示例查询
使用本文档查看在InsightIDR的日志搜索中使用的示例查询。
示例日志搜索查询
高级模式使用
您可以使用这些示例查询来为自己的日志制作所需的内容。在高级模式下使用它们。
浏览以下类别中的一个符合您需求的示例查询:
有关流程启动活动的其他示例查询,请查看进程启动查询.
Active Directory管理活动
查找完成“管理操作”的所有用户
groupby (source_user)
显示所有“管理动作”
groupby(行动)
查找特定用户的所有活动
其中(source_user =“Arnold Holt”)
在哪里(source_user =“蒂娜·冈萨雷斯(管理)”)
对于不区分大小写的搜索,请使用查看NOCASE
(source_user =查看NOCASE(阿诺德·霍尔特))
(source_user =查看NOCASE(蒂娜·冈萨雷斯(管理)))
其中(source_user=NOCASE(“tina gonzales(admin)”)groupby(action)
查找用户名中带有“admin”的所有用户
这些函数返回不区分大小写的结果。
在哪里(source_user ICONTAINS admin) groupby (source_user)
其中(source_user icontains admin)groupby(action)
查找用户由名称为“admin”的人添加到的所有组
where(source_user iconcontains admin AND action=MEMBER_ADDED_TO_SECURITY_GROUP)
显示添加到特定组的所有用户
其中(action=“MEMBER\u ADDED\u TO\u SECURITY\u GROUP”和GROUP=“vpn users”)groupby(target\u user)
显示将用户添加到组的帐户
其中(action =“member_added_to_security_group”)groupby(source_user)
显示对某个组所做的组更改
where(action IN [member_addded_to_security_group, MEMBER_REMOVED_FROM_SECURITY_GROUP] AND group CONTAINS -job-admins) / /删除组
代替/*-工作管理员/
使用适当的组名
主机创建的管理员帐户
其中(/:\ d {2}(?p
\ w +)./和/ 4732事件/或/ \ s636事件/)groupby(host)
主机锁定的帐户
其中(/:\ d {2}(?p
\ w +)./和/ 4740事件/或/ \ s644事件/)groupby(host)
主机已清除审核日志
(/: \ d {2} (? P <主机> \ w +)。/ AND /1102 EVENT/ OR / s517 EVENT/) groupby(host)
审核策略已更改
其中(/ 4719事件/或/ \ s612事件/)
资产认证
显示所有身份验证类型
groupby(登录类型)
显示所有身份验证结果
groupby(结果)
显示所有失败的身份验证活动
where(result != SUCCESS) groupby(destination_user) calculate(count)
但是,请注意,如果值中有空格成功
,你可以用“成功“
在查询中。
显示所有失败的身份验证活动
groupby(result)
按IP登录失败(ReGex)
式中(/(?P
\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})/)分组比(ip)计算(计数)
登录失败-非Kerberos
where(service NOT IN [krbtgt, kerberos] AND result=FAILED_BAD_PASSWORD)
非kerberos登录Dest资产
其中(服务不在[krbtgt,kerberos]和result=“FAILED\u BAD\u PASSWORD”)groupby(“destination\u asset”)
登录无效
where(/4625 EVENT/ OR / s529 EVENT/)
主机登录无效
其中(/:\d{2}(?P
\w+)./AND/4625事件/或/\s529事件/)groupby(主机)
资产身份验证,Active Directory域活动,文件访问活动
这些查询仅适用于Microsoft日志。
显示收集事件的所有Microsoft Event id
(/ eventCode \ \”:(? P < EVID > \ d {4}) /) groupby (EVID)
其中(/ evencode \\“:\\”(?p
\ d {4})/)groupby(evid)
显示所有收集到日志的主机
(/ computerName \ \ ": \ \ " (? P <主机名> (\ w \ d \] *) /) groupby(主机名)
进入认证
显示用户从某个国家/地区登录的所有事件
(geoip_country_name =“美国”)计算(计算)
(geoip_country_name =“美国”)groupby(用户)计算(计算)
显示从特定城市访问网络的用户
其中(geoip_city=“San Jose”)分组人(用户)
显示从城市列表访问网络的用户
达拉斯(geoip_city = /普罗维登斯|弗雷明汉| |明尼阿波利斯|阿普尔顿凤凰| | |奥马哈墨尔本|图|利兹新加坡苏黎世| | |多伦多/我)groupby (geoip_city)
显示来自某个国家的入口
其中(geoip_country_name =“俄国”)
