten zu finden sind, können Sie den Roh-Log-Scan verwenden, um die unverarbeiteten, nicht geparsten Logs zu untersuchen. Sie können reguläre Ausdrücke auch verwenden, um die Rohprotokolle genauer zu untersuchen.
Mit dem unbearbeiteten Logscan können Sie Artefakte untersuchen, die in Logs angezeigt werden, aber nicht indexiert sind. Dazu gehören:
- Nutzernamen
- Dateinamen
- Registrierungsschlüssel
- Befehlszeilenargumente
- Rohdaten zu HTTP-Anfragen
- Domainnamen, die auf regulären Ausdrücken basieren
- Asset-Namen und -Adressen
Informationen zur Verwendung des unbearbeiteten Logscans und der regulären Ausdrücke finden Sie in den folgenden Abschnitten.
Unbearbeiteter Logscan
Geben Sie einen Suchstring in das Suchfeld auf der Landingpage oder in der Menüleiste ein, z. B. einen MD5-Hash, um den Raw Log Scan zu verwenden. Geben Sie mindestens 4 Zeichen (einschließlich Platzhalter) ein. Wenn Chronicle den Suchstring nicht finden kann, wird die Option Raw Log Scan geöffnet. Geben Sie die Start- und Endzeit an (Standardeinstellung ist 1 Woche) und klicken Sie auf SUCHEN.
Raw Log Scan der Landingpage
Mit dem Suchstring verknüpfte Ereignisse werden angezeigt. Sie können das zugehörige Rohprotokoll öffnen, indem Sie auf die Pfeilschaltfläche klicken.
Sie können auch auf das Drop-down-Menü „Logquellen“ klicken und eine oder mehrere der Datenquellen auswählen, die Sie an Chronicle senden. Die Standardeinstellung ist Alle.
Reguläre Ausdrücke
Mit Chronicle können Sie in Ihren Sicherheitsdaten mit regulären Ausdrücken nach Strings suchen und diese abgleichen. Mit regulären Ausdrücken können Sie die Suche anhand von Informationsfragmenten eingrenzen, anstatt z. B. einen vollständigen Domainnamen zu verwenden.
Wenn Sie eine Suche mit der Syntax regulärer Ausdrücke ausführen möchten, geben Sie die Suchanfrage in das Feld Suchen mit dem regulären Ausdruck ein, klicken Sie das Kästchen Abfrage als Regex ausführen an und klicken Sie dann auf SUCHEN. Der reguläre Ausdruck muss zwischen 4 und 66 Zeichen lang sein.
Raw Log Scan wird als regulärer Ausdruck ausgeführt
Die Infrastruktur für reguläre Ausdrücke von Chronicle basiert auf Google RE2, einer Open-Source-Engine für reguläre Ausdrücke. Chronicle verwendet dieselbe Syntax für reguläre Ausdrücke. Weitere Informationen finden Sie in der RE2-Dokumentation.
In der folgenden Tabelle sind einige Syntaxen regulärer Ausdrücke aufgeführt, die Sie für Suchanfragen verwenden können.
| Beliebiges Zeichen | . |
| x Anzahl der Zeichen | {x} |
| Zeichenklasse | [xyz] |
| Negierte Zeichenklasse | [^xyz] |
| Alphanumerisch (0–9A–Za–z) | [[:alnum:]] |
| Alphabetisch (A–Za–z) | [[:Alpha:]] |
| Ziffern (0–9) | [[:digit:]] |
| Kleinschreibung (a-z) | [[:niedriger:]] |
| Großbuchstabe (A-Z) | [[:oberer:]] |
| Wortzeichen (0-9A-Za-z_) | [[:Wort:]] |
| Hexadezimalziffer (0-9A-Fa-f) | [[:xZiffer:]] |
Die folgenden Beispiele zeigen, wie Sie diese Syntax für die Suche in Ihren Daten verwenden können:
goo.le\.com: Übereinstimmung mitgoogle.com,goooogle.comusw.goo\w{3}\.com: entsprichtgoogle.com,goodle.com,goojle.comusw.[[:digit:]]\.[[:alpha:]]: entspricht34323.system,23458.office,897.netusw.
Beispiel für reguläre Ausdrücke, um nach Windows-Logs zu suchen
In diesem Abschnitt finden Sie Abfragestrings für reguläre Ausdrücke, die Sie mit dem unbearbeiteten Protokoll von Chronicle verwenden können, um nach häufig überwachten Windows-Ereignissen zu suchen. Bei diesen Beispielen wird davon ausgegangen, dass die Windows-Lognachrichten im JSON-Format vorliegen.
