Pesquisar registros brutos usando a verificação bruta de registros
Quando você faz uma pesquisa, o Chronicle primeiro examina os dados de segurança que foram ingeridos, analisados e normalizados. Se as informações que você está procurando não forem encontradas nos dados normalizados, use o Raw Log Scan para examinar os registros brutos não analisados. Também é possível usar expressões regulares para examinar mais de perto os registros brutos.
É possível usar a verificação bruta de registros para investigar artefatos que aparecem nos registros, mas não estão indexados, incluindo:
- Nomes de usuário
- Nomes de arquivo
- Chaves de registro
- Argumentos de linha de comando
- Dados brutos relacionados à solicitação HTTP
- Nomes de domínio baseados em expressões regulares
- Namespaces e endereços dos recursos
Verificação de registro bruto
Para usar a verificação bruta de registros, insira uma string de pesquisa no campo de pesquisa da página de destino ou da barra de menus (por exemplo, um hash MD5). Insira pelo menos quatro caracteres, incluindo curingas. Se o Chronicle não conseguir encontrar a string de pesquisa, ele abrirá a opção Raw Logs Scan. Especifique o Horário de início e o Horário de término (o padrão é uma semana) e clique em PESQUISAR.
Verificação de registro bruto da página de destino
Os eventos associados à string de pesquisa são exibidos. Para abrir o registro bruto associado, clique no botão de seta.
Você também pode clicar no menu suspenso "Log Sources" e selecionar uma ou mais das fontes de dados que está enviando ao Chronicle para pesquisa. A configuração padrão é Todos.
Expressões regulares
É possível usar expressões regulares para pesquisar e corresponder conjuntos de strings de caracteres nos seus dados de segurança usando o Chronicle. As expressões regulares permitem restringir a pesquisa usando fragmentos de informações, em vez de usar, por exemplo, um nome de domínio completo.
Para executar uma pesquisa usando a sintaxe de expressão regular, digite a pesquisa no campo Pesquisar com a expressão regular, marque a caixa de seleção Executar consulta como Regex e clique em PESQUISAR. A expressão regular precisa ter entre 4 e 66 caracteres.
A verificação de registro bruta é executada como uma expressão regular
A infraestrutura de expressão regular do Chronicle é baseada no RE2 do Google, um mecanismo de expressão regular de código aberto. O Chronicle usa a mesma sintaxe de expressão regular. Consulte a documentação RE2 para mais informações.
A tabela a seguir destaca algumas das sintaxes de expressões regulares comuns que podem ser usadas em suas pesquisas.
Qualquer caractere | . |
número x de qualquer caractere | {x} |
Classe de personagem | [xyz] |
Classe de caractere negada | [^xyz] |
Alfanumérico (0-9A-Za-z) | [[:alnum:]] |
Ordem alfabética (A-Za-z) | [[:Alfa:]] |
Dígitos (0 a 9) | [[:digit:]] |
Minúscula (a-z) | [[:lower:]] |
Maiúscula (A a Z) | [[:superior:]] |
Caracteres de palavras (0-9A-Za-z_) | [[:palavra:]] |
Dígito hexadecimal (0-9A-Fa-f) | [[:xdigit:]] |
Os exemplos a seguir ilustram como você poderia usar essa sintaxe para pesquisar em seus dados:
goo.le\.com
: corresponde agoogle.com
,goooogle.com
etc.goo\w{3}\.com
: corresponde agoogle.com
,goodle.com
,goojle.com
etc.[[:digit:]]\.[[:alpha:]]
: corresponde a34323.system
,23458.office
,897.net
etc.
Exemplos de expressões regulares para pesquisar registros do Windows
Esta seção fornece strings de consulta de expressão regular que podem ser usadas com a verificação de registros brutos do Chronicle para encontrar eventos do Windows mais monitorados. Os exemplos abaixo pressupõem que as mensagens de registro do Windows estão no formato JSON.
Para mais informações sobre os IDs de eventos do Windows monitorados com frequência, consulte o tópico Eventos a serem monitorados na documentação da Microsoft. Os exemplos fornecidos seguem um padrão semelhante, descrito nestes casos de uso.
