Ricerca di log non elaborati mediante la scansione dei log non elaborati

Quando esegui una ricerca, Chronicle esamina prima i dati di sicurezza che sono stati importati, analizzati e normalizzati. Se le informazioni che cerchi non sono presenti nei dati normalizzati, puoi utilizzare la scansione dei log non elaborati per esaminare i log non analizzati. Puoi anche utilizzare espressioni regolari per esaminare più da vicino i log non elaborati.

Puoi utilizzare la scansione dei log non elaborati per esaminare gli artefatti visualizzati nei log, ma che non sono indicizzati, tra cui:

  • Nomi utente
  • Nomi file
  • Chiavi del Registro di sistema
  • Argomenti della riga di comando
  • Dati non elaborati relativi alle richieste HTTP
  • Nomi di dominio basati su espressioni regolari
  • Nomi e indirizzi degli asset

Per informazioni su come utilizzare la scansione dei log non elaborati e le espressioni regolari, consulta le sezioni seguenti.

Scansione log non elaborata

Per utilizzare la scansione dei log non elaborati, inserisci una stringa di ricerca nel campo di ricerca sulla pagina di destinazione o sulla barra dei menu (ad esempio, un hash MD5). Inserisci almeno 4 caratteri (compresi i caratteri jolly). Se Chronicle non riesce a trovare la stringa di ricerca, apre l'opzione Scansione log non elaborata. Specifica l'ora di inizio e l'ora di fine (il valore predefinito è 1 settimana) e fai clic su CERCA.

Scansione log non elaborata dalla pagina di destinazione Scansione log non elaborata dalla pagina di destinazione

Vengono visualizzati gli eventi associati alla stringa di ricerca. Puoi aprire il log non elaborato associato facendo clic sul pulsante freccia.

Puoi anche fare clic sul menu a discesa Sorgenti log e selezionare una o più origini dati da inviare a Chronicle per eseguire la ricerca. L'impostazione predefinita è Tutti.

Espressioni regolari

Puoi utilizzare le espressioni regolari per cercare e trovare corrispondenze di set di stringhe di caratteri all'interno dei dati di sicurezza utilizzando Chronicle. Le espressioni regolari consentono di restringere la ricerca utilizzando frammenti di informazioni, anziché utilizzare (ad esempio) un nome di dominio completo.

Per eseguire una ricerca utilizzando la sintassi delle espressioni regolari, inserisci la ricerca nel campo Cerca con l'espressione regolare, seleziona la casella di controllo Esegui query come regex e fai clic su CERCA. L'espressione regolare deve essere compresa tra 4 e 66 caratteri.

Scansione log non elaborata come espressione regolare Scansione log non elaborata eseguita come espressione regolare

L'infrastruttura di espressioni regolari di Chronicle si basa su Google RE2, un motore di espressione regolare open source. Chronicle utilizza la stessa sintassi delle espressioni regolari. Per ulteriori informazioni, consulta la documentazione RE2.

La seguente tabella evidenzia alcune delle sintassi comuni delle espressioni regolari che puoi utilizzare per le tue ricerche.

Qualsiasi carattere .
x numero di caratteri {x}
Classe di caratteri [xyz]
Classe di personaggi esclusi [xyz]
Alfanumerico (0-9A-Za-z) [[:alnum:]]
Alfabetico (A-Za-z) [[:alpha:]]
Numeri (0-9) [[:digit:]]
Minuscolo (a-z) [[:lower:]]
Maiuscolo (A-Z) [[:upper:]]
Caratteri parola (0-9A-Za-z_) [[:parola:]]
Cifra esadecimale (0-9A-Fa-f) [[:xdigit:]]

I seguenti esempi mostrano come utilizzare questa sintassi per eseguire ricerche nei dati:

  • goo.le\.com: corrisponde a google.com, goooogle.com e così via
  • goo\w{3}\.com: corrisponde a google.com, goodle.com, goojle.com e così via.
  • [[:digit:]]\.[[:alpha:]]: corrisponde a 34323.system, 23458.office, 897.net e così via.

Espressioni regolari di esempio per cercare i log di Windows

Questa sezione fornisce stringhe di query per espressioni regolari che puoi utilizzare con la scansione dei log non elaborati di Chronicle per trovare eventi di Windows monitorati frequentemente. Questi esempi presuppongono che i messaggi di log di Windows siano in formato JSON.

