レポート:Warehouse DBのシンプルなルール

Document created by RSA Information Design and Development on Apr 20, 2018
Version 1Show Document
  • View in full screen mode

このセクションでは、シンプルなルールのクエリ構文を例を挙げて説明します。

以下の例では、デフォルト モードでのシンプルなルールについて説明します。

  • All Event Categoriesレポート
  • Attacks Event Categoriesレポート
  • ソース:China Event Categoriesレポート
  • IP Source and Destination Event Categoriesレポート
  • by Time Threat Categoriesレポート
  • Array Queryレポート
  • Raw Log Queryレポート

All Event Categoriesレポート

このルールは、[セッション]テーブルから取得するフィールドそれぞれにエイリアス名(一時的な列名)を定義して、イベント カテゴリ、ソースの国名、宛先の国名を取得するものです。エイリアス名はそれぞれ、ソースの国名がcountry_src、宛先の国名がcountry_dstとなっています。

すべてのイベント カテゴリをフェッチするルール

次の図は、All Event Categoriesルールの結果セットを示しています。

All Event Categoriesルールの結果セット

Attacks Event Categoriesレポート

このルールは、[セッション]テーブルから取得するフィールドそれぞれにエイリアス名(一時的な列名)を定義したうえで、カテゴリ名が「Attacks.%」のようになっている列のみを選択してイベント カテゴリ、ソースの国名、宛先の国名を取得するものです。  

Attacks Event Categoriesルール

次の図は、Attacks Event Categoriesルールの結果セットを示しています。

Attacks Event Categoriesルールの結果セット

ソース:China Event Categoriesレポート

このルールは、[セッション]テーブルから取得するフィールドそれぞれにエイリアス名(一時的な列名)を定義したうえで、ソースの国名が「China」の列のみを選択してイベント カテゴリ、ソースの国名、宛先の国名を取得するものです。 

China Event Categoriesルール

次の図に、ソースの結果セットを示します。China Event Categoriesルール

China Event Categoriesルールの結果セット

IP Source and Destination Event Categoriesレポート

このルールは、[セッション]テーブルから取得するフィールドそれぞれにエイリアス名(一時的な列名)を定義したうえで、宛先の国名がNULLでない列のみを選択し、ソースの国名および宛先の国名のIPアドレスを取得するものです。 

IP Source and Destination Event Categoriesルール

次の図は、IP Source and Destination Event Categoriesルールの結果セットを示しています。

IP Source and Destination Event Categoriesの結果セット

by Time Threat Categoriesレポート

このルールは、[セッション]テーブルから取得するフィールドそれぞれにエイリアス名(一時的な列名)を定義して、脅威カテゴリに該当するイベント、そのログまたはイベントがLog DecoderまたはDecoderに取り込まれた時刻、ソースのIPアドレスを取得するものです。 

脅威カテゴリ イベントを取得するルール

次の図は、by Time Threat Categoriesルールの結果セットを示しています。[時刻]フィールドに表示されている時間はUNIX時間です(たとえば、1388743446)。 

注:レポートでUTC時間に変換する場合には、SELECT句で構文を「UNIX時間」にします。たとえば、時刻コンバーターEpochを使用して、UNIX時間(1388743446)をUTC(協定世界時:2014/01/03 3:34:06 PM)に変換できます。 

脅威カテゴリ イベントの結果セット

Array Queryレポート

このルールは、[セッション]テーブルから「www.google.com」という値が含まれるエイリアス ホスト名の配列を取得するものです。 

セッションから配列を検索するルール

次の図は、セッションから配列を検索した結果のセットを示しています。

セッションから配列を検索した結果セット

Raw Log Queryレポート

rawログは、[ログ]または[セッション]テーブルのいずれかから検索できます。

このルールでは、logsからraw_logメタを使用して、packet IDがNULLでないrawログを検索します。

rawログを検索するルール

次の図は、ログからrawログを検索した結果のセットを示しています。

rawログを検索した結果セット

このルールでは、セッションから${raw_log}メタを使用して、ソースのIPアドレスがNULLでないrawログを検索します。

ソースのIPアドレスがNULLでないセッションからのrawログの検索

次の図は、セッションからrawログを検索した結果のセットを示しています。

セッションからrawログを検索した結果セット

Previous Topic:ルール構文
You are here
Table of Contents > 付録 > Warehouse DBのシンプルなルール

Attachments

    Outcomes