Pesquisar registros brutos usando a verificação bruta de registros
Quando você executa uma pesquisa, o Chronicle primeiro examina os dados de segurança que foram ingeridos, analisados e normalizados. Se as informações que você está procurando não forem encontradas nos dados normalizados, use a verificação bruta de registros para examinar os registros brutos não analisados. Você também pode usar expressões regulares para examinar mais detalhadamente os registros brutos.
Use a verificação bruta de registro para investigar artefatos que aparecem em registros, mas não são indexados, incluindo:
- Nomes de usuário
- Nomes de arquivo
- Chaves de registro
- Argumentos de linha de comando
- Dados brutos relacionados à solicitação HTTP
- Nomes de domínio baseados em expressões regulares
- Nomes e endereços dos recursos
Para informações sobre como usar a verificação de registros brutos e expressões regulares, consulte as seções a seguir.
Verificação de registro bruta
Para usar a verificação de registro bruto, insira uma string de pesquisa no campo da página de destino ou na barra de menus (por exemplo, um hash MD5). Insira pelo menos quatro caracteres, incluindo caracteres curinga. Se o Chronicle não conseguir encontrar a string de pesquisa, ele abre a opção Verificação de registros brutos. Especifique o Horário de início e o Horário de término (o padrão é 1 semana) e clique em PESQUISAR.
Verificação de registro bruta da página de destino
Os eventos associados à string de pesquisa são exibidos. É possível abrir o registro bruto associado clicando no botão de seta.
Você também pode clicar no menu suspenso "Origens de registro" e selecionar uma ou mais fontes de dados que está enviando ao Chronicle para pesquisar. A configuração padrão é Todos.
Expressões regulares
Você pode usar expressões regulares para pesquisar e combinar conjuntos de strings de caracteres nos dados de segurança usando o Chronicle. Expressões regulares permitem restringir a pesquisa usando fragmentos de informações, em vez de usar (por exemplo) um nome de domínio completo.
Para executar uma pesquisa usando a sintaxe de expressão regular, insira a pesquisa no campo Pesquisa com a expressão regular, marque a caixa de seleção Executar consulta como regex e clique em PESQUISAR. A expressão regular precisa ter de 4 a 66 caracteres.
Verificação de registro bruta é executada como uma expressão regular
A infraestrutura de expressão regular do Chronicle' é baseada no Google RE2, um mecanismo de expressão regular de código aberto. O Chronicle usa a mesma sintaxe de expressão regular. Consulte a documentação do RE2 para mais informações.
A tabela a seguir destaca algumas das sintaxes comuns de expressões regulares que podem ser usadas nas suas pesquisas.
| Qualquer caractere | . |
| x número de caracteres | {X} |
| Classe de personagens | [xyz] |
| Classe de personagem negada | [^xyz] |
| Alfanumérico (0-9A-Za-z) | [[:alnum:]], |
| Ordem alfabética (A-Za-z) | [[:Alfa:]] |
| Dígitos (0 a 9) | [[:dígito:]] |
| Minúscula (a-z) | [[:inferior:]] |
| Maiúscula (A-Z) | [[:superior:]] |
| Caracteres do Word (0-9A-Za-z_) | [[:palavra:]] |
| dígito hexadecimal (0-9A-Fa-f) | [[:xdigit:]] |
Os exemplos a seguir ilustram como você pode usar essa sintaxe para pesquisar nos seus dados:
goo.le\.com: corresponde agoogle.com,goooogle.cometc.goo\w{3}\.com: corresponde agoogle.com,goodle.com,goojle.cometc.[[:digit:]]\.[[:alpha:]]: corresponde a34323.system,23458.office,897.netetc.
Exemplos de expressões regulares para pesquisar registros do Windows
Nesta seção, você verá strings de consulta de expressão regular que podem ser usadas com a verificação de registro bruta do Chronicle para encontrar eventos do Windows monitorados com frequência. Estes exemplos presumem que as mensagens de registro do Windows estão no formato JSON.
