レポート:Warehouse DBのシンプルなルール

Document created by RSA Information Design and Development on Feb 17, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、Warehouseデータ ソースのルールの例を示します。Warehouse DBルールの定義には、HIVEクエリーを使用します。次のモードを使用して、Warehouseデータ ソースのルールをシンプルなものから高度なものまで定義できます。

  • デフォルト モード 
  • エキスパート モード

デフォルト モードでは、SELECT、WHERE、GROUP BY、HAVINGなどの句を使用してデータ ソースを検索し、シンプルなルールを定義します。デフォルトでは、セッションやrawログに対してクエリーを実行するルールを作成できます。

以下の例では、デフォルト モードでのシンプルなルールについて説明します。

  • All Event Categoriesレポート
  • Attacks Event Categoriesレポート
  • ソース: China Event Categoriesレポート
  • IP Source and Destination Event Categoriesレポート
  • by Time Threat Categoriesレポート
  • Array Queryレポート
  • Raw Log Queryレポート

All Event Categoriesレポート

このルールは、[sessions]テーブルから取得するフィールドそれぞれにエイリアス名(一時的な列名)を定義して、イベント カテゴリー、ソースの国名、宛先の国名を取得するものです。エイリアス名はそれぞれ、ソースの国名がcountry_src、宛先の国名がcountry_dstとなっています。

103-SP3_All_ event categories.png

次の図は、All Event Categoriesルールの結果セットを示しています。

103-SP3_All_ event categories_output.JPG

Attacks Event Categoriesレポート

このルールは、[sessions]テーブルから取得するフィールドそれぞれにエイリアス名(一時的な列名)を定義したうえで、カテゴリ名が「Attacks.%」のようになっている列のみを選択してイベント カテゴリ、ソースの国名、宛先の国名を取得するものです。  

103-SP3_Attacks_ event categories.png

次の図は、Attacks Event Categoriesルールの結果セットを示しています。

103-SP3_Attacks_ event categories_output.JPG

ソース:China Event Categoriesレポート

このルールは、[sessions]テーブルから取得するフィールドそれぞれにエイリアス名(一時的な列名)を定義したうえで、ソースの国名が「China」の列のみを選択してイベント カテゴリ、ソースの国名、宛先の国名を取得するものです。 

103-SP3_Source_China_Event_Categories.png

次の図に、ソースの結果セットを示します。China Event Categoriesルール

104_Source_China_Event_Categories_output.png

IP Source and Destination Event Categoriesレポート

このルールは、[sessions]テーブルから取得するフィールドそれぞれにエイリアス名(一時的な列名)を定義したうえで、宛先の国名がNULLでない列のみを選択し、ソースの国名および宛先の国名のIPアドレスを取得するものです。 

103-SP3_Destination Country by Source IP.JPG

次の図は、IP Source and Destination Event Categoriesルールの結果セットを示しています。

103-SP3_Destination Country by Source IP_output.JPG

by Time Threat Categoriesレポート

このルールは、[sessions]テーブルから取得するフィールドそれぞれにエイリアス名(一時的な列名)を定義して、脅威カテゴリに該当するイベント、そのログまたはイベントがLog DecoderまたはDecoderに取り込まれた時刻、ソースのIPアドレスを取得するものです。 

103-SP3_by Time_Threat Categories.png

次の図は、by Time Threat Categoriesルールの結果セットを示しています。[時刻]フィールドに表示されている時間はUNIX時間です(たとえば、1388743446)。 

注:レポートでUTC時間に変換する場合には、SELECT句で構文を「UNIX時間」にします。たとえば、時刻コンバーターEpochを使用して、UNIX時間(1388743446)をUTC(協定世界時:2014/01/03 3:34:06 PM)に変換できます。 

103-SP3_by Time_Threat Categories_output.JPG

Array Queryレポート

このルールは、[sessions]テーブルから「www.google.com」という値が含まれるエイリアス ホスト名の配列を取得するものです。 

103-SP3_Array_Contains_Query.JPG

次の図は、セッションから配列を検索した結果のセットを示しています。

103-SP3_Array_Contains_output.JPG

Raw Log Queryレポート

rawログは、[logs]または[sessions]テーブルのいずれかから検索できます。

このルールでは、logsからraw_logメタを使用して、packet IDがNULLでないrawログを検索します。

103-SP3_Raw_Query.png

次の図は、ログからrawログを検索した結果のセットを示しています。

104_raw__log_from_logs_output.png

このルールでは、sessionsから${raw_log}メタを使用して、ソースのIPアドレスがNULLでないrawログを検索します。

103-SP3_Raw_Logs_from_Sessions.png

次の図は、sessionsからrawログを検索した結果のセットを示しています。

104_raw_ log from sessions_output.png

You are here
Table of Contents > Reportsモジュールの参考資料 > ルールに関する参考情報 > zzWhDBRulDefMod > Warehouse DBのシンプルなルール

Attachments

    Outcomes