示例查询

使用本文档查看在InsightIDR的日志搜索中使用的示例查询。

日志查询查询示例

高级模式使用

您可以使用这些示例查询来为您自己的日志编写所需的内容。在高级模式中使用它们。

浏览以下类别中的一个符合您需求的示例查询:

有关进程开始活动的其他示例查询查看过程开始查询

Active Directory管理活动

查找完成“管理操作”的所有用户

  • groupby (source_user)

显示所有“管理动作”

  • groupby(行动)

查找特定用户的所有活动

  • (source_user =”阿诺德·霍尔特”)
  • 在哪里(source_user =“蒂娜·冈萨雷斯(管理)”)

对于不区分大小写的搜索,请使用查看NOCASE

  • (source_user =查看NOCASE(阿诺德·霍尔特))
  • (source_user =查看NOCASE(蒂娜·冈萨雷斯(管理)))
  • 其中(source_user = nocase(“Tina gonzales(admin)”))groupby(动作)

在其用户名中查找“管理员”的所有用户

这些返回不区分大小写的结果。

  • 在哪里(source_user ICONTAINS admin) groupby (source_user)
  • 在哪里(source_user ICONTAINS admin) groupby(行动)

查找用户由名称为“admin”的人添加到的所有组

  • where(source_user iconcontains admin AND action=MEMBER_ADDED_TO_SECURITY_GROUP)

显示添加到特定组的所有用户

  • 其中(action =“member_added_to_security_group”和group =“vpn-users”)groupby(target_user)

显示添加用户组的帐户

  • 在哪里(action =“MEMBER_ADDED_TO_SECURITY_GROUP”)groupby (source_user)

显示对某个组所做的组更改

  • where(action IN [member_addded_to_security_group, MEMBER_REMOVED_FROM_SECURITY_GROUP] AND group CONTAINS -job-admins) / /删除组

取代/*.-job-Admins/使用适当的组名

由主机创建的Admin帐户

  • (/: \ d {2} (? P <主机> \ w +)。/ AND /4732 EVENT/ OR /\s636 EVENT/) groupby(host)

帐户由主机锁定

  • (/: \ d {2} (? P <主机> \ w +)。/ AND /4740 EVENT/ OR / s644 EVENT/) groupby(host)

主机清除审核日志

  • (/: \ d {2} (? P <主机> \ w +)。/ AND /1102 EVENT/ OR / s517 EVENT/) groupby(host)

审计政策已更改

  • where(/4719 EVENT/ OR /\s612 EVENT/)

资产的身份验证

显示所有身份验证类型

  • groupby(logon_type)

显示所有身份验证结果

  • groupby(结果)

显示所有失败的身份验证活动

  • where(result != SUCCESS) groupby(destination_user) calculate(count)

但是,请注意,如果值中有空格成功,你可以用“成功”在查询。

显示所有失败的身份验证活动

  • groupby(result)

失败的登录IP(正则表达式)

  • 其中(/(?p \ d {1,3} \。\ d {1,3} \。\ d {1,3} \。\ d {1,3})/)groupby(ip)计算(计数)

登录失败-非Kerberos

  • where(service NOT IN [krbtgt, kerberos] AND result=FAILED_BAD_PASSWORD)

非kerberos登录Dest资产

  • 其中(在[krbtgt,kerberos]和结果中的服务=“failed_bad_password”)groupby(“destination_asset”)

无效的登录

  • where(/4625 EVENT/ OR / s529 EVENT/)

主机的登录无效

  • 其中(/:\ d {2}(?p \ w +)./和/ 4625事件/或/ \ s529事件/)groupby(host)

资产认证,Active Directory域活动,文件访问活动

这些查询仅适用于Microsoft日志。

显示收集事件的所有Microsoft Event id

  • (/ eventCode \ \”:(? P < EVID > \ d {4}) /) groupby (EVID)
  • (/ eventCode \ \ ": \ \ " (? P < EVID > \ d {4}) /) groupby (EVID)

显示所有收集到日志的主机

  • (/ computerName \ \ ": \ \ " (? P <主机名> (\ w \ d \] *) /) groupby(主机名)

进入认证

显示用户从某个国家/地区登录的所有事件

  • (geoip_country_name =“美国”)计算(计算)
  • (geoip_country_name =“美国”)groupby(用户)计算(计算)

显示从特定城市访问网络的用户

  • 其中(geoip_city =“san jose”)groupby(用户)

显示从城市列表访问网络的用户

  • 达拉斯(geoip_city = /普罗维登斯|弗雷明汉| |明尼阿波利斯|阿普尔顿凤凰| | |奥马哈墨尔本|图|利兹新加坡苏黎世| | |多伦多/我)groupby (geoip_city)

