事件和流搜索
您可以在 日志活动、 网络活动和 攻击 选项卡上执行搜索。
在 JSA 中使用搜索和索引选项,可提高搜索性能并更快地返回结果。要查找特定标准,高级搜索使用 AQL 搜索字符串。
您可以指定过滤器标准来搜索事件、流和攻击。执行搜索后,可以保存搜索标准和搜索结果。
如果 JSA 管理员配置了资源限制来为事件和流搜索设置时间或数据限制,则资源限制图标会出现在搜索条件旁边。
创建自定义搜索
您可以使用更具体的搜索选项来搜索符合标准的数据。例如,您可以为搜索指定列,以便对列进行分组和重新排列,以更高效地浏览搜索结果。
搜索持续时间因数据库大小而异。
您可以添加新的搜索选项以在搜索结果中进行筛选,以查找要查找的特定事件或流程。
下表介绍了可用于搜索事件 和流 数据的搜索选项:
| 选项 |
描述 |
|---|---|
| 组 |
在“可用的保存搜索”列表中选择要查看的事件搜索组或流搜索组。 在 “可用的已保存搜索 ”列表中选择要查看的事件搜索组。 |
| 键入已保存的搜索或从列表中选择 |
键入已保存的搜索的名称或关键字,以过滤 “可用的已保存搜索” 列表。 |
| 可用的已保存搜索 |
此列表显示所