Veja mais informações sobre os IDs de eventos do Windows monitorados com frequência no tópico Eventos a serem monitorados na documentação da Microsoft. Os exemplos fornecidos seguem um padrão semelhante, descrito nestes casos de uso.
| Caso de uso: retornar eventos com o EventID 1150 | |
| String de regex: | \"ID do evento\"\:\s*1150 |
| Valores correspondentes: | "ID do evento":1150 |
| Caso de uso:retornar eventos com um ID de evento de 1150 ou 1151 | |
| String de regex | (?:\"EventID\"\:\s*)(?:1150|1151) |
| Valores correspondentes | "EventID":1150 e "EventID":1151 |
| Caso de uso: retornar eventos com um ID de evento 1150 ou 1151 e com ThreatID 9092 | |
| String de regex | (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092) |
| Valores correspondentes | "EventID":1150 <...qualquer número de caracteres...> "ThreadID":9092
e "EventID":1151 <...qualquer número de caracteres...glt; "ThreadID":9092 |
Encontrar eventos de gerenciamento de conta
Essas strings de consulta de expressão regular identificam eventos comuns de gerenciamento de contas usando o atributo EventID.
| Tipo de evento | Expressão regular |
| Conta de usuário criada | EventID\"\:\s*4720 |
| Conta de usuário ativada | ID do evento\"\:\s*4722 |
| Conta de usuário desativada | ID do evento\"\:\s*4725 |
| Conta de usuário excluída | ID do evento\"\:\s*4726 |
| Modificação dos direitos do usuário | ID do evento\"\:\s*4703 |
| Membro adicionado ao grupo global com segurança ativada | ID do evento\"\:\s*4728 |
| Membro removido do grupo global com segurança ativada | ID do evento\"\:\s*4729 |
| O grupo global com segurança ativada foi excluído | ID do evento\"\:\s*4730 |
Encontrar eventos de sucesso de login
Essas strings de consulta de expressão regular identificam tipos de eventos de login bem-sucedidos usando os atributos EventID e LoginType.
| Tipo de evento | Expressão regular |
| Login concluído | ID do evento\"\:\s*4624 |
| Sucesso no logon – Interativo (LogonType=2) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"2\" |
| Sucesso no login: login em lote (LogonType=4) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"4\" |
| Login efetuado - Login no serviço (LogonType=5) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"5\" |
| Sucesso no login: login do RemoteInteractive (LogonType=10) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"10\" |
| Sucesso com o logon: Interactive, Batch, Service ou RemoteInteractive | (?:EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\" |
Encontrar eventos de falha de login
Essas strings de consulta de expressão regular identificam tipos de eventos de login com falha usando os atributos EventID e LoginType.
| Tipo de evento | Expressão regular |
| Falha de login | ID do evento\"\:\s*4625 |
| Falha de login: interativo (LogonType=2) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"2\" |
| Falha no login - login em lote (LogonType=4) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"4\" |
| Falha no login: login do serviço (LogonType=5) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"5\" |
| Falha no login: login do RemoteInteractive (LogonType=10) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"10\" |
| Falha de login: interativa, em lote, de serviço ou remota | (?:EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\" |
Encontrar eventos de processo, serviço e tarefa
Essas strings de consulta de expressão regular identificam determinados eventos e serviços de serviço usando o atributo EventID.
| Tipo de evento | Expressão regular |
| Início do processo | ID do evento\"\:\s*4688 |
| Saída do processo | ID do evento\"\:\s*4689 |
| Serviço instalado | ID do evento\"\:\s*4697 |
| Novo serviço criado | ID do evento\"\:\s*7045 |
| Programar tarefa criada | ID do evento\"\:\s*4698 |
Encontrar eventos relacionados ao acesso a objetos
Essas strings de consulta de expressão regular identificam tipos diferentes de eventos relacionados a processos e serviços usando o atributo EventID.
| Tipo de evento | Expressão regular |
| Registro de auditoria apagado | ID do evento\"\:\s*1102 |
| Houve uma tentativa de acesso ao objeto | ID do evento\"\:\s*4663 |
| Compartilhamento acessado | ID do evento\"\:\s*5140 |