Per ulteriori informazioni sugli ID evento di Windows monitorati frequentemente, consulta l'argomento Eventi da monitorare nella documentazione di Microsoft. Gli esempi forniti seguono uno schema simile, descritto in questi casi d'uso.

Caso d'uso: restituire eventi con EventID 1150
Stringa regex: \"EventID\"\\s*1150
Valori abbinati: "ID evento":1150
Caso d'uso:restituire eventi con un ID evento 1150 o 1151
Stringa regex (?:\" ID evento\"
Valori abbinati "ID evento":1150 e "ID evento":1151
Caso d'uso: restituire eventi con un ID evento 1150 o 1151 e con ThreatID 9092
Stringa regex (?:\"EventID\"
Valori abbinati "EventID":1150 <...qualsiasi numero di caratteri...> "ThreadID"

Trovare eventi di gestione degli account

Queste stringhe di query con espressione regolare identificano eventi comuni di gestione dell'account utilizzando l'attributo EventID.

Tipo di evento Espressione regolare
Account utente creato EventID\"\:\s*4720
Account utente abilitato ID evento\\s*4722
Account utente disattivato ID evento\\s*4725
Account utente eliminato ID evento\\s*4726
Modifica dei diritti utente ID evento\\t*4703
Membro aggiunto al gruppo globale Abilitato per la sicurezza ID evento\\s*4728
Membro rimosso dal gruppo globale Abilitato per la sicurezza ID evento\\t*4729
Il gruppo globale abilitato per la sicurezza è stato eliminato ID evento\\s*4730

Trovare eventi di accesso riuscito

Queste stringhe di query con espressione regolare identificano i tipi di eventi di accesso riusciti utilizzando gli attributi EventID e LogonType.

Tipo di evento Espressione regolare
Accesso riuscito ID evento\\t*4624
Operazione riuscita per l'accesso - Interattiva (LogonType=2) ID evento\\t;\:\s*4624.*?LogonType\"\:\s*\"
Accesso all'account - Accesso in gruppo (LogonType=4) ID evento\\t;4:\s*4624.*?LogonType\"\:\s*\"
Accesso all'account - Accesso al servizio (LogonType=5) ID evento\\\t*\4624.*?LogonType\"\:\s*\"
Accesso all'account - Accesso remoto interattivo (LogonType=10) ID evento\\\t*\4624.*?LogonType\"\:\s*\"
Operazione riuscita per l'accesso - Interattiva, batch, servizio o RemoteInteractive ?

Trovare eventi di errore di accesso

Queste stringhe di query con espressione regolare identificano i tipi di eventi di accesso non riusciti utilizzando gli attributi EventID e LogonType.

Tipo di evento Espressione regolare
Errore di accesso ID evento\\\s*4625
Errore di accesso - Interattivo (LogonType=2) ID evento\\t\\s*4625.*?LogonType\"\:\s*\"
Errore di accesso - Accesso in batch (LogonType=4) ID evento\\&t;\:\s*4625.*?LogonType\"
Errore di accesso - Accesso al servizio (LogonType=5) ID evento\\t;\:\s*4625.*?LogonType\"\:\s*\"
Errore di accesso - Accesso interattivo remoto (LogonType=10) ID evento\\t\\s*4625.*?LogonType\"\:\s*\"
Errore di accesso: interattivo, batch, servizio o RemoteInteractive ?

Trovare eventi di processo, servizio e attività

Queste stringhe di query con espressione regolare identificano determinati eventi di processi e servizi utilizzando l'attributo EventID.

Tipo di evento Espressione regolare
Inizio processo ID evento\:\t*4688
Uscita dal processo ID evento\\t*4689
Servizio installato ID evento\\t*4697
Nuovo servizio creato ID evento\\s*7045
Pianifica attività creata ID evento\\s*4698

Queste stringhe di query con espressione regolare identificano diversi tipi di eventi correlati a processi e servizi utilizzando l'attributo EventID.

Tipo di evento Espressione regolare
Log di controllo cancellato ID evento\:\t*1102
Accesso agli oggetti tentato ID evento\\t*4663
Accesso eseguito ID evento\\s*5140