Cari log mentah menggunakan Pemindaian Log Mentah
Saat Anda melakukan penelusuran, Chronicle terlebih dahulu memeriksa data keamanan yang telah diserap, diuraikan, dan dinormalisasi. Jika informasi yang Anda telusuri tidak ditemukan dalam data yang dinormalkan, Anda dapat menggunakan Pemindaian Log Mentah untuk memeriksa log mentah yang tidak diurai. Anda juga dapat menggunakan ekspresi reguler untuk memeriksa log mentah secara lebih mendalam.
Anda dapat menggunakan Pemindaian Log Mentah untuk menyelidiki artefak yang muncul di log, tetapi tidak diindeks, termasuk:
- Nama pengguna
- Nama file
- Kunci registry
- Argumen command line
- Data terkait permintaan HTTP mentah
- Nama domain berdasarkan ekspresi reguler
- Namespace aset dan alamat
Pemindaian log mentah
Untuk menggunakan Pemindaian Raw Log, masukkan string penelusuran di kolom penelusuran di halaman landing atau panel menu (misalnya, hash MD5). Masukkan minimal 4 karakter (termasuk karakter pengganti). Jika Chronicle tidak dapat menemukan string penelusuran, Chronicle akan membuka opsi Raw Logs Scan. Tentukan Waktu Mulai dan Waktu Berakhir (defaultnya adalah 1 minggu), lalu klik TELUSURI.
Pemindaian Log Mentah dari halaman landing
Peristiwa yang terkait dengan string penelusuran ditampilkan. Anda dapat membuka log mentah yang terkait dengan mengklik tombol panah.
Anda juga dapat mengklik menu drop-down Log Sources dan memilih satu atau beberapa sumber data yang Anda kirim ke Chronicle untuk ditelusuri. Setelan defaultnya adalah All.
Ekspresi reguler
Anda dapat menggunakan ekspresi reguler untuk menelusuri dan mencocokkan kumpulan string karakter dalam data keamanan menggunakan Chronicle. Ekspresi reguler memungkinkan Anda mempersempit penelusuran menggunakan fragmen informasi, bukan menggunakan (misalnya) nama domain lengkap.
Untuk menjalankan penelusuran menggunakan sintaksis ekspresi reguler, masukkan penelusuran Anda di kolom Penelusuran bersama ekspresi reguler, centang kotak Jalankan Kueri sebagai Regex, lalu klik TELUSURI. Panjang ekspresi reguler Anda harus antara 4 hingga 66 karakter.
Pemindaian Log Mentah berjalan sebagai ekspresi reguler
Infrastruktur ekspresi reguler Chronicle didasarkan pada Google RE2, yakni mesin ekspresi reguler open source. Chronicle menggunakan sintaksis ekspresi reguler yang sama. Lihat dokumentasi RE2 untuk informasi selengkapnya.
Tabel berikut menyoroti beberapa sintaksis ekspresi reguler umum yang dapat Anda gunakan untuk penelusuran.
| Semua karakter | . |
| x jumlah karakter | {x} |
| Kelas karakter | [xyz] |
| Class karakter yang ditiadakan | [^xyz] |
| Alfanumerik (0-9A-Za-z) | [[:alnum:]] |
| Menurut abjad (A-Za-z) | [[:alpha:]] |
| Digit (0-9) | [[:digit:]] |
| Huruf kecil (a-z) | [[:lower:]] |
| Huruf besar (A-Z) | [[:upper:]] |
| Karakter kata (0-9A-Za-z_) | [[:kata:]] |
| Digit heksadesimal (0-9A-Fa-f) | [[:xdigit:]] |
Contoh berikut mengilustrasikan cara menggunakan sintaksis ini untuk melakukan penelusuran di seluruh data Anda:
goo.le\.com—cocok dengangoogle.com,goooogle.com, dll.goo\w{3}\.com—cocok dengangoogle.com,goodle.com,goojle.com, dll.[[:digit:]]\.[[:alpha:]]—cocok dengan34323.system,23458.office,897.net, dll.
Contoh ekspresi reguler untuk menelusuri log Windows
Bagian ini menyediakan string kueri ekspresi reguler yang dapat Anda gunakan dengan pemindaian log mentah Chronicle untuk menemukan peristiwa Windows yang umum dipantau. Contoh ini mengasumsikan bahwa pesan log Windows menggunakan format JSON.
