Pesquisar registros brutos usando a verificação bruta de registros

Quando você executa uma pesquisa, o Chronicle primeiro examina os dados de segurança que foram ingeridos, analisados e normalizados. Se as informações que você está procurando não forem encontradas nos dados normalizados, use a verificação bruta de registros para examinar os registros brutos não analisados. Você também pode usar expressões regulares para examinar mais detalhadamente os registros brutos.

Use a verificação bruta de registro para investigar artefatos que aparecem em registros, mas não são indexados, incluindo:

  • Nomes de usuário
  • Nomes de arquivo
  • Chaves de registro
  • Argumentos de linha de comando
  • Dados brutos relacionados à solicitação HTTP
  • Nomes de domínio baseados em expressões regulares
  • Nomes e endereços dos recursos

Para informações sobre como usar a verificação de registros brutos e expressões regulares, consulte as seções a seguir.

Verificação de registro bruta

Para usar a verificação de registro bruto, insira uma string de pesquisa no campo da página de destino ou na barra de menus (por exemplo, um hash MD5). Insira pelo menos quatro caracteres, incluindo caracteres curinga. Se o Chronicle não conseguir encontrar a string de pesquisa, ele abre a opção Verificação de registros brutos. Especifique o Horário de início e o Horário de término (o padrão é 1 semana) e clique em PESQUISAR.

Verificação de registro bruta da página de destino Verificação de registro bruta da página de destino

Os eventos associados à string de pesquisa são exibidos. É possível abrir o registro bruto associado clicando no botão de seta.

Você também pode clicar no menu suspenso "Origens de registro" e selecionar uma ou mais fontes de dados que está enviando ao Chronicle para pesquisar. A configuração padrão é Todos.

Expressões regulares

Você pode usar expressões regulares para pesquisar e combinar conjuntos de strings de caracteres nos dados de segurança usando o Chronicle. Expressões regulares permitem restringir a pesquisa usando fragmentos de informações, em vez de usar (por exemplo) um nome de domínio completo.

Para executar uma pesquisa usando a sintaxe de expressão regular, insira a pesquisa no campo Pesquisa com a expressão regular, marque a caixa de seleção Executar consulta como regex e clique em PESQUISAR. A expressão regular precisa ter de 4 a 66 caracteres.

Execução de verificação de registro bruta como uma expressão regular Verificação de registro bruta é executada como uma expressão regular

A infraestrutura de expressão regular do Chronicle' é baseada no Google RE2, um mecanismo de expressão regular de código aberto. O Chronicle usa a mesma sintaxe de expressão regular. Consulte a documentação do RE2 para mais informações.

A tabela a seguir destaca algumas das sintaxes comuns de expressões regulares que podem ser usadas nas suas pesquisas.

Qualquer caractere .
x número de caracteres {X}
Classe de personagens [xyz]
Classe de personagem negada [^xyz]
Alfanumérico (0-9A-Za-z) [[:alnum:]],
Ordem alfabética (A-Za-z) [[:Alfa:]]
Dígitos (0 a 9) [[:dígito:]]
Minúscula (a-z) [[:inferior:]]
Maiúscula (A-Z) [[:superior:]]
Caracteres do Word (0-9A-Za-z_) [[:palavra:]]
dígito hexadecimal (0-9A-Fa-f) [[:xdigit:]]

Os exemplos a seguir ilustram como você pode usar essa sintaxe para pesquisar nos seus dados:

  • goo.le\.com: corresponde a google.com, goooogle.com etc.
  • goo\w{3}\.com: corresponde a google.com, goodle.com, goojle.com etc.
  • [[:digit:]]\.[[:alpha:]]: corresponde a 34323.system, 23458.office, 897.net etc.

Exemplos de expressões regulares para pesquisar registros do Windows

Nesta seção, você verá strings de consulta de expressão regular que podem ser usadas com a verificação de registro bruta do Chronicle para encontrar eventos do Windows monitorados com frequência. Estes exemplos presumem que as mensagens de registro do Windows estão no formato JSON.

Veja mais informações sobre os IDs de eventos do Windows monitorados com frequência no tópico Eventos a serem monitorados na documentação da Microsoft. Os exemplos fornecidos seguem um padrão semelhante, descrito nestes casos de uso.

