Investigation:カスタム クエリーの作成

Document created by RSA Information Design and Development on Feb 16, 2017Last modified by RSA Information Design and Development on Feb 16, 2017
Version 2Show Document
  • View in full screen mode
  

[Investigation]>[ナビゲート]ビューの[オプション]パネルでは、メタ キーや値をクリックする代わりにクエリーを作成して、メタ データをドリル ダウンします。クエリー作成のためのダイアログには、使用可能なメタ キーや演算子がドロップダウン リストで表示される構文ヘルプが用意されています。このドロップダウン リストを表示したときに、各メタ グループを展開したり折りたたんだりしてグループ内の個々のメタ キーを表示または非表示にできます。

メタ グループを選択すると、そのグループ内のすべてのメタ キーをOR条件で連結する複雑なクエリーがSecurity Analyticsによって生成されます。したがって、メタ グループにip.srcip.dstが含まれる場合、生成されるクエリーは「ip.src = <value> OR ip.dst = <value>」になります。異なる値タイプのメタ キーがメタ グループに含まれる場合、条件の値の入力は無効化され、existsステートメントを使用したクエリーが生成されます。たとえば、ip.srcip.dstalias.hostを含むメタ グループは、異なる値タイプのメタ キーを含んでいます。ip.srcip.dstはIPアドレスで、alias.hostはテキストです。この場合、生成されるクエリーはip.src exists OR ip.dst exists OR alias.host existsです。

基本的なクエリーの形式は以下のようになります。

<metakey> <operator> [<metavalue>]

以下に、例をいくつか示します。

action exists
action = 'get'
alias.host = '10.25.55.115'
extension = 'exe'
orig_ip != "10.0.0.0" - "10.255.255.255"

基本的な方法を使用したクエリーの作成

基本的な方法でクエリーを作成する場合は、Security Analyticsが提供するメタおよび演算子のドロップダウン リストを使用できます。

  1. ナビゲート]ビューのツールバーで、[クエリー]を選択します。
    [クエリー]ダイアログが表示され、デフォルトで[シンプル]オプションが選択されています。
    QueryDDSimple.png
  2. メタの選択]フィールドをクリックして、ドロップダウン リストを表示します。ドロップダウン リストには、[メタ グループ]と[すべてのメタ]の2つのセクションがあります。
  3. すべてのメタ]で単一のメタ キーを選択するか、[メタ グループ]でメタ グループを選択します。メタ キーまたはメタ グループをこのフィールドに直接入力することもできます。
  4. 演算子]フィールドで、演算子を直接入力するか、ドロップダウン リストをクリックして有効な演算子を選択します。
  5. (オプション)値が必要な演算子(beginsなど)を選択した場合は、3つ目のフィールドにメタ キーの値を入力します。
  6. [ネットワーク]および[ログ]のチェックボックスで、クエリーの対象となるデータのタイプを選択します。次のいずれかを実行します。
    1. クエリーの対象をパケットに限定する場合は、[ネットワーク]をオンにし、[ログ]をオフにします。クエリーには、「medium = 1」が追加されます。
    2. クエリーの対象をログに限定する場合は、[ログ]をオンにし、[ネットワーク]をオフにします。クエリーには、「medium = 32」が追加されます。
    3. クエリーをパケットとログの両方に適用する場合は、[ネットワーク]と[ログ]の両方をオンにします。
  7. 次のいずれかを実行します。
    1. OKをクリックします。
      ウィンドウが閉じ、新しいクエリーの結果がビューに表示されます。 階層リンクにクエリーが表示されます。
    2. キャンセル]をクリックします。
      ウィンドウが閉じ、ビューや現在のクエリーは何も変化しません。

高度な方法を使用したクエリーの作成

  1. ナビゲート ビュー]のツールバーで、[クエリー]を選択します。
    [クエリー]ダイアログが表示されます。
    QueryDDSimple.png
  2. 詳細]を選択します。
    詳細なクエリーのフィールドが表示されます。
    QueryDDAdv.png
  3. このフィールドに、クエリーを記述します。クエリーには、メタ キー、演算子、値を含めることができます。このフィールドにメタ キーを入力し始めると、選択したサービスに対して使用可能なメタ キーのドロップダウン リストが表示されます。
  4. クエリーのメタ キーを選択します。
    表示が更新されます。式がまだ完了していない場合、ステータスは、クエリーが無効であることを示します。
  5. 演算子もドロップダウン リストが表示され、必要に応じて値も表示されます。クエリー入力の進行に伴って表示が更新されます。exists!existsなど、値フィールドを使用しない演算子を入力すると値フィールドが無効化され、無効のステータスがクリアされます。=など、値フィールドを必要とする演算子を入力すると、値を入力するまでは無効のステータスのままになります。クエリーが有効になると、無効のステータスは表示されなくなります。
    InvalidQuery.png
  6. 次のいずれかを実行します。
    1. OKをクリックします。
      ウィンドウが閉じ、新しいクエリーの結果がビューに表示されます。 階層リンクにクエリーが表示されます。
    2. キャンセル]をクリックします。
      ウィンドウが閉じ、ビューや現在のクエリーは何も変化しません。

最近実行したクエリーの適用

最近実行したクエリーを表示し、いずれかを選択して現在調査中のサービスに適用できます。最近実行したクエリーを選択するには、次の手順を実行します。

  1. ナビゲート ビュー]のツールバーで、[クエリー]を選択します。
    [クエリー]ダイアログが表示され、デフォルトで[シンプル]オプションが選択されています。
    QueryDDSimple.png
  2. 最近実行したクエリー]オプションを選択します。
    ダイアログに、最近実行したクエリーのリストが表示されます。
    QryDDRecent.png
  3. 最近実行したクエリーのリストから、クエリーをクリックして選択します。
  4. 次のいずれかを実行します。
    1. クエリーをダブル クリックします。
    2. クエリーを選択し、[OK]をクリックします。
      ウィンドウが閉じ、新しいクエリーの結果がビューに表示されます。 階層リンクにクエリーが表示されます。
    3. キャンセル]をクリックします。
      ウィンドウが閉じ、ビューや現在のクエリーは何も変化しません。
You are here
Table of Contents > 調査の実施 > [ナビゲート]ビューでのデータ クエリー > カスタム クエリーの作成

Attachments

    Outcomes