Reporting : Règles simples liées à une base de données Warehouse

Document created by RSA Information Design and Development on Apr 24, 2018
Version 1Show Document
  • View in full screen mode

La rubrique explique la syntaxe et des exemples de requête des règles simples.

Les exemples suivants illustrent des règles simples en mode par défaut :

  • Rapport sur toutes les catégories d'événements
  • Rapport sur les catégories d'événements liés à des attaques
  • Source: Rapport sur les catégories d'événements en Chine
  • Rapport sur les catégories d'événements liés aux sources et destinations IP
  • Rapport sur les catégories de menaces par heure
  • Rapport sur les requêtes Array
  • Rapport sur les requêtes de consignation brute

Rapport sur toutes les catégories d'événements

Cette règle extrait du tableau sessions  toutes les catégories d'événements, le pays source et le pays de destination en définissant des noms d'alias (noms de colonnes temporaires) pour chacun des champs à extraire du tableau : country_src pour le pays source et country_dst pour le pays de destination.

Règle pour extraire toutes les catégories d’événements

La figure suivante affiche l'ensemble des résultats de la règle Toutes les catégories d'événements.

Ensemble de résultats de la règle de toutes les catégories d'événements

Rapport sur les catégories d'événements liés à des attaques

Cette règle extrait du tableau sessions les catégories d'événements, le pays source et le pays de destination en définissant des noms d'alias (noms de colonnes temporaires) pour chacun des champs à extraire du tableau et en sélectionnant uniquement les colonnes dont le nom de la catégorie d'événement contient « Attaques.% ».  

Règle sur les catégories d'événements liés à des attaques

La figure suivante montre l'ensemble des résultats de la règle Catégories d'événements liés à des attaques.

Ensemble de résultats de la règle sur les catégories d'événements liés à des attaques

Source : Rapport sur les catégories d'événements en Chine

Cette règle extrait du tableau sessions les catégories d'événements, le pays source et le pays de destination en définissant des noms d'alias (noms de colonnes temporaires) pour chacun des champs à extraire du tableau et en sélectionnant uniquement les colonnes dont le pays source est « Chine ». 

Règle Catégories d'événements en Chine

La figure ci-dessous montre l'ensemble des résultats de la source : Règle Catégories d'événements en Chine.

Ensemble de résultats de la règle sur les catégories d’événements en Chine

Rapport sur les catégories d'événements liés aux sources et destinations IP

Cette règle extrait du tableau sessions l'adresse IP des pays source et de destination en définissant des noms d'alias (noms de colonnes temporaires) pour chacun des champs à extraire du tableau et en sélectionnant uniquement les colonnes dont le pays de destination n'est PAS NUL. 

Règle sur les catégories d'événements liés aux sources et destinations IP

La figure suivante montre l'ensemble des résultats de la règle Catégories d'événements liés aux sources et destinations IP.

Ensemble de résultats des catégories d'événements liés aux sources et destinations IP

Rapport sur les catégories de menaces par heure

Cette règle extrait du tableau sessions les événements de la catégorie Menaces, l'heure à laquelle le log ou l'événement a été intégré à Log Decoder/Decoder, et les adresses IP source en définissant des noms d'alias (noms de colonnes temporaires) pour chacun des champs à extraire du tableau. 

Règle pour extraire les événements de catégorie de menaces

La figure suivante montre l'ensemble de résultats de la règle Catégories de menaces par heure. L'heure affichée dans le champ heure est le temps UNIX (par exemple, 1388743446). 

Remarque : Dans la clause « Select », la syntaxe serait « UNIX time » pour une conversion au format d'heure UTC dans le rapport. Par exemple, vous pouvez utiliser l'outil de conversion d'heure Epoch pour convertir l'heure au format UNIX (1388743446) en UTC (Coordinated Universal Time) (1/3/2014 3:34:06 PM). 

Ensemble de résultats des événements de la catégorie de menaces

Rapport sur les requêtes Array

Cette règle récupère un tableau d'alias de noms d'hôtes du tableau Sessions qui contient la valeur « www.google.com ». 

Règle pour interroger le tableau Sessions

La figure suivante montre l'ensemble des résultats suite à l'interrogation du tableau Sessions.

Ensemble de résultats suite à l'interrogation du tableau Sessions

Rapport sur les requêtes de consignation brute

Les logs bruts peuvent être interrogés à partir du tableau des logs ou de sessions.

Cette règle utilise raw_log en tant que méta pour l'interrogation d'un log brut issu du tableau Logs dont l'ID de paquet n'est PAS NUL.

Règle pour l’interrogation de logs bruts

La figure suivante montre l'ensemble des résultats suite à l'interrogation des logs bruts issus du tableau Logs.

Ensemble de résultats suite à l’interrogation de logs bruts

Cette règle utilise ${raw_log} en tant que méta pour l'interrogation d'un log brut issu des sessions dont l'adresse IP source n'est PAS NULLE.

Interrogation de log brut issu de sessions dont l’adresse IP source n’est pas NULL

La figure suivante montre l'ensemble des résultats suite à l'interrogation des logs bruts issus du tableau Sessions.

Ensemble de résultats suite à l'interrogation des logs bruts issus du tableau Sessions

Previous Topic:Syntaxe de la règle
You are here
Table of Contents > Annexe > Règles simples liées à une base de données Warehouse

Attachments

    Outcomes