示例查询

使用本文档可查看InsightIdr日志搜索中使用的示例查询。

日志查询查询示例

在高级模式下使用

您可以使用这些示例查询来为您自己的日志编写所需的内容。在高级模式中使用它们。

浏览下面的一个类别,以获得适合您需求的示例查询:

有关进程开始活动的其他示例查询查看进程开始查询

Active Directory管理活动

查找完成“管理员动作”的所有用户

  • groupby(source_user)

显示所有“管理员操作”

  • groupby(行动)

查找特定用户采取的所有活动

  • (source_user =”阿诺德·霍尔特”)
  • 其中(source_user =“tina gonzales(admin)”)

对于不区分大小写的搜索,请使用nocase.

  • 其中(source_user = nocase(“Arnold holt”)))
  • (source_user =查看NOCASE(蒂娜·冈萨雷斯(管理)))
  • 其中(source_user = nocase(“Tina gonzales(admin)”))groupby(动作)

在其用户名中找到具有“管理员”的所有用户

这些返回案不敏感的结果。

  • 在哪里(source_user ICONTAINS admin) groupby (source_user)
  • 在哪里(source_user ICONTAINS admin) groupby(行动)

查找用户被添加到“管理员”中添加用户的所有组

  • 其中(source_user icontains admin和action = member_added_to_security_group)groupby(组)

显示添加到特定组的所有用户

  • 其中(action =“member_added_to_security_group”和group =“vpn-users”)groupby(target_user)

显示添加用户组的帐户

  • 在哪里(action =“MEMBER_ADDED_TO_SECURITY_GROUP”)groupby (source_user)

显示对某个组的组更改

  • 其中(在[member_added_to_security_group,member_removed_from_security_group]和组中包含-job-admins的操作)

取代/*.-job-Admins/使用适当的群组名称

由主机创建的Admin帐户

  • (/: \ d {2} (? P <主机> \ w +)。/ AND /4732 EVENT/ OR /\s636 EVENT/) groupby(host)

帐户被主机锁定

  • (/: \ d {2} (? P <主机> \ w +)。/ AND /4740 EVENT/ OR / s644 EVENT/) groupby(host)

审核日志由主机清除

  • (/: \ d {2} (? P <主机> \ w +)。/ AND /1102 EVENT/ OR / s517 EVENT/) groupby(host)

审计政策发生了变化

  • where(/4719 EVENT/ OR /\s612 EVENT/)

资产的身份验证

显示所有身份验证类型

  • groupby(logon_type)

显示所有身份验证结果

  • groupby(结果)

显示所有失败的身份验证活动

  • where(result != SUCCESS) groupby(destination_user) calculate(count)

但是,如果存在价值的空间成功,你可以用“成功”在查询。

显示所有失败的身份验证活动

  • 其中(结果开始 - 失败)groupby(结果)

失败的登录IP(正则表达式)

  • 其中(/(?p \ d {1,3} \。\ d {1,3} \。\ d {1,3} \。\ d {1,3})/)groupby(ip)计算(计数)

登录失败 - 非Kerberos

  • 其中(在[krbtgt,kerberos]和结果= failed_bad_password中)

非Kerberos登录Dest Asset

  • 其中(在[krbtgt,kerberos]和结果中的服务= fault =“failed_bad_password”)groupby(“destination_asset”)

无效的登录

  • 其中(/ 4625事件/或/ \ s529事件/)

主机的登录无效

  • 其中(/:\ d {2}(?p \ w +)./和/ 4625事件/或/ \ s529事件/)groupby(host)

资产认证,Active Directory域活动,文件访问活动

这些查询仅适用于Microsoft日志。

显示所有Microsoft事件ID用于收集的活动

  • 其中(/ evencode \\“:(?p \ d {4})/)groupby(evid)
  • (/ eventCode \ \ ": \ \ " (? P < EVID > \ d {4}) /) groupby (EVID)

显示所有收集到日志的主机

  • (/ computerName \ \ ": \ \ " (? P <主机名> (\ w \ d \] *) /) groupby(主机名)

入口身份验证

显示用户从某个国家/地区登录的所有事件

  • (geoip_country_name =“美国”)计算(计算)
  • 其中(geoip_country_name =“美国”)groupby(用户)计算(计数)

显示从特定城市访问网络的用户

  • 其中(geoip_city =“san jose”)groupby(用户)

显示从城市列表访问网络的用户

  • 在哪里(GeoIP_City = /普罗维登斯| Framingham |达拉斯| Minneapolis | Appleton |凤凰城|奥马尔 - 墨尔本| Tuzla | LEEDS |苏黎世|苏黎世|新加坡| Toronto / i)GroupBy(GeoIP_City)

显示从某个国家入境

  • (geoip_country_name =“俄罗斯”)

