Como pesquisar registros brutos usando a verificação bruta

Quando você executa uma pesquisa, o Chronicle examina primeiro os dados de segurança que foram ingeridos, analisados e normalizados. Se as informações que você está procurando não forem encontradas nos dados normalizados, você poderá usar a verificação de registro bruto para examinar os registros brutos não analisados. Use expressões regulares para examinar mais detalhadamente os registros brutos.

Use a verificação de registro bruto para investigar os artefatos que aparecem nos registros, mas não são indexados, incluindo:

  • Nomes de usuário
  • Nomes de arquivo
  • Chaves de registro
  • Argumentos de linha de comando
  • Dados brutos relacionados à solicitação HTTP
  • Nomes de domínio com base em expressões regulares
  • Nomes e endereços de recursos

Para informações sobre como usar a verificação de registro bruta e as expressões regulares, consulte as seções a seguir.

Verificação de registros brutos

Para usar a verificação de registro bruto, insira uma string de pesquisa no campo de pesquisa na página de destino ou na barra de menus (por exemplo, um hash MD5). Digite pelo menos quatro caracteres (incluindo caracteres curinga). Se o Chronicle não encontrar a string de pesquisa, ele abrirá a opção Verificação de registros brutos. Especifique o Horário de início e o Horário de término (o padrão é uma semana) e clique em PESQUISAR.

Verificação de registro bruto na página de destino Verificação de registros brutos da página de destino

Os eventos associados à string de pesquisa são exibidos. Clique no botão de seta para abrir o registro bruto associado.

Você também pode clicar no menu suspenso "Origens de registro" e selecionar uma ou mais origens de dados que quer enviar para o Chronicle para pesquisar. A configuração padrão é Todas.

Expressões regulares

Use expressões regulares para pesquisar e fazer a correspondência de conjuntos de strings de caracteres nos dados de segurança usando o Chronicle. As expressões regulares permitem restringir a pesquisa usando fragmentos de informações, em vez de usar, por exemplo, um nome de domínio completo.

Para pesquisar usando a sintaxe de expressão regular, insira a pesquisa no campo Pesquisar com a expressão regular, marque a caixa de seleção Executar consulta como Regex e Clique em PESQUISAR. A expressão regular precisa ter de 4 a 66 caracteres.

Verificação de registro bruto executada como uma expressão regular Verificação de registros brutos executada como uma expressão regular

A infraestrutura de expressões regulares do Chronicle é baseada no Google RE2, um mecanismo de expressão regular de código aberto. O Chronicle usa a mesma sintaxe de expressão regular. Consulte a documentação RE2 para mais informações.

A tabela a seguir destaca algumas sintaxes comuns de expressão regular que podem ser usadas nas suas pesquisas.

Qualquer caractere .
número x de qualquer caractere {X}
Classe de caracteres [xyz]
Classe de caractere negada [^xyz]
Alfanumérico (0-9A-Za-z) [[:alnum:]]
Ordem alfabética (A-Za-z) [[:alfa]:]
Dígitos (0-9) [[:dígito:]]
Minúscula (az) [[:lower:]]
Maiúscula (AZ) [[:upper:]]
Caracteres de palavras (0-9A-Za-z_) [[:palavra:]]
dígito hexadecimal (0-9A-Fa-f) [[:xdígito]:]

Os exemplos a seguir ilustram como você pode usar essa sintaxe para pesquisar em todos os seus dados:

  • goo.le\.com: corresponde a google.com, goooogle.com etc.
  • goo\w{3}\.com: corresponde a google.com, goodle.com, goojle.com etc.
  • [[:digit:]]\.[[:alpha:]]: corresponde a 34323.system, 23458.office, 897.net etc.

Exemplos de expressões regulares para pesquisar registros do Windows

Esta seção fornece strings de consulta de expressão regular que podem ser usadas com a verificação de registro bruto do Chronicle para encontrar eventos do Windows comumente monitorados. Nestes exemplos, as mensagens de registro do Windows estão no formato JSON.

Veja mais informações sobre os IDs de eventos do Windows monitorados com frequência no tópico Eventos a serem monitorados na documentação da Microsoft. Os exemplos fornecidos seguem um padrão semelhante, descrito nesses casos de uso.