Caso de uso: retornar eventos com o EventID 1150 | |
String de regex: | \"ID do evento\"\:\s*1150 |
Valores correspondentes: | "EventID":1150 |
Caso de uso:retornar eventos com um ID de evento que é 1150 ou 1151 | |
String de regex | (?:\"EventID\"\:\s*)(?:1150|1151) |
Valores correspondentes | "EventID":1150 e "EventID":1151 |
Caso de uso: retornar eventos com um ID de evento 1150 ou 1151 e com ThreatID 9092 | |
String de regex | (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092) |
Valores correspondentes | "EventID":1150 <...qualquer número de caracteres...> "ThreadID":9092
e "EventID":1151 <...qualquer número de caracteres...glt; "ThreadID":9092 |
Encontrar eventos de gerenciamento da conta
Essas strings de consulta de expressão regular identificam eventos comuns de gerenciamento de conta usando o atributo EventID.
Tipo de evento | Expressão regular |
Conta de usuário criada | EventID\"\:\s*4720 |
Conta de usuário ativada | ID do evento\"\:\s*4722 |
Conta de usuário desativada | ID do evento\"\:\s*4725 |
Conta de usuário excluída | ID do evento\"\:\s*4726 |
Modificação dos direitos do usuário | ID do evento\"\:\s*4703 |
Membro adicionado ao grupo global com segurança ativada | ID do evento\"\:\s*4728 |
Membro removido do grupo global com segurança ativada | ID do evento\"\:\s*4729 |
O grupo global com segurança ativada foi excluído | ID do evento\"\:\s*4730 |
Encontrar eventos de êxito de logon
Essas strings de consulta de expressão regular identificam tipos de eventos de logon bem-sucedidos usando os atributos EventID e LogonType.
Tipo de evento | Expressão regular |
Login concluído | ID do evento\"\:\s*4624 |
Sucesso no login - interativo (LogonType=2) | ID do evento\"\:\s*4624.*?LogonType\"\:\s*\"2\" |
Login concluído - Login em lote (LogonType=4) | ID do evento\"\:\s*4624.*?LogonType\"\:\s*\"4\" |
Login concluído - Login no serviço (LogonType=5) | ID do evento\"\:\s*4624.*?LogonType\"\:\s*\"5\" |
Sucesso no login - RemoteInteractive Login (LogonType=10) | ID do evento\"\:\s*4624.*?LogonType\"\:\s*\"10\" |
Sucesso no login: Interactive, Batch, Service ou RemoteInteractive | (?:EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\" |
Encontrar eventos de falha de logon
Essas strings de consulta de expressão regular identificam tipos de eventos de logon com falha usando os atributos EventID e LogonType.
Tipo de evento | Expressão regular |
Falha no logon | ID do evento\"\:\s*4625 |
Falha de logon - interativo (LogonType=2) | ID do evento\"\:\s*4625.*?LogonType\"\:\s*\"2\" |
Falha de logon - login em lote (LogonType=4) | ID do evento\"\:\s*4625.*?LogonType\"\:\s*\"4\" |
Falha de logon - login do serviço (LogonType=5) | ID do evento\"\:\s*4625.*?LogonType\"\:\s*\"5\" |
Falha de logon - Login remotodo Interactive (LogonType=10) | ID do evento\"\:\s*4625.*?LogonType\"\:\s*\"10\" |
Falha de login: interativo, em lote, serviço ou RemoteInteractive | (?:EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\" |
Encontrar eventos de processos, serviços e tarefas
Essas strings de consulta de expressão regular identificam determinados eventos de processo e serviço usando o atributo EventID.
Tipo de evento | Expressão regular |
Início do processo | ID do evento\"\:\s*4688 |
Saída do processo | ID do evento\"\:\s*4689 |
Serviço instalado | ID do evento\"\:\s*4697 |
Novo serviço criado | ID do evento\"\:\s*7045 |
Programar tarefa criada | ID do evento\"\:\s*4698 |
Encontrar eventos relacionados ao acesso a objetos
Essas strings de consulta de expressão regular identificam diferentes tipos de eventos relacionados a processos e serviços usando o atributo EventID.
Tipo de evento | Expressão regular |
Registro de auditoria apagado | ID do evento\"\:\s*1102 |
Tentativa de acesso ao objeto | ID do evento\"\:\s*4663 |
Compartilhamento acessado | ID do evento\"\:\s*5140 |