Weitere Informationen zu häufig überwachten Windows-Ereignis-IDs finden Sie in der Microsoft-Dokumentation im Abschnitt Zu überwachende Ereignisse. Die Beispiele basieren auf einem ähnlichen Muster, das in diesen Anwendungsfällen beschrieben wird.
| Anwendungsfall: Ereignisse mit EventID 1150 zurückgeben | |
| Regex-String: | \"Ereignis-ID\"\:\s*1150 |
| Übereinstimmende Werte: | &EventID":1150 |
| Anwendungsfall:Ereignisse mit der Ereignis-ID 1150 oder 1151 zurückgeben | |
| Regex-String | (?:\"Ereignis-ID\"\:\s*)(?:1150|1151) |
| Übereinstimmende Werte | "EventID":1150 und "EventID":1151 |
| Anwendungsfall: Ereignisse mit der Ereignis-ID 1150 oder 1151 und mit ThreatID 9092 zurückgeben | |
| Regex-String | (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092) |
| Übereinstimmende Werte | "EventID":1150 <...eine beliebige Anzahl von Zeichen...> "ThreadID":9092
und "EventID":1151 <...eine beliebige Anzahl von Zeichen...glt; "ThreadID":9092 |
Nach Konten suchen
Diese Abfragestrings für reguläre Ausdrücke identifizieren häufig verwendete Ereignisse für die Kontoverwaltung mithilfe des Attributs „EventID“.
| Ereignistyp | Regulärer Ausdruck |
| Nutzerkonto erstellt | EventID\"\:\s*4720 |
| Nutzerkonto aktiviert | Ereignis-ID\"\:\s*4722 |
| Nutzerkonto deaktiviert | Ereignis-ID\"\:\s*4725 |
| Nutzerkonto gelöscht | Ereignis-ID\"\:\s*4726 |
| Änderung der Nutzerrechte | Ereignis-ID\"\:\s*4703 |
| Mitglied zur globalen Sicherheitsgruppe hinzugefügt | Ereignis-ID\"\:\s*4728 |
| Mitglied aus der globalen Sicherheitsgruppe entfernt | Ereignis-ID\"\:\s*4729 |
| Sicherheitsfähige globale Gruppe wurde gelöscht | Ereignis-ID\"\:\s*4730 |
Erfolgreiche Anmeldungen finden
Diese Abfragestrings für reguläre Ausdrücke identifizieren Typen erfolgreicher Anmeldungen mit den Attributen EventID und LogonType.
| Ereignistyp | Regulärer Ausdruck |
| Anmeldung erfolgreich | Ereignis-ID\"\:\s*4624 |
| Anmeldung erfolgreich – Interaktiv (LogonType=2) | Ereignis-ID\"\:\s*4624.*?LogonType\"\:\s*\"2\" |
| Anmeldung erfolgreich – Batch-Anmeldung (LogonType=4) | Ereignis-ID\"\:\s*4624.*?LogonType\"\:\s*\"4\" |
| Anmeldung erfolgreich – Dienstanmeldung (LogonType=5) | Ereignis-ID\"\:\s*4624.*?LogonType\"\:\s*\"5\" |
| Anmeldung erfolgreich – RemoteInteractive Login (LogonType=10) | Ereignis-ID\"\:\s*4624.*?LogonType\"\:\s*\"10\" |
| Anmeldung erfolgreich – Interaktiv, Batch, Dienst oder RemoteInteractive | (?:Ereignis-ID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\" |
Anmeldefehler finden
Diese Abfragestrings für reguläre Ausdrücke identifizieren Typen fehlgeschlagener Anmeldungen mithilfe der Attribute EventID und LogonType.
| Ereignistyp | Regulärer Ausdruck |
| Fehler bei der Anmeldung | Ereignis-ID\"\:\s*4625 |
| Fehler bei der Anmeldung – Interaktiv (LogonType=2) | Ereignis-ID\"\:\s*4625.*?LogonType\"\:\s*\"2\" |
| Fehler bei der Anmeldung – Batch-Anmeldung (LogonType=4) | Ereignis-ID\"\:\s*4625.*?LogonType\"\:\s*\"4\" |
| Fehler bei der Anmeldung – Dienstanmeldung (LogonType=5) | Ereignis-ID\"\:\s*4625.*?LogonType\"\:\s*\"5\" |
| Fehler bei der Anmeldung – RemoteInteractive Login (LogonType=10) | Ereignis-ID\"\:\s*4625.*?LogonType\"\:\s*\"10\" |
| Fehler bei der Anmeldung – Interaktiv, Batch, Dienst oder RemoteInteractive | (?:Ereignis-ID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\" |
Prozess-, Dienst- und Aufgabenereignisse finden
Diese Abfragestrings für reguläre Ausdrücke identifizieren bestimmte Prozess- und Dienstereignisse mit dem Ereignis-ID-Attribut.
| Ereignistyp | Regulärer Ausdruck |
| Prozessstart | Ereignis-ID\"\:\s*4688 |
| Prozess verlassen | Ereignis-ID\"\:\s*4689 |
| Dienst installiert | Ereignis-ID\"\:\s*4697 |
| Neuer Dienst erstellt | Ereignis-ID\"\:\s*7045 |
| Aufgabe planen | Ereignis-ID\"\:\s*4698 |
Ereignisse im Zusammenhang mit Objektzugriffen finden
Diese Abfragestrings für reguläre Ausdrücke identifizieren verschiedene Arten von prozess- und dienstbezogenen Ereignissen mithilfe des Attributs „EventID“.
| Ereignistyp | Regulärer Ausdruck |
| Audit-Log gelöscht | Ereignis-ID\"\:\s*1102 |
| Objektzugriff versucht | Ereignis-ID\"\:\s*4663 |
| Zugriff freigegeben | Ereignis-ID\"\:\s*5140 |