Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Buscar registros sin procesar con análisis de registros sin procesar

Cuando ejecutas una búsqueda, Chronicle primero examina los datos de seguridad que se transfirieron, analizaron y normalizaron. Si la información que buscas no se encuentra en los datos normalizados, puedes usar el análisis de registros sin procesar para examinar los registros sin analizar. También puedes usar expresiones regulares para examinar más de cerca los registros sin procesar.

Puedes usar el análisis de registros sin procesar para investigar artefactos que aparecen en los registros, pero que no están indexados, incluidos los siguientes:

  • Nombres de usuario
  • Nombres de archivos
  • Claves de registro
  • Argumentos de la línea de comandos
  • Datos relacionados con la solicitud HTTP sin procesar
  • Nombres de dominio basados en expresiones regulares
  • Nombres y direcciones de elementos

Para obtener información sobre cómo usar el análisis de registros sin procesar y las expresiones regulares, consulta las siguientes secciones.

Análisis de registros sin procesar

Para usar el análisis de registros sin procesar, ingresa una string en el campo de búsqueda en la página de destino o en la barra de menú (por ejemplo, un hash MD5). Ingresa al menos 4 caracteres (incluidos los comodines). Si Chronicle no puede encontrar la string de búsqueda, abre la opción Raw Logs Scan. Especifica la Hora de inicio y la Hora de finalización (la opción predeterminada es 1 semana) y haz clic en BUSCAR.

Análisis de registros sin procesar desde la página de destinoAnálisis de registros sin procesar desde la página de destino

Se muestran los eventos asociados con la cadena de búsqueda. Para abrir el registro sin procesar asociado, haz clic en el botón de flecha.

También puedes hacer clic en el menú desplegable Fuentes de registros y seleccionar una o más de las fuentes de datos que envías a Chronicle para buscar. La configuración predeterminada es Todas.

Expresiones regulares

Puedes usar expresiones regulares para buscar y hacer coincidir conjuntos de strings de caracteres en tus datos de seguridad con Chronicle. Las expresiones regulares te permiten limitar la búsqueda con fragmentos de información, en lugar de usar (por ejemplo) un nombre de dominio completo.

Para ejecutar una búsqueda con la sintaxis de expresión regular, ingresa tu búsqueda en el campo Search con la expresión regular, marca la casilla de verificación Run Query as Regex y haz clic en SEARCH. La expresión regular debe tener entre 4 y 66 caracteres.

Ejecución de análisis de registros sin procesar como expresión regularAnálisis de registros sin procesar ejecutado como una expresión regular

La infraestructura de expresión regular de Chronicle se basa en Google RE2, un motor de expresión regular de código abierto. Chronicle usa la misma sintaxis de expresión regular. Consulta la documentación de RE2 para obtener más información.

En la siguiente tabla, se destacan algunas de las sintaxis de expresiones regulares comunes que puedes usar para tus búsquedas.

Cualquier carácter .
x cantidad de caracteres {x}
Clase de personaje [xyz]
Clase de carácter negado [^xyz]
Alfanumérico (0-9A-Za-z) [[:alnum:]]
Alfabético (A-Za-z) [[:Alfa:]]
Dígitos (0-9) [[:dígitos:]]
Minúsculas (a-z) [[:lower:]]
Mayúsculas (A-Z) [[:upper:]]
Caracteres de la palabra (0-9A-Za-z_) [[:palabra:]]
Dígitos hexadecimales (0-9A-Fa-f) [[:xdigit:]]

Los siguientes ejemplos ilustran cómo podría usar esta sintaxis para buscar en sus datos:

  • goo.le\.com: coincide con google.com, goooogle.com, etcétera.
  • goo\w{3}\.com: coincide con google.com, goodle.com, goojle.com, etcétera.
  • [[:digit:]]\.[[:alpha:]]: coincide con 34323.system, 23458.office, 897.net, etcétera.

Expresiones regulares de muestra para buscar registros de Windows

En esta sección, se proporcionan strings de consulta de expresiones regulares que puedes usar con el análisis de registros sin procesar de Chronicle para encontrar eventos de Windows comúnmente supervisados. En estos ejemplos, se supone que los mensajes de registro de Windows están en formato JSON.

