示例查询

使用本文档查看在InsightIDR的日志搜索中使用的示例查询。

示例日志搜索查询

高级模式使用

您可以使用这些示例查询来为自己的日志制作所需的内容。在高级模式下使用它们。

浏览以下类别中的一个符合您需求的示例查询:

有关流程启动活动的其他示例查询,请查看进程启动查询.

Active Directory管理活动

查找完成“管理操作”的所有用户

  • groupby (source_user)

显示所有“管理动作”

  • groupby(行动)

查找特定用户的所有活动

  • 其中(source_user =“Arnold Holt”)
  • 在哪里(source_user =“蒂娜·冈萨雷斯(管理)”)

对于不区分大小写的搜索,请使用查看NOCASE

  • (source_user =查看NOCASE(阿诺德·霍尔特))
  • (source_user =查看NOCASE(蒂娜·冈萨雷斯(管理)))
  • 其中(source_user=NOCASE(“tina gonzales(admin)”)groupby(action)

查找用户名中带有“admin”的所有用户

这些函数返回不区分大小写的结果。

  • 在哪里(source_user ICONTAINS admin) groupby (source_user)
  • 其中(source_user icontains admin)groupby(action)

查找用户由名称为“admin”的人添加到的所有组

  • where(source_user iconcontains admin AND action=MEMBER_ADDED_TO_SECURITY_GROUP)

显示添加到特定组的所有用户

  • 其中(action=“MEMBER\u ADDED\u TO\u SECURITY\u GROUP”和GROUP=“vpn users”)groupby(target\u user)

显示将用户添加到组的帐户

  • 其中(action =“member_added_to_security_group”)groupby(source_user)

显示对某个组所做的组更改

  • where(action IN [member_addded_to_security_group, MEMBER_REMOVED_FROM_SECURITY_GROUP] AND group CONTAINS -job-admins) / /删除组

代替/*-工作管理员/使用适当的组名

主机创建的管理员帐户

  • 其中(/:\ d {2}(?p \ w +)./和/ 4732事件/或/ \ s636事件/)groupby(host)

主机锁定的帐户

  • 其中(/:\ d {2}(?p \ w +)./和/ 4740事件/或/ \ s644事件/)groupby(host)

主机已清除审核日志

  • (/: \ d {2} (? P <主机> \ w +)。/ AND /1102 EVENT/ OR / s517 EVENT/) groupby(host)

审核策略已更改

  • 其中(/ 4719事件/或/ \ s612事件/)

资产认证

显示所有身份验证类型

  • groupby(登录类型)

显示所有身份验证结果

  • groupby(结果)

显示所有失败的身份验证活动

  • where(result != SUCCESS) groupby(destination_user) calculate(count)

但是,请注意,如果值中有空格成功,你可以用“成功“在查询中。

显示所有失败的身份验证活动

  • groupby(result)

按IP登录失败(ReGex)

  • 式中(/(?P\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})/)分组比(ip)计算(计数)

登录失败-非Kerberos

  • where(service NOT IN [krbtgt, kerberos] AND result=FAILED_BAD_PASSWORD)

非kerberos登录Dest资产

  • 其中(服务不在[krbtgt,kerberos]和result=“FAILED\u BAD\u PASSWORD”)groupby(“destination\u asset”)

登录无效

  • where(/4625 EVENT/ OR / s529 EVENT/)

主机登录无效

  • 其中(/:\d{2}(?P\w+)./AND/4625事件/或/\s529事件/)groupby(主机)

资产身份验证,Active Directory域活动,文件访问活动

这些查询仅适用于Microsoft日志。

显示收集事件的所有Microsoft Event id

  • (/ eventCode \ \”:(? P < EVID > \ d {4}) /) groupby (EVID)
  • 其中(/ evencode \\“:\\”(?p \ d {4})/)groupby(evid)

显示所有收集到日志的主机

  • (/ computerName \ \ ": \ \ " (? P <主机名> (\ w \ d \] *) /) groupby(主机名)

进入认证

显示用户从某个国家/地区登录的所有事件

  • (geoip_country_name =“美国”)计算(计算)
  • (geoip_country_name =“美国”)groupby(用户)计算(计算)

显示从特定城市访问网络的用户

  • 其中(geoip_city=“San Jose”)分组人(用户)

显示从城市列表访问网络的用户

  • 达拉斯(geoip_city = /普罗维登斯|弗雷明汉| |明尼阿波利斯|阿普尔顿凤凰| | |奥马哈墨尔本|图|利兹新加坡苏黎世| | |多伦多/我)groupby (geoip_city)

显示来自某个国家的入口

  • 其中(geoip_country_name =“俄国”)

