Reporting : Règles simples liées à une base de données Warehouse

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique fournit des exemples de règles de sources Warehouse Data. Vous pouvez définir des règles liées à une base de données Warehouse à l'aide des requêtes HIVE. Vous pouvez définir des règles simples et avancées pour la source Warehouse Data à l'aide des modes suivants :

  • Mode par défaut 
  • Mode Expert

En mode par défaut, les règles simples sont définies à l'aide de clauses telles que Select, Where, Group by et Having pour interroger la source de données. Par défaut, vous pouvez créer des règles pour les sessions de requête ou les logs bruts.

Les exemples suivants illustrent des règles simples en mode par défaut :

  • Rapport sur toutes les catégories d'événements
  • Rapport sur les catégories d'événements liés à des attaques
  • Source: Rapport sur les catégories d'événements en Chine
  • Rapport sur les catégories d'événements liés aux sources et destinations IP
  • Rapport sur les catégories de menaces par heure
  • Rapport sur les requêtes Array
  • Rapport sur les requêtes de consignation brute

Rapport sur toutes les catégories d'événements

Cette règle extrait du tableau sessions  toutes les catégories d'événements, le pays source et le pays de destination en définissant des noms d'alias (noms de colonnes temporaires) pour chacun des champs à extraire du tableau : country_src pour le pays source et country_dst pour le pays de destination.

103-SP3_All_ event categories.png

La figure suivante affiche l'ensemble des résultats de la règle Toutes les catégories d'événements.

103-SP3_All_ event categories_output.JPG

Rapport sur les catégories d'événements liés à des attaques

Cette règle extrait du tableau sessions les catégories d'événements, le pays source et le pays de destination en définissant des noms d'alias (noms de colonnes temporaires) pour chacun des champs à extraire du tableau et en sélectionnant uniquement les colonnes dont le nom de la catégorie d'événement contient « Attaques.% ».  

103-SP3_Attacks_ event categories.png

La figure suivante montre l'ensemble des résultats de la règle Catégories d'événements liés à des attaques.

103-SP3_Attacks_ event categories_output.JPG

Source: Rapport sur les catégories d'événements en Chine

Cette règle extrait du tableau sessions les catégories d'événements, le pays source et le pays de destination en définissant des noms d'alias (noms de colonnes temporaires) pour chacun des champs à extraire du tableau et en sélectionnant uniquement les colonnes dont le pays source est « Chine ». 

103-SP3_Source_China_Event_Categories.png

La figure ci-dessous montre l'ensemble des résultats de la source : Règle Catégories d'événements en Chine.

104_Source_China_Event_Categories_output.png

Rapport sur les catégories d'événements liés aux sources et destinations IP

Cette règle extrait du tableau sessions l'adresse IP des pays source et de destination en définissant des noms d'alias (noms de colonnes temporaires) pour chacun des champs à extraire du tableau et en sélectionnant uniquement les colonnes dont le pays de destination n'est PAS NUL. 

103-SP3_Destination Country by Source IP.JPG

La figure suivante montre l'ensemble des résultats de la règle Catégories d'événements liés aux sources et destinations IP.

103-SP3_Destination Country by Source IP_output.JPG

Rapport sur les catégories de menaces par heure

Cette règle extrait du tableau sessions les événements de la catégorie Menaces, l'heure à laquelle le log ou l'événement a été intégré à Log Decoder/Decoder, et les adresses IP source en définissant des noms d'alias (noms de colonnes temporaires) pour chacun des champs à extraire du tableau. 

103-SP3_by Time_Threat Categories.png

La figure suivante montre l'ensemble de résultats de la règle Catégories de menaces par heure. L'heure affichée dans le champ heure est le temps UNIX (par exemple, 1388743446). 

Remarque : Dans la clause « Select », la syntaxe serait « UNIX time » pour une conversion au format d'heure UTC dans le rapport. Par exemple, vous pouvez utiliser l'outil de conversion d'heure Epoch pour convertir l'heure au format UNIX (1388743446) en UTC (Coordinated Universal Time) (1/3/2014 3:34:06 PM). 

103-SP3_by Time_Threat Categories_output.JPG

Rapport sur les requêtes Array

Cette règle récupère un tableau d'alias de noms d'hôtes du tableau sessions qui contient la valeur « www.google.com ». 

103-SP3_Array_Contains_Query.JPG

La figure suivante montre l'ensemble des résultats suite à l'interrogation du tableau Sessions.

103-SP3_Array_Contains_output.JPG

Rapport sur les requêtes de consignation brute

Les logs bruts peuvent être interrogés à partir du tableau des logs ou de sessions.

Cette règle utilise raw_log en tant que méta pour l'interrogation d'un log brut issu du tableau Logs dont l'ID de paquet n'est PAS NUL.

103-SP3_Raw_Query.png

La figure suivante montre l'ensemble des résultats suite à l'interrogation des logs bruts issus du tableau Logs.

104_raw__log_from_logs_output.png

Cette règle utilise ${raw_log} en tant que méta pour l'interrogation d'un log brut issu des sessions dont l'adresse IP source n'est PAS NULLE.

103-SP3_Raw_Logs_from_Sessions.png

La figure suivante montre l'ensemble des résultats suite à l'interrogation des logs bruts issus du tableau Sessions.

104_raw_ log from sessions_output.png

You are here
Table of Contents > Références du module Reporting > Références aux règles > zzWhDBRulDefMod > Règles simples liées à une base de données Warehouse

Attachments

    Outcomes