Untuk informasi selengkapnya tentang ID Peristiwa Windows yang umum dipantau, lihat topik Events to Monitor dalam dokumentasi Microsoft. Contoh yang diberikan mengikuti pola serupa, yang dijelaskan dalam kasus penggunaan ini.
| Kasus Penggunaan: Menampilkan acara dengan EventID 1150 | |
| String Regex: | \"EventID\"\:\s*1150 |
| Nilai yang Cocok: | "EventID":1150 |
| Kasus Penggunaan:Mengembalikan peristiwa dengan ID Peristiwa 1150 atau 1151 | |
| String Regex | (?:\"EventID\"\:\s*)(?:1150|1151) |
| Nilai Cocok | "EventID":1150 dan "EventID":1151 |
| Kasus Penggunaan: Menampilkan peristiwa dengan ID Peristiwa 1150 atau 1151, dan dengan ThreatID 9092 | |
| String Regex | (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092) |
| Nilai Cocok | "EventID":1150 <...berapa pun karakternya...> "ThreadID":9092
dan "EventID":1151 <...semua karakter...glt; "ThreadID":9092 |
Menemukan peristiwa pengelolaan akun
String kueri ekspresi reguler ini mengidentifikasi peristiwa pengelolaan akun umum menggunakan atribut EventID.
| Jenis Peristiwa | Ekspresi Reguler |
| Akun Pengguna Dibuat | EventID\"\:\s*4720 |
| Akun Pengguna Diaktifkan | IDPeristiwa\"\:\s*4722 |
| Akun Pengguna Dinonaktifkan | IDPeristiwa\"\:\s*4725 |
| Akun Pengguna Dihapus | IDPeristiwa\"\:\s*4726 |
| Modifikasi Hak Pengguna | IDPeristiwa\"\:\s*4703 |
| Anggota Ditambahkan ke Grup Global dengan Keamanan Diaktifkan | IDPeristiwa\"\:\s*4728 |
| Anggota Dihapus dari Grup Global dengan Keamanan Aktif | IDPeristiwa\"\:\s*4729 |
| Grup Global dengan Keamanan yang Diaktifkan telah Dihapus | IDPeristiwa\"\:\s*4730 |
Menemukan peristiwa keberhasilan login
String kueri ekspresi reguler ini mengidentifikasi jenis peristiwa login yang berhasil menggunakan atribut EventID dan LogonType.
| Jenis Peristiwa | Ekspresi Reguler |
| Berhasil Masuk | IDPeristiwa\"\:\s*4624 |
| Logon Berhasil - Interaktif (LogonType=2) | IDPeristiwa\"\:\s*4624.*?LogonType\"\:\s*\"2\" |
| Berhasil Masuk - Masuk Batch (LogonType=4) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"4\" |
| Berhasil Login - Login Layanan (LogonType=5) | IDPeristiwa\"\:\s*4624.*?LogonType\"\:\s*\"5\" |
| Berhasil Masuk - Masuk RemoteInteractive (LogonType=10) | IDPeristiwa\"\:\s*4624.*?LogonType\"\:\s*\"10\" |
| Logon Success - Interactive, Batch, Service, atau RemoteInteractive | (?:EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\" |
Menemukan peristiwa kegagalan login
String kueri ekspresi reguler ini mengidentifikasi jenis peristiwa login yang gagal menggunakan atribut EventID dan LogonType.
| Jenis Peristiwa | Ekspresi Reguler |
| Gagal Login | IDPeristiwa\"\:\s*4625 |
| Kegagalan Login - Interaktif (LogonType=2) | IDPeristiwa\"\:\s*4625.*?LogonType\"\:\s*\"2\" |
| Kegagalan Login - Login Batch (LogonType=4) | IDPeristiwa\"\:\s*4625.*?LogonType\"\:\s*\"4\" |
| Kegagalan Login - Login Layanan (LogonType=5) | IDPeristiwa\"\:\s*4625.*?LogonType\"\:\s*\"5\" |
| Kegagalan Login - Login RemoteInteractive (LogonType=10) | IDPeristiwa\"\:\s*4625.*?LogonType\"\:\s*\"10\" |
| Kegagalan Login - Interactive, Batch, Service, atau RemoteInteractive | (?:EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\" |
Menemukan peristiwa proses, layanan, dan tugas
String kueri ekspresi reguler ini mengidentifikasi peristiwa proses dan layanan tertentu menggunakan atribut EventID.
| Jenis Peristiwa | Ekspresi Reguler |
| Awal Proses | IDPeristiwa\"\:\s*4688 |
| Keluar dari Proses | IDPeristiwa\"\:\s*4689 |
| Layanan Terinstal | IDPeristiwa\"\:\s*4697 |
| Layanan Baru Dibuat | IDPeristiwa\"\:\s*7045 |
| Jadwalkan Tugas yang Dibuat | IDPeristiwa\"\:\s*4698 |
Menemukan peristiwa yang terkait dengan akses objek
String kueri ekspresi reguler ini mengidentifikasi berbagai jenis peristiwa terkait proses dan layanan menggunakan atribut EventID.
| Jenis Peristiwa | Ekspresi Reguler |
| Log Audit Dihapus | IDPeristiwa\"\:\s*1102 |
| Percobaan Akses Objek | IDPeristiwa\"\:\s*4663 |
| Berbagi Diakses | IDPeristiwa\"\:\s*5140 |