Quando você faz uma pesquisa, o Chronicle examina primeiro os dados de segurança que foram ingeridos, analisados e normalizados. Se as informações que você está procurando não forem encontradas nos dados normalizados, use a verificação de registros brutos para examinar os registros brutos não analisados. Também é possível usar expressões regulares para examinar mais detalhadamente os registros brutos.
É possível usar a verificação de registros brutos para investigar os artefatos que aparecem nos registros, mas não são indexados, incluindo:
- Nomes de usuário
- Nomes de arquivo
- Chaves de registro
- Argumentos de linha de comando
- Dados brutos relacionados à solicitação HTTP
- Nomes de domínio com base em expressões regulares
- Nomes e endereços dos recursos
Para informações sobre como usar a verificação de registro bruta e as expressões regulares, consulte as seções a seguir.
Verificação de registros brutos
Para usar a verificação de registro bruto, insira uma string de pesquisa no campo de pesquisa na página de destino ou na barra de menus (por exemplo, um hash MD5). Insira pelo menos quatro caracteres (incluindo caracteres curinga). Se o Chronicle não encontrar a string de pesquisa, ela abrirá a opção Raw Logs Scan. Especifique o Horário de início e o Horário de término (o padrão é uma semana) e clique em PESQUISAR.
Verificação de registros brutos da página de destino
Os eventos associados à string de pesquisa são exibidos. É possível abrir o registro bruto associado clicando no botão de seta.
Você também pode clicar no menu suspenso "Origens de registro" e selecionar uma ou mais origens de dados que você está enviando para o Chronicle para pesquisar. A configuração padrão é Todos.
Expressões regulares
Use expressões regulares para pesquisar e fazer a correspondência de conjuntos de strings de caracteres nos seus dados de segurança usando o Chronicle. As expressões regulares permitem restringir a pesquisa usando fragmentos de informações, em vez de usar (por exemplo) um nome de domínio completo.
Para executar uma pesquisa usando a sintaxe de expressão regular, insira sua pesquisa no campo Pesquisar com a expressão regular, marque a caixa de seleção Executar consulta como Regex e Clique em PESQUISAR. A expressão regular precisa ter de 4 a 66 caracteres.
Verificação de registros brutos executada como uma expressão regular
A infraestrutura da expressão regular do Chronicle é baseada no Google RE2, um mecanismo de expressão regular de código aberto. O Chronicle usa a mesma sintaxe de expressão regular. Consulte a documentação RE2 para mais informações.
A tabela a seguir destaca algumas das sintaxes de expressões regulares comuns que você pode usar em suas pesquisas.
| Qualquer caractere | . |
| número x de qualquer caractere | {X} |
| Classe de caracteres | [xyz] |
| Classe de caractere negada | [^xyz] |
| Alfanumérico (0-9A-Za-z) | [[:alnum:]] |
| Ordem alfabética (A-Za-z) | [[:alfa:]] |
| Dígitos (0 a 9) | [[:dígito:]] |
| Minúscula (az) | [[:lower:]] |
| Maiúscula (AZ) | [[:superior:]] |
| Caracteres de palavras (0-9A-Za-z_) | [[:word:]] ] |
| dígito hexadecimal (0-9A-Fa-f) | [[:xdigit:]] |
Os exemplos a seguir ilustram como você pode usar essa sintaxe para pesquisar seus dados:
goo.le\.com: corresponde agoogle.com,goooogle.cometc.goo\w{3}\.com: corresponde agoogle.com,goodle.com,goojle.cometc.[[:digit:]]\.[[:alpha:]]: corresponde a34323.system,23458.office,897.netetc.
Exemplos de expressões regulares para pesquisar registros do Windows
Esta seção fornece strings de consulta de expressão regular que podem ser usadas com a verificação de registro bruta do Chronicle para encontrar eventos do Windows comumente monitorados. Nestes exemplos, as mensagens de registro do Windows estão no formato JSON.