显示从某个国家入境

  • (geoip_country_name =“俄罗斯”)

显示从特定服务访问网络的用户

  • (服务=“盒子”)groupby(用户)排序(desc)
  • (服务=“o365”)groupby(用户)排序(desc)

显示从美国以外的国家访问网络的用户

  • 在哪里(geoip_country_code ! =“我们”)groupby (geoip_country_name)排序(desc)

显示已成功认证的国家

  • 在哪里(geoip_country_name geoip_country_name !=/美国|加拿大|墨西哥/i AND result=SUCCESS)groupby(geoip_country_name)limit(100)

防火墙的活动

显示用户下载数据的国家

  • 其中(Incoming_Bytes> 0和GeoIP_Country_code不在[我们,IE,GB,DE,JP,CA,AU])GroupBy(GeoIP_Country_Code)

应根据需要修改被排除的国家名单。

显示所有来自美国以外国家的防火墙流量

  • 在哪里(geoip_country_name !=“美国”)groupby (geoip_country_name)

显示所有防火墙日志的计数

  • 计算(计数)此查询非常有用可在收集的日志中查看趋势。

展示接收最多数据的前10个外部系统(美国外部)

  • 其中(方向=出站和GeoIP_Country_code!= US)GroupBy(destances_Address)计算(和:Outgoing_Bytes)排序(DESC)限制(10)

使用“限制”来设置返回的结果数。

显示接收数据最多的10个内部系统

  • (方向=入站)groupby (destination_address)计算(金额:incoming_bytes)排序(desc)限制(10)

显示访问特定目的地的所有用户

  • (方向=“出站”和destination_address =“52.205.169.150”)groupby(用户)排序(desc)

显示国与国之间的联系状态是否定的

  • where(connection_status ="DENY" AND geoip_country_code ="US")groupby(geoip_country_name) sort(desc)

显示被拒绝的出站流量

  • 其中(方向=“出站”和connection_status =“deny”)计算(计数)

显示除443、80和53之外的所有已使用的出站端口

  • 其中(connection_status和connection_status =“接受”和方向=“出站”和destination_port,而不是[443,80,53])groupby(destination_port)

显示最热门的出境目的地

  • (方向=出站)groupby (destination_address)计算(金额:outgoing_bytes)排序(desc)

显示最热门入境目的地

  • 其中(方向=入站)groupby(source_address)计算(和:incoming_bytes)排序(desc)

演示允许列出的国家

  • 在哪里(GeoIP_Country_Name在[捷克,俄罗斯,“香港”)和connection_status =接受和方向=入站)groupby(geoip_country_name)

外部防火墙按子网拒绝

  • where(connection_status = DENY AND source_address NOT IN [IP(10.0.0.0/8), IP(172.27.0.0/16), IP(169.254.0.0/16), IP(192.168.0.0/16), IP(172.16.0.0/16)])

可视化搜索防火墙

  • 用户!=“未知”和connection_status = deny和source_address不在[IP(10.0.0.0/8),IP(172.27.0.0/16),IP(169.254.0.0/16),IP(192.168.0.0/16),IP(172.16.0.0/16)]

外国无效的连接尝试

  • 在哪里(connection_status =“否认”和geoip_country_name !="美国")groupby(geoip_country_name) calculate(count)

按国家拒绝入站

  • where(connection_status=DENY AND direction=INBOUND AND geoip_country_name!)="美国")groupby(geoip_country_name) calculate(count)

大数据传输箱

  • where(direction="OUTBOUND" AND outgoing_bytes>50000000 AND geoip_organization="Box.com")

示例:Docker流量(RAW) -接收字节数

  • (stats.networks.eth0.rx_bytes ! = null)计算(平均:stats.networks.eth0.rx_bytes)

DNS查询

显示用户在.com,.NET和.org域之外浏览的位置

  • where(public_suffix NOT IN [com, net, org]) groupby(public_suffix) sort(desc)

展示用户访问过的俄罗斯网站

  • (public_suffix =“俄罗斯”)groupby(查询)排序(desc)

显示图形显示用户访问网站最多的时间

  • 在哪里(/ facebook和用户! =“未知”)计算(计算)

显示已访问Dropbox的所有用户

  • 在哪里(/ dropbox和用户! =“未知”)groupby(用户)

显示已访问Facebook的所有用户

  • 在哪里(/ facebook和用户! =“未知”)groupby(用户)

文件访问活动

显示指定用户访问的文件

  • 其中(user =“Pete Coors”)GroupBy(file_name)

显示访问某个文件的用户

  • (file_name =“audit.csv”)groupby(用户)

显示已知用户访问安全浏览

此查询将结果限制为20个用户。

  • (查询= " safebrowsing.google.com "和用户! =“未知”)groupby(用户)限制(20)