Reporting: Warehouse-DB – Einfache Regeln

Document created by RSA Information Design and Development on May 11, 2018
Version 1Show Document
  • View in full screen mode

Im Abschnitt werden die einfache Regelsyntax und Beispiele erläutert.

Die folgenden Beispiele illustrieren einfache Regeln im Standardmodus:

  • Bericht „Alle Ereigniskategorien“
  • Bericht „Angriff-Ereigniskategorien“
  • Quelle: Bericht „China-Ereigniskategorien“
  • Bericht „IP-Quelle- und Ziel-Ereigniskategorien“
  • Bericht „Bedrohungskategorien nach Zeit“
  • Bericht „Array-Site“
  • Bericht „Abfragen unverarbeiteter Protokolle“

Bericht „Alle Ereigniskategorien“

Diese Regel ruft alle Ereigniskategorien, das Quellland und das Zielland aus der Tabelle Sitzungen ab, indem Aliasnamen (temporäre Spaltennamen) für jedes der Felder definiert werden, die aus der Tabelle abgerufen werden sollen: country_src für das Quellland und country_dst für das Zielland.

Regel zum Abrufen aller Ereigniskategorien

In der folgenden Abbildung sehen Sie den Ergebnissatz für die Regel „Alle Ereigniskategorien“.

Ergebnissatz der Regel „Alle Ereigniskategorien“

Bericht „Angriff-Ereigniskategorien“

Diese Regel ruft alle Ereigniskategorien, das Quellland und das Zielland aus der Tabelle Sitzungen ab, indem Aliasnamen (temporäre Spaltennamen) für jedes der Felder definiert werden, die aus der Tabelle abgerufen werden sollen, und nur die Spalten ausgewählt werden, deren Ereigniskategorienamen „Attacks.%“ entsprechen.  

Regel „Angriff-Ereigniskategorien“

In der folgenden Abbildung sehen Sie den Ergebnissatz für die Regel „Angriff-Ereigniskategorien“.

Ergebnissatz der Regel „Angriff-Ereigniskategorien“

Quelle: Bericht „China-Ereigniskategorien“

Diese Regel ruft alle Ereigniskategorien, das Quellland und das Zielland aus der Tabelle Sitzungen ab, indem Aliasnamen (temporäre Spaltennamen) für jedes der Felder definiert werden, die aus der Tabelle abgerufen werden sollen, und nur die Spalten ausgewählt werden, deren Quellland „China“ ist. 

„Quelle: China-Ereigniskategorien“ dargestellt

In der folgenden Abbildung ist der Ergebnissatz für die Regel „Quelle: China-Ereigniskategorien“ dargestellt.

Ergebnissatz der Regel „China-Ereigniskategorien“

Bericht IP-Quelle- und Ziel-Ereigniskategorien

Diese Regel ruft die IP-Adresse des Quell- und Ziellandes aus der Tabelle Sitzungen ab, indem Aliasnamen (temporäre Spaltennamen) für jedes der Felder definiert werden, die aus der Tabelle abgerufen werden sollen, und nur die Spalten ausgewählt werden, deren Zielland NICHT NULL ist. 

Regel „P-Quelle- und Ziel-Ereigniskategorien“

In der folgenden Abbildung sehen Sie den Ergebnissatz für die Regel „IP-Quelle-und Ziel-Ereigniskategorien“.

Ergebnisatz der Regel „IP-Quelle- und Ziel-Ereigniskategorien“

Bericht Bedrohungskategorien nach Zeit

Diese Regel ruft die Ereignisse der Kategorie Bedrohung, die Uhrzeit, zu der das Protokoll oder das Ereignis in den Log Decoder/Decoder aufgenommen wurde, und die Quell-IP-Adressen aus der Tabelle Sitzungen ab, indem Aliasnamen (temporäre Spaltennamen) für jedes dieser Felder definiert werden, die aus der Tabelle abgerufen werden sollen. 

Regel zum Abrufen der Bedrohungskategorien

Die folgende Abbildung zeigt den Ergebnissatz für die Regel „Zeit-Bedrohungskategorien“. Die Zeit, die im Zeitfeld angezeigt wird, ist die UNIX-Zeit (z. B. 1388743446). 

Hinweis: In der Select-Klausel wäre die Syntax „UNIX time“; im Bericht wird dies in UTC-Zeit konvertiert. Sie können UNIX-Zeit (1388743446) z. B. mit dem Zeitkonvertierungstool Epoch in UTC-Zeit (Coordinated Universal Time) umwandeln (03.01.2014 15:34:06). 

Ergebnissatz der Ereignisse der Kategorie „Bedrohung“

Bericht Array-Site

Diese Regel ruft ein Array von Aliashostnamen aus der Tabelle Sitzungen ab, die den Wert „www.google.com“ enthalten. 

Regel, um ein Array von Sitzungen abzufragen

In der folgenden Abbildung sehen Sie den Ergebnissatz, der zurückgegeben wird, wenn ein Array aus Sitzungen abgefragt wird.

Ergebnissatz für die Abfrage eines Arrays von Sitzungen

Bericht Abfragen unverarbeiteter Protokolle

Unverarbeitete Protokolle können entweder aus der Tabelle „Protokolle“ oder „Sitzungen“ abgerufen werden.

Diese Regel verwendet raw_log als Metadaten für die Abfrage unverarbeiteter Protokolle aus Protokollen, deren Paket-ID NICHT NULL ist.

Regel für die Abfrage unverarbeiteter Protokolle

In der folgenden Abbildung sehen Sie den Ergebnissatz für die Abfrage unverarbeiteter Protokolle aus Protokollen.

Ergebnissatz für die Abfrage unverarbeiteter Protokolle

Diese Regel verwendet ${raw_log} als Metadaten für die Abfrage unverarbeiteter Protokolle aus Sitzungen, deren Quell-IP-Adresse NICHT NULL ist.

Abfrage unverarbeiteter Protokolle aus Sitzungen, deren Quell-IP-Adresse NICHT NULL ist

In der folgenden Abbildung sehen Sie den Ergebnissatz für die Abfrage unverarbeiteter Protokolle aus Sitzungen.

Ergebnissatz für die Abfrage unverarbeiteter Protokolle aus Sitzungen

Previous Topic:Regelsyntax
You are here
Table of Contents > Anhang > Warehouse-DB – Einfache Regeln

Attachments

    Outcomes