显示用户从特定服务访问网络的用户

  • (服务=“盒子”)groupby(用户)排序(desc)
  • (服务=“o365”)groupby(用户)排序(desc)

显示从美国以外的国家访问网络的用户

  • 其中(geoip_country_code!=“我们”)groupby(geoip_country_name)排序(desc)

显示已成功认证的国家

  • 在哪里(geoip_country_name geoip_country_name !=/美国|加拿大|墨西哥/i AND result=SUCCESS)groupby(geoip_country_name)limit(100)

防火墙的活动

显示用户下载数据的国家

  • 其中(incoming_bytes> 0和geoIP_country_code不在[美国,IE,GB,DE,JP,CA,AU])GroupBy(GeoIP_Country_Code)

应根据需要修改被排除的国家名单。

显示所有来自美国以外国家的防火墙流量

  • 在哪里(geoip_country_name !=“美国”)groupby (geoip_country_name)

显示所有防火墙日志的计数

  • 计算(计数)此查询非常有用可在收集的日志中看到趋势。

展示前10个外部系统(在美国外部)接收最多的数据

  • 其中(方向=出站和geoIP_country_code!= US)GroupBy(destances_Address)计算(和:Outgoing_Bytes)排序(DESC)限制(10)

使用“限制”设置要返回的结果数量。

显示接收数据最多的10个内部系统

  • 其中(方向=入站)groupby(destination_address)计算(和:incoming_bytes)排序(desc)限制(10)

显示访问特定目的地的所有用户

  • 其中(方向=“出站”和destination_address =“52.205.169.150”)GroupBy(用户)排序(DESC)

显示具有拒绝的连接状态的国家

  • where(connection_status ="DENY" AND geoip_country_code ="US")groupby(geoip_country_name) sort(desc)

显示拒绝出站流量

  • 其中(方向=“出站”和connection_status =“deny”)计算(计数)

显示除443、80和53之外的所有已使用的出站端口

  • 其中(connection_status和connection_status =“接受”和方向= destination_port,而不是[443,80,53])groupby(destination_port)

显示最热门的出境目的地

  • (方向=出站)groupby (destination_address)计算(金额:outgoing_bytes)排序(desc)

显示顶部入站目的地

  • 其中(方向=入站)groupby(source_address)计算(和:incoming_bytes)排序(desc)

演示允许列出的国家

  • 哪里(GeoIP_Country_Name在[捷克,俄罗斯,“香港”)和Connection_Status =接受和方向=入站)GroupBy(GeoIP_Country_Name)

外部防火墙按子网拒绝

  • where(connection_status = DENY AND source_address NOT IN [IP(10.0.0.0/8), IP(172.27.0.0/16), IP(169.254.0.0/16), IP(192.168.0.0/16), IP(172.16.0.0/16)])

可视化搜索防火墙

  • 用户!= “未知” 和CONNECTION_STATUS =丢弃,source_address NOT IN [IP(10.0.0.0/8),IP(172.27.0.0/16),IP(169.254.0.0/16),IP(192.168.0.0/16),IP(172.16.0.0/16)]

外国无效的连接尝试

  • 在哪里(connection_status =“否认”和geoip_country_name !="美国")groupby(geoip_country_name) calculate(count)

入境否认国家

  • where(connection_status=DENY AND direction=INBOUND AND geoip_country_name!)="美国")groupby(geoip_country_name) calculate(count)

大数据传输箱

  • 其中(方向=“出站”和Outgoing_Bytes> 50000000和GeoIP_Organization =“box.com”)

示例:Docker流量(RAW) -接收字节数

  • 其中(stats.networks.eth0.rx_bytes!= null)计算(平均:stats.networks.eth0.rx_bytes)

DNS查询

显示用户在.NET和.org域之外浏览的地方

  • where(public_suffix NOT IN [com, net, org]) groupby(public_suffix) sort(desc)

展示用户访问过的俄罗斯网站

  • 其中(public_suffix =“ru”)groupby(查询)排序(desc)

显示图表显示用户最多访问网站时

  • 在哪里(/ Facebook /和用户!=“未知”)计算(计数)

显示已访问Dropbox的所有用户

  • 其中(/ dropbox /和用户!=“未知”)groupby(用户)

显示已访问Facebook的所有用户

  • 其中(/ Facebook /和用户!=“未知”)GroupBy(用户)

文件访问活动

显示指定用户访问的文件

  • 其中(User =“Pete Coors”)GroupBy(file_name)

显示访问某个文件的用户

  • (file_name =“audit.csv”)groupby(用户)

显示已知用户访问安全浏览

此查询将结果限制为20个用户。

  • 其中(查询=“safebrowing.google.com”和用户!=“未知”)groupby(用户)限制(20)