Para obtener más información sobre los ID de eventos de Windows supervisados de forma común, consulta el tema Eventos para supervisar en la documentación de Microsoft. Los ejemplos proporcionados siguen un patrón similar, que se describe en estos casos de uso.

Caso práctico: Cómo mostrar eventos con EventID 1150
String de regex: \"ID de evento":\s*1150
Valores coincidentes: &ID de evento&;=:1150
Caso práctico:Muestre eventos con un ID de evento que sea 1150 o 1151
String de regex (?:\"EventID\"\:\s*)??:1150|1151).
Valores coincidentes "ID de evento":1150 y "ID de evento":1151
Caso de uso: Muestre eventos con un ID de evento que sea 1150 o 1151 y con ThreatID 9092
String de regex (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092).
Valores coincidentes &Event=IDID":1150 <...cantidad de caracteres...> "ThreadID":9092
and

Cómo buscar eventos de administración de cuentas

Estas strings de consulta de expresión regular identifican eventos comunes de administración de cuentas mediante el atributo EventID.

Tipo de evento Expresión regular
Cuenta de usuario creada EventID\"\:\s*4720
Cuenta de usuario habilitada ID del evento\:\s*4722
Cuenta de usuario inhabilitada ID del evento\:\s*4725
Cuenta de usuario eliminada ID del evento\:\s*4726
Modificación de los derechos del usuario ID del evento\:\s*4703
Se agregó al miembro al grupo global habilitado para seguridad ID del evento\:\s*4728
Se quitó al miembro del grupo global habilitado para seguridad ID del evento\:\s*4729
Se borró el grupo global habilitado para seguridad. ID del evento\:\s*4730

Encuentra eventos de acceso correctos

Estas strings de consulta de expresión regular identifican tipos de eventos de acceso exitosos mediante los atributos EventID y LogonType.

Tipo de evento Expresión regular
Inicio de sesión correcto ID del evento\:\s*4624
Éxito del acceso: interactivo (LogonType=2) ID del evento\:\s*4624.*?LogonType\"\:\s*\"2\"
Acceso correcto: acceso por lotes (LogonType=4) ID del evento\:\s*4624.*?LogonType\"\:\s*\"4\"
Acceso correcto: acceso al servicio (LogonType=5) ID del evento\:\s*4624.*?LogonType\"\:\s*\"5\"
Éxito de acceso: acceso interactivo (LogonType=10) ID del evento\:\s*4624.*?LogonType\"\:\s*\"10\"
Éxito del acceso: interactivo, por lotes, de servicio o interactivo (?:EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\"

Buscar eventos de falla de acceso

Estas strings de consulta de expresión regular identifican tipos de eventos de acceso fallidos mediante los atributos EventID y LogonType.

Tipo de evento Expresión regular
Error de inicio de sesión ID del evento\:\s*4625
Error de acceso: interactivo (LogonType=2) ID del evento\:\s*4625.*?LogonType\"\:\s*\"2\"
Error de acceso: acceso por lotes (LogonType=4) ID del evento\:\s*4625.*?LogonType\"\:\s*\"4\"
Error de acceso: acceso al servicio (LogonType=5) ID del evento\:\s*4625.*?LogonType\"\:\s*\"5\"
Error de acceso - Acceso interactivo (LogonType=10) ID del evento\:\s*4625.*?LogonType\"\:\s*\"10\"
Error de acceso: interactivo, por lotes, de servicio o interactivo (?:EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\"

Encontrar procesos, servicios y eventos de tareas

Estas strings de consulta de expresión regular identifican determinados procesos y eventos de servicio mediante el atributo EventID.

Tipo de evento Expresión regular
Inicio del proceso ID del evento\:\s*4688
Salida del proceso ID del evento\:\s*4689
Servicio instalado ID del evento\:\s*4697
Nuevo servicio creado ID del evento\:\s*7045
Programar tarea creada ID del evento\:\s*4698

Estas strings de consulta de expresión regular identifican diferentes tipos de eventos relacionados con el proceso y el servicio mediante el atributo EventID.

Tipo de evento Expresión regular
Se borró el registro de auditoría ID del evento\:\s*1102
Intento de acceso al objeto ID del evento\:\s*4663
Acceso compartido ID del evento\:\s*5140