Caso de uso: retornar eventos com o EventID 1150
String de regex: \"ID do evento\"\:\s*1150
Valores correspondentes: "ID do evento":1150
Caso de uso:retornar eventos com um ID de evento de 1150 ou 1151
String de regex (?:\"EventID\"\:\s*)(?:1150|1151)
Valores correspondentes "EventID":1150 e "EventID":1151
Caso de uso: retornar eventos com um ID de evento 1150 ou 1151 e com ThreatID 9092
String de regex (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092)
Valores correspondentes "EventID":1150 <...qualquer número de caracteres...> "ThreadID":9092
e
"EventID":1151 <...qualquer número de caracteres...glt; "ThreadID":9092

Encontrar eventos de gerenciamento de conta

Essas strings de consulta de expressão regular identificam eventos comuns de gerenciamento de contas usando o atributo EventID.

Tipo de evento Expressão regular
Conta de usuário criada EventID\"\:\s*4720
Conta de usuário ativada ID do evento\"\:\s*4722
Conta de usuário desativada ID do evento\"\:\s*4725
Conta de usuário excluída ID do evento\"\:\s*4726
Modificação dos direitos do usuário ID do evento\"\:\s*4703
Membro adicionado ao grupo global com segurança ativada ID do evento\"\:\s*4728
Membro removido do grupo global com segurança ativada ID do evento\"\:\s*4729
O grupo global com segurança ativada foi excluído ID do evento\"\:\s*4730

Encontrar eventos de sucesso de login

Essas strings de consulta de expressão regular identificam tipos de eventos de login bem-sucedidos usando os atributos EventID e LoginType.

Tipo de evento Expressão regular
Login concluído ID do evento\"\:\s*4624
Sucesso no logon – Interativo (LogonType=2) EventID\"\:\s*4624.*?LogonType\"\:\s*\"2\"
Sucesso no login: login em lote (LogonType=4) EventID\"\:\s*4624.*?LogonType\"\:\s*\"4\"
Login efetuado - Login no serviço (LogonType=5) EventID\"\:\s*4624.*?LogonType\"\:\s*\"5\"
Sucesso no login: login do RemoteInteractive (LogonType=10) EventID\"\:\s*4624.*?LogonType\"\:\s*\"10\"
Sucesso com o logon: Interactive, Batch, Service ou RemoteInteractive (?:EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\"

Encontrar eventos de falha de login

Essas strings de consulta de expressão regular identificam tipos de eventos de login com falha usando os atributos EventID e LoginType.

Tipo de evento Expressão regular
Falha de login ID do evento\"\:\s*4625
Falha de login: interativo (LogonType=2) EventID\"\:\s*4625.*?LogonType\"\:\s*\"2\"
Falha no login - login em lote (LogonType=4) EventID\"\:\s*4625.*?LogonType\"\:\s*\"4\"
Falha no login: login do serviço (LogonType=5) EventID\"\:\s*4625.*?LogonType\"\:\s*\"5\"
Falha no login: login do RemoteInteractive (LogonType=10) EventID\"\:\s*4625.*?LogonType\"\:\s*\"10\"
Falha de login: interativa, em lote, de serviço ou remota (?:EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\"

Encontrar eventos de processo, serviço e tarefa

Essas strings de consulta de expressão regular identificam determinados eventos e serviços de serviço usando o atributo EventID.

Tipo de evento Expressão regular
Início do processo ID do evento\"\:\s*4688
Saída do processo ID do evento\"\:\s*4689
Serviço instalado ID do evento\"\:\s*4697
Novo serviço criado ID do evento\"\:\s*7045
Programar tarefa criada ID do evento\"\:\s*4698

Essas strings de consulta de expressão regular identificam tipos diferentes de eventos relacionados a processos e serviços usando o atributo EventID.

Tipo de evento Expressão regular
Registro de auditoria apagado ID do evento\"\:\s*1102
Houve uma tentativa de acesso ao objeto ID do evento\"\:\s*4663
Compartilhamento acessado ID do evento\"\:\s*5140