Veja mais informações sobre os IDs de evento do Windows frequentemente monitorados no tópico Eventos a serem monitorados (em inglês) na documentação da Microsoft. Os exemplos fornecidos seguem um padrão semelhante, descrito nestes casos de uso.
| Caso de uso: retornar eventos com o EventID 1150 | |
| String de regex: | \"ID do evento\"\:\s*1150 |
| Valores correspondentes: | "EventID":1150 |
| Caso de uso:retornar eventos com um ID de evento que seja 1150 ou 1151 | |
| String de regex | (?:\"EventID\"\:\s*)(?:1150|1151) |
| Valores correspondentes | "EventID":1150 e "EventID":1151 |
| Caso de uso: retornar eventos com um código de evento 1150 ou 1151 e com ThreatID 9092 | |
| String de regex | (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092) |
| Valores correspondentes | "EventID":1150 <...qualquer número de caracteres...> "ThreadID":9092 e "EventID":1151 <. .qualquer número de caracteres...glt; "ThreadID":9092 |
Encontrar eventos de gerenciamento de conta
Essas strings de consulta de expressão regular identificam eventos comuns de gerenciamento de conta usando o atributo EventID.
| Tipo de evento | Expressão regular |
| Conta de usuário criada | EventID\"\:\s*4720 |
| Conta de usuário ativada | ID do evento\"\:\s*4722 |
| Conta de usuário desativada | ID do evento\"\:\s*4725 |
| Conta de usuário excluída | ID do evento\"\:\s*4726 |
| Modificação de direitos do usuário | ID do evento\"\:\s*4703 |
| Participante adicionado ao grupo global de segurança ativada | ID do evento\"\:\s*4728 |
| Participante removido do grupo global de segurança ativada | ID do evento\"\:\s*4729 |
| O grupo global com segurança ativada foi excluído | ID do evento\"\:\s*4730 |
Encontrar eventos de êxito de logon
Essas strings de consulta de expressão regular identificam tipos de eventos de logon bem-sucedidos usando os atributos EventID e SSO.
| Tipo de evento | Expressão regular |
| Login concluído | ID do evento\"\:\s*4624 |
| Sucesso no logon – interativo (LogonType=2) | ID do evento\"\:\s*4624.*?LogonType\"\:\s*\"2\" |
| Login concluído: login em lote (LogonType=4) | ID do evento\"\:\s*4624.*?LogonType\"\:\s*\"4\" |
| Login bem-sucedido - Login do serviço (LogonType=5) | ID do evento\"\:\s*4624.*?LogonType\"\:\s*\"5\" |
| Login concluído: Login interativo remoto (LogonType=10) | ID do evento\"\:\s*4624.*?LogonType\"\:\s*\"10\" |
| Login bem-sucedido: interativo, em lote, serviço ou remoto interativo | (?:EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\" |
Encontrar eventos de falha de logon
Essas strings de consulta de expressão regular identificam tipos de eventos de logon com falha usando os atributos EventID e AuthenticationType.
| Tipo de evento | Expressão regular |
| Falha no login | ID do evento\"\:\s*4625 |
| Falha no logon – interativo (LogonType=2) | ID do evento\"\:\s*4625.*?LogonType\"\:\s*\"2\" |
| Falha no logon – login em lote (LogonType=4) | ID do evento\"\:\s*4625.*?LogonType\"\:\s*\"4\" |
| Falha no logon – Login do serviço (LogonType=5) | ID do evento\"\:\s*4625.*?LogonType\"\:\s*\"5\" |
| Falha no logon: login remoto interativo (LogonType=10) | ID do evento\"\:\s*4625.*?LogonType\"\:\s*\"10\" |
| Falha no logon: interativo, em lote, serviço ou remoto interativo | (?:EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\" |
Encontrar eventos de processo, serviço e tarefa
Essas strings de consulta de expressão regular identificam determinados eventos de processo e serviço usando o atributo EventID.
| Tipo de evento | Expressão regular |
| Início do processo | ID do evento\"\:\s*4688 |
| Processo de saída | ID do evento\"\:\s*4689 |
| Serviço instalado | ID do evento\"\:\s*4697 |
| Novo serviço criado | ID do evento\"\:\s*7045 |
| Programar tarefa criada | ID do evento\"\:\s*4698 |
Encontrar eventos relacionados ao acesso a objetos
Essas strings de consulta de expressão regular identificam diferentes tipos de eventos relacionados a processos e serviços usando o atributo EventID.
| Tipo de evento | Expressão regular |
| Registro de auditoria limpo | ID do evento\"\:\s*1102 |
| Tentativa de acesso ao objeto | ID do evento\"\:\s*4663 |
| Compartilhamento acessado | ID do evento\"\:\s*5140 |