Caso de uso: retornar eventos com o EventID 1150
String de regex: \"EventID\"\:\s*1150
Valores correspondentes: "EventID":1150
Caso de uso:retornar eventos com um ID de evento 1150 ou 1151
String de regex (?:\"EventID\"\:\s*)(?:1150|1151)
Valores correspondentes "EventID":1150 e "EventID":1151
Caso de uso: retornar eventos com um ID de evento de 1150 ou 1151 e com ThreatID 9092
String de regex (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092)
Valores correspondentes "EventID":1150 <...qualquer número de caracteres...> "ThreadID":9092
e
"EventID":1151 <. ..qualquer número de caracteres...glt "ThreadID":9092.

Encontrar eventos de gerenciamento de conta

Essas strings de consulta de expressão regular identificam eventos comuns de gerenciamento de conta usando o atributo "EventID".

Tipo de evento Expressão regular
Conta de usuário criada EventID\"\:\s*4720
Conta de usuário ativada ID do evento\"\:\s*4722
Conta de usuário desativada ID do evento\"\:\s*4725
Conta de usuário excluída ID do evento\"\:\s*4726
Modificação dos direitos do usuário ID do evento\"\:\s*4703
Participante adicionado ao grupo global de segurança ativada ID do evento\"\:\s*4728
Participante removido do grupo global com segurança ativada ID do evento\"\:\s*4729
O grupo global com segurança ativada foi excluído ID do evento\"\:\s*4730

Encontrar eventos de êxito de logon

Essas strings de consulta de expressão regular identificam tipos de eventos de logon bem-sucedidos usando os atributos EventID e SSOType.

Tipo de evento Expressão regular
Autenticação concluída ID do evento\"\:\s*4624
Sucesso no logon: interativo (LogonType=2) ID do evento\"\:\s*4624.*?LogonType\"\:\s*\"2\"
Sucesso no logon – Login em lote (LogonType=4) ID do evento\"\:\s*4624.*?LogonType\"\:\s*\"4\"
Login bem-sucedido - Login no serviço (LogonType=5) ID do evento\"\:\s*4624.*?LogonType\"\:\s*\"5\"
Login bem-sucedido - Login interativo remoto (LogonType=10) ID do evento\"\:\s*4624.*?LogonType\"\:\s*\"10\"
Sucesso do logon: interativo, em lote, de serviço ou remoto interativo (?:EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\"

Encontrar eventos de falha de logon

Essas strings de consulta de expressão regular identificam os tipos de eventos de logon com falha usando os atributos EventID e SSOType.

Tipo de evento Expressão regular
Falha no login ID do evento\"\:\s*4625
Falha no logon – interativo (LogonType=2) ID do evento\"\:\s*4625.*?LogonType\"\:\s*\"2\"
Falha no logon – login em lote (LogonType=4) ID do evento\"\:\s*4625.*?LogonType\"\:\s*\"4\"
Falha no logon – login de serviço (LogonType=5) ID do evento\"\:\s*4625.*?LogonType\"\:\s*\"5\"
Falha no logon – login do RemoteInteractive (LogonType=10) ID do evento\"\:\s*4625.*?LogonType\"\:\s*\"10\"
Falha no logon: interativo, em lote, de serviço ou remoto interativo (?:EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\"

Encontrar eventos de processo, serviço e tarefas

Essas strings de consulta de expressão regular identificam determinados eventos de processo e serviço com o atributo EventID.

Tipo de evento Expressão regular
Início do processo ID do evento\"\:\s*4688
Saída do processo ID do evento\"\:\s*4689
Serviço instalado ID do evento\"\:\s*4697
Novo serviço criado ID do evento\"\:\s*7045
Tarefa criada ID do evento\"\:\s*4698

Essas strings de consulta de expressão regular identificam diferentes tipos de eventos relacionados a processos e serviços usando o atributo EventID.

Tipo de evento Expressão regular
Registro de auditoria apagado ID do evento\"\:\s*1102
Tentativa de acesso a objetos ID do evento\"\:\s*4663
Compartilhamento acessado ID do evento\"\:\s*5140