Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Cerca log non elaborati utilizzando la scansione dei log non elaborati

Quando esegui una ricerca, Chronicle esamina innanzitutto i dati di sicurezza che sono stati importati, analizzati e normalizzati. Se le informazioni che cerchi non vengono trovate nei dati normalizzati, puoi utilizzare la ricerca log non elaborata per esaminare i log non elaborati non elaborati. Puoi anche utilizzare espressioni regolari per esaminare più da vicino i log non elaborati.

Puoi utilizzare la scansione non elaborata dei log per esaminare gli artefatti che vengono visualizzati nei log, ma che non sono indicizzati, tra cui:

  • Nomi utente
  • Nomi file
  • Chiavi del Registro di sistema
  • Argomenti della riga di comando
  • Dati relativi alle richieste HTTP non elaborate
  • Nomi di dominio basati su espressioni regolari
  • Nomi e indirizzi delle risorse

Per informazioni su come utilizzare la scansione dei log non elaborati e le espressioni regolari, consulta le sezioni seguenti.

Scansione log non elaborata

Per utilizzare la scansione dei log non elaborati, inserisci una stringa di ricerca nel campo di ricerca sulla pagina di destinazione o sulla barra dei menu (ad esempio, un hash MD5). Inserisci almeno 4 caratteri (tra cui i caratteri jolly). Se Chronicle non riesce a trovare la stringa di ricerca, si apre l'opzione Scansione log non elaborati. Specifica l'Ora di inizio e l'Ora di fine (il valore predefinito è 1 settimana) e fai clic su CERCA.

Scansione log non elaborata dalla pagina di destinazione Scansione di log non elaborati dalla pagina di destinazione

Vengono visualizzati gli eventi associati alla stringa di ricerca. Puoi aprire il log non elaborato associato facendo clic sul pulsante a forma di freccia.

Puoi anche fare clic sul menu a discesa Origini log e selezionare una o più origini dati che stai inviando a Chronicle per la ricerca. L'impostazione predefinita è Tutti.

Espressioni regolari

Puoi utilizzare espressioni regolari per cercare e trovare una corrispondenza in insiemi di stringhe di caratteri all'interno dei tuoi dati di sicurezza con Chronicle. Le espressioni regolari consentono di restringere la ricerca utilizzando frammenti di informazioni, anziché utilizzare (ad esempio) un nome di dominio completo.

Per eseguire una ricerca utilizzando la sintassi delle espressioni regolari, inserisci la ricerca nel campo Cerca con l'espressione regolare, seleziona la casella di controllo Esegui query come espressione regolare e fai clic su CERCA. L'espressione regolare deve avere una lunghezza compresa tra 4 e 66 caratteri.

Scansione log non elaborata eseguita come espressione regolare Scansione log non elaborata come espressione regolare

L'infrastruttura di espressione regolare di Chronicle si basa su Google RE2, un motore open source con espressione regolare. Chronicle utilizza la stessa sintassi delle espressioni regolari. Per ulteriori informazioni, consulta la documentazione di RE2.

La tabella seguente evidenzia alcune delle sintassi di espressione regolare comuni che puoi utilizzare per le tue ricerche.

Qualsiasi carattere .
x numero di caratteri {X}
Classe di caratteri [xyz]
Classe di caratteri negata [^xyz]
Alfanumerico (0-9A-Za-z) [[:alnum:]]
Alfabetico (A-Za-z) [[:alpha:]]
Cifre (0-9) [[:digit:]]
Lettere minuscole (a-z) [[:lower:]]
Maiuscole (A-Z) [[:upper:]]
Caratteri parola (0-9A-Za-z_) [[:parola:]]
Cifre esadecimali (0-9A-Fa-f) [[:xdigit:]]

I seguenti esempi illustrano come utilizzare questa sintassi per eseguire ricerche nei dati:

  • goo.le\.com: corrispondenza per google.com, goooogle.com e così via.
  • goo\w{3}\.com: corrispondenza per google.com, goodle.com, goojle.com e così via.
  • [[:digit:]]\.[[:alpha:]]: corrispondenza per 34323.system, 23458.office, 897.net e così via.

Esempi di espressioni regolari per la ricerca di log di Windows

Questa sezione fornisce le stringhe di query con espressioni regolari che puoi utilizzare con la scansione dei log non elaborati di Chronicle per trovare gli eventi di Windows più comuni. Questi esempi presuppongono che i messaggi di log di Windows siano in formato JSON.

