Informes: Reglas simples de la base de datos de Warehouse

Document created by RSA Information Design and Development on May 1, 2018
Version 1Show Document
  • View in full screen mode

En esta sección se explica la sintaxis de la consulta de reglas simples y se proporcionan ejemplos.

Los siguientes ejemplos ilustran reglas simples en el modo predeterminado:

  • Informe Todas las categorías de eventos
  • Informe Categorías de eventos de ataques
  • Fuente: Informe Categorías de eventos de China
  • Informe Categorías de eventos de direcciones IP de origen y destino
  • Informe Categorías de amenazas por tiempo
  • Informe Consulta de arreglo
  • Informe Consulta de registro crudo

Informe Todas las categorías de eventos

Esta regla recupera todas las categorías de eventos, país de origen y país de destino desde la tabla sesiones con la definición de los nombres de alias (nombres de columna temporales) para cada uno de los campos que se recuperarán desde la tabla, es decir, country_src para el país de origen y country_dst para el país de destino.

Regla para buscar todas las categorías de evento

En la siguiente figura se muestra el conjunto de resultados de la regla Todas las categorías de eventos.

Conjunto de resultados de la regla Todas las categorías de evento

Informe Categorías de eventos de ataques

Esta regla recupera las categorías de eventos, el país de origen y el país de destino desde la tabla sesiones con la definición de los nombres de alias (nombres de columna temporales) para cada uno de los campos que se recuperarán desde la tabla y la selección solo de las columnas cuyo nombre de categoría de evento sea como “Attacks.%”.  

Regla Categorías de eventos de ataques

En la siguiente figura se muestra el conjunto de resultados de la regla Categorías de eventos de ataques.

Conjunto de resultados de la regla Categorías de eventos de ataques

Fuente: Informe Categorías de eventos de China

Esta regla recupera las categorías de eventos, el país de origen y el país de destino desde la tabla sesiones con la definición de los nombres de alias (nombres de columna temporales) para cada uno de los campos que se recuperarán desde la tabla y la selección solo de las columnas cuyo país de origen sea “China”. 

Categorías de eventos de China

En la siguiente figura se muestra el conjunto de resultados de la regla Origen: Categorías de eventos de China.

Conjunto de resultados de la regla Categorías de eventos de China

Informe Categorías de eventos de direcciones IP de origen y destino

Esta regla recupera la dirección IP del país de origen y de destino desde la tabla sesiones con la definición de los nombres de alias (nombres de columna temporales) para cada uno de los campos que se recuperarán desde la tabla y la selección solo de las columnas cuyo país de destino sea NO NULO. 

Regla Categorías de eventos de direcciones IP de origen y destino

En la siguiente figura se muestra el conjunto de resultados de la regla Categorías de eventos de direcciones IP de origen y destino.

Conjunto de resultados de Categorías de eventos de direcciones IP de origen y destino

Informe Categorías de amenazas por tiempo

Esta regla recupera los eventos de la categoría de amenaza, la hora en que se recopiló el registro o el evento en Log Decoder/Decoder y las direcciones IP de origen desde la tabla sesiones con la definición de los nombres de alias (nombres de columna temporales) para cada uno de estos campos que se recuperarán desde la tabla. 

Regla para buscar eventos de la categoría de amenaza

En la siguiente figura se muestra el conjunto de resultados de la regla Categorías de amenazas por tiempo. El tiempo que aparece en el campo de tiempo es el tiempo UNIX (por ejemplo, 1388743446). 

Nota: En la cláusula “Select” la sintaxis sería “UNIX time” para una conversión a la hora UTC en el informe. Por ejemplo, puede usar la herramienta de conversión de hora Epoch para convertir la hora UNIX (1388743446) en UTC (hora universal coordinada) (03/01/2014 15:34:06 h). 

Conjunto de resultados de eventos de la categoría de amenaza

Informe Consulta de arreglo

Esta regla busca un arreglo de nombres de host de alias en la tabla sesiones, que contiene el valor “www.google.com”. 

Regla para consultar un arreglo de sesiones

En la siguiente figura se muestra el conjunto de resultados para consultar un arreglo desde las sesiones.

Conjunto de resultados para consultar un arreglo de sesiones

Informe Consulta de registro crudo

Se pueden consultar los registros crudos desde la tabla de registro o de sesiones.

Esta regla usa raw_log como metadatos para consultar el registro crudo desde registros cuyo ID de paquete NO SEA NULO.

Regla de consulta de registro crudo

En la siguiente figura se muestra el conjunto de resultados para consultar registros crudos desde registros.

Conjunto de resultados para consultar registros crudos

Esta regla usa ${raw_log} como metadatos para consultar un registro crudo desde sesiones cuya dirección IP de origen NO SEA NULA.

Consultar un registro crudo desde sesiones cuya dirección IP de origen NO SEA NULA

En la siguiente figura se muestra el conjunto de resultados para consultar registros crudos desde sesiones.

Conjunto de resultados para consultar registros crudos de sesiones

Previous Topic:Sintaxis de la regla
You are here
Table of Contents > Apéndice > Reglas simples de la base de datos de Warehouse

Attachments

    Outcomes