显示从特定服务访问网络的用户

  • (服务=“盒子”)groupby(用户)排序(desc)
  • 其中(服务=“O365”)GroupBy(用户)排序(DESC)

显示用户从美国以外的国家访问网络

  • 在哪里(geoip_country_code ! =“我们”)groupby (geoip_country_name)排序(desc)

显示在列出的那些以外的身份验证成功的国家

  • 在哪里(geoip_country_name geoip_country_name !=/美国|加拿大|墨西哥/i AND result=SUCCESS)groupby(geoip_country_name)limit(100)

防火墙的活动

显示用户从中下载数据的国家/地区

  • 其中(传入字节>0,地理IP国家代码不在[US,IE,GB,DE,JP,CA,AU])groupby(地理IP国家代码)

排除国家清单应根据需要进行修改。

显示美国以外的国家的所有防火墙流量

  • 哪里(GeoIP_Country_Name!=“美国”)GroupBy(GeoIP_Country_Name)

显示所有防火墙日志的计数

  • 计算(计数)此查询有助于查看收集的日志数量的趋势。

显示接收最多数据的前10个外部系统(美国以外)

  • 其中(方向=出站和地理IP\u国家代码!=US)分组方式(目的地地址)计算(和:出站字节)排序(desc)限制(10)

使用“限制”设置要返回的结果数。

显示接收最多数据的前10个内部系统

  • (方向=入站)groupby (destination_address)计算(金额:incoming_bytes)排序(desc)限制(10)

显示访问特定目标的所有用户

  • (方向=“出站”和destination_address =“52.205.169.150”)groupby(用户)排序(desc)

显示国与国之间的联系状态是否定的

  • 其中(connection_status和connection_status =“deny”和geoip_country_code!=“我们”)groupby(geoip_country_name)排序(desc)

显示被拒绝的出站流量

  • 其中(direction=“OUTBOUND”和connection_status=“DENY”)计算(计数)

显示除443、80和53之外的所有已使用的出站端口

  • 其中(连接状态和连接状态=“接受”和方向=“出站”和目标端口不在[443,80,53]中)groupby(目标端口)

显示顶级出境目的地

  • 其中(方向=出站)groupby(destination_address)计算(sum:outgoing_bytes)排序(desc)

显示最热门入境目的地

  • 其中(方向=入站)groupby(源地址)计算(和:入站字节)排序(描述)

演示允许列出的国家

  • 其中(geoip_国家名称[捷克、俄罗斯,“香港”]和连接状态=接受和方向=入境)groupby(geoip_国家名称)

外部防火墙按子网拒绝

  • 其中(connection_status = deny和source_address不在[IP(10.0.0.0/8),IP(169.254.0.0/16),IP(192.168.0.0/16),IP(172.16。0.0 / 16)])

视觉搜索防火墙

  • 用户!=“未知”和连接状态=拒绝和源地址不在[IP(10.0.0.0/8)、IP(172.27.0.0/16)、IP(169.254.0.0/16)、IP(192.168.0.0/16)、IP(172.16.0.0/16)]

外部无效连接尝试

  • 其中(connection_status =“deny”和geoip_country_name!=“美国”)groupby(geoip_country_name)计算(count)

按国家拒绝入站

  • 其中(connection_status =拒绝和方向=入站和geoip_country_name!=“美国”)groupby(geoip_country_name)计算(count)

大数据传输 - 框

  • where(direction="OUTBOUND" AND outgoing_bytes>50000000 AND geoip_organization="Box.com")

Docker流量(RAW)的示例 - 以字节为单位收到

  • (stats.networks.eth0.rx_bytes ! = null)计算(平均:stats.networks.eth0.rx_bytes)

DNS查询

显示用户在.com、.net和.org域之外的浏览位置

  • 其中(public_suffix和public_suffix不在[com,net,org])groupby(public_suffix)排序(desc)

用户访问俄罗斯的网站

  • (public_suffix =“俄罗斯”)groupby(查询)排序(desc)

显示图形显示用户访问网站最多的时间

  • 在哪里(/ facebook和用户! =“未知”)计算(计算)

显示已访问Dropbox的所有用户

  • 在哪里(/ dropbox和用户! =“未知”)groupby(用户)

显示所有访问过Facebook的用户

  • 在哪里(/ facebook和用户! =“未知”)groupby(用户)

文件访问活动

显示某个用户访问的文件

  • 其中(user=“Pete Coors”)groupby(文件名)

显示访问某个文件的用户

  • 其中(file_name =“audit.csv”)groupby(用户)

显示已知用户访问Seacebrowing

此查询将结果限制为20个用户。

  • (查询= " safebrowsing.google.com "和用户! =“未知”)groupby(用户)限制(20)