Per scoprire di più sugli ID evento Windows comunemente monitorati, consulta l'argomento Eventi da monitorare nella documentazione di Microsoft. Gli esempi forniti seguono uno schema simile, descritto in questi casi d'uso.

Caso d'uso: restituire eventi con EventID 1150
Stringa regex: \"ID evento\"\:\s*1150
Valori corrispondenti: "ID evento":1150
Caso d'uso:restituisce eventi con un ID evento uguale a 1150 o 1151
Stringa regex (?:\"ID evento\"\:\s*)(?:1150|1151)
Valori corrispondenti "EventID":1150 e "EventID":1151
Caso d'uso: restituisci eventi con un ID evento 1150 o 1151 e con ThreatID 9092
Stringa regex (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092)
Valori corrispondenti "EventID":1150 <...qualsiasi numero di caratteri...> "ThreadID":9092
e
"EventID":1151 <...qualsiasi numero di caratteri...glt; "ThreadID":9092

Trovare gli eventi di gestione dell'account

Queste stringhe di query dell'espressione regolare identificano gli eventi di gestione dell'account comuni utilizzando l'attributo EventID.

Tipo di evento Espressione regolare
Account utente creato EventID\"\:\s*4720
Account utente abilitato ID evento\"\:\s*4722
Account utente disabilitato ID evento\"\:\s*4725
Account utente eliminato ID evento\"\:\s*4726
Modifica dei diritti utente ID evento\"\:\s*4703
Membro aggiunto al gruppo globale abilitato per la sicurezza ID evento\"\:\s*4728
Membro rimosso dal gruppo globale abilitato per la sicurezza ID evento\"\:\s*4729
Il gruppo globale abilitato per la sicurezza è stato eliminato ID evento\"\:\s*4730

Trovare gli eventi di accesso riuscito

Queste stringhe di query con espressione regolare identificano i tipi di eventi di accesso riusciti utilizzando gli attributi EventID e LogonType.

Tipo di evento Espressione regolare
Accesso riuscito ID evento\"\:\s*4624
Accesso riuscito - Interattivo (LogonType=2) EventID\"\:\s*4624.*?LogonType\"\:\s*\"2\"
Accesso riuscito - Accesso in batch (LogonType=4) EventID\"\:\s*4624.*?LogonType\"\:\s*\"4\"
Accesso riuscito - Accesso al servizio (LogonType=5) EventID\"\:\s*4624.*?LogonType\"\:\s*\"5\"
Accesso riuscito - Accesso interattivo remoto (LogonType=10) EventID\"\:\s*4624.*?LogonType\"\:\s*\"10\"
Accesso riuscito: interattivo, batch, di servizio o remoto interattivo (?:EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\"

Trovare gli eventi di errore di accesso

Queste stringhe di query con espressione regolare identificano i tipi di eventi di accesso non riusciti utilizzando gli attributi EventID e LogonType.

Tipo di evento Espressione regolare
Errore di accesso ID evento\"\:\s*4625
Errore di accesso - Interattivo (LogonType=2) EventID\"\:\s*4625.*?LogonType\"\:\s*\"2\"
Errore di accesso - Accesso in batch (LogonType=4) EventID\"\:\s*4625.*?LogonType\"\:\s*\"4\"
Errore di accesso - Accesso al servizio (LogonType=5) EventID\"\:\s*4625.*?LogonType\"\:\s*\"5\"
Errore di accesso - Accesso interattivo remoto (LogonType=10) EventID\"\:\s*4625.*?LogonType\"\:\s*\"10\"
Errore di accesso: interattivo, batch, di servizio o remoto (?:EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\"

Trovare eventi di processi, servizi e attività

Queste stringhe di query con espressione regolare identificano determinati eventi di processo e di servizio utilizzando l'attributo EventID.

Tipo di evento Espressione regolare
Inizio processo ID evento\"\:\s*4688
Esci da processo ID evento\"\:\s*4689
Servizio installato ID evento\"\:\s*4697
Nuovo servizio creato ID evento\"\:\s*7045
Attività di pianificazione creata ID evento\"\:\s*4698

Queste stringhe di query con espressione regolare identificano diversi tipi di eventi relativi a processi e servizi utilizzando l'attributo EventID.

Tipo di evento Espressione regolare
Log di controllo cancellato ID evento\"\:\s*1102
Tentativo di accesso all'oggetto ID evento\"\:\s*4663
Con accesso condiviso ID evento\"\:\s*5140