显示从特定服务访问网络的用户
(服务=“盒子”)groupby(用户)排序(desc)
其中(服务=“O365”)GroupBy(用户)排序(DESC)
显示用户从美国以外的国家访问网络
在哪里(geoip_country_code ! =“我们”)groupby (geoip_country_name)排序(desc)
显示在列出的那些以外的身份验证成功的国家
在哪里(geoip_country_name geoip_country_name !=/美国|加拿大|墨西哥/i AND result=SUCCESS)groupby(geoip_country_name)limit(100)
防火墙的活动
显示用户从中下载数据的国家/地区
其中(传入字节>0,地理IP国家代码不在[US,IE,GB,DE,JP,CA,AU])groupby(地理IP国家代码)
排除国家清单应根据需要进行修改。
显示美国以外的国家的所有防火墙流量
哪里(GeoIP_Country_Name!=“美国”)GroupBy(GeoIP_Country_Name)
显示所有防火墙日志的计数
计算(计数)
此查询有助于查看收集的日志数量的趋势。
显示接收最多数据的前10个外部系统(美国以外)
其中(方向=出站和地理IP\u国家代码!=US)分组方式(目的地地址)计算(和:出站字节)排序(desc)限制(10)
使用“限制”设置要返回的结果数。
显示接收最多数据的前10个内部系统
(方向=入站)groupby (destination_address)计算(金额:incoming_bytes)排序(desc)限制(10)
显示访问特定目标的所有用户
(方向=“出站”和destination_address =“52.205.169.150”)groupby(用户)排序(desc)
显示国与国之间的联系状态是否定的
其中(connection_status和connection_status =“deny”和geoip_country_code!=“我们”)groupby(geoip_country_name)排序(desc)
显示被拒绝的出站流量
其中(direction=“OUTBOUND”和connection_status=“DENY”)计算(计数)
显示除443、80和53之外的所有已使用的出站端口
其中(连接状态和连接状态=“接受”和方向=“出站”和目标端口不在[443,80,53]中)groupby(目标端口)
显示顶级出境目的地
其中(方向=出站)groupby(destination_address)计算(sum:outgoing_bytes)排序(desc)
显示最热门入境目的地
其中(方向=入站)groupby(源地址)计算(和:入站字节)排序(描述)
演示允许列出的国家
其中(geoip_国家名称[捷克、俄罗斯,“香港”]和连接状态=接受和方向=入境)groupby(geoip_国家名称)
外部防火墙按子网拒绝
其中(connection_status = deny和source_address不在[IP(10.0.0.0/8),IP(169.254.0.0/16),IP(192.168.0.0/16),IP(172.16。0.0 / 16)])
视觉搜索防火墙
用户!=“未知”和连接状态=拒绝和源地址不在[IP(10.0.0.0/8)、IP(172.27.0.0/16)、IP(169.254.0.0/16)、IP(192.168.0.0/16)、IP(172.16.0.0/16)]
外部无效连接尝试
其中(connection_status =“deny”和geoip_country_name!=“美国”)groupby(geoip_country_name)计算(count)
按国家拒绝入站
其中(connection_status =拒绝和方向=入站和geoip_country_name!=“美国”)groupby(geoip_country_name)计算(count)
大数据传输 - 框
where(direction="OUTBOUND" AND outgoing_bytes>50000000 AND geoip_organization="Box.com")
Docker流量(RAW)的示例 - 以字节为单位收到
(stats.networks.eth0.rx_bytes ! = null)计算(平均:stats.networks.eth0.rx_bytes)
DNS查询
显示用户在.com、.net和.org域之外的浏览位置
其中(public_suffix和public_suffix不在[com,net,org])groupby(public_suffix)排序(desc)
用户访问俄罗斯的网站
(public_suffix =“俄罗斯”)groupby(查询)排序(desc)
显示图形显示用户访问网站最多的时间
在哪里(/ facebook和用户! =“未知”)计算(计算)
显示已访问Dropbox的所有用户
在哪里(/ dropbox和用户! =“未知”)groupby(用户)
显示所有访问过Facebook的用户
在哪里(/ facebook和用户! =“未知”)groupby(用户)
文件访问活动
显示某个用户访问的文件
其中(user=“Pete Coors”)groupby(文件名)
显示访问某个文件的用户
其中(file_name =“audit.csv”)groupby(用户)
显示已知用户访问Seacebrowing
此查询将结果限制为20个用户。
(查询= " safebrowsing.google.com "和用户! =“未知”)groupby(用户)限制(20)
这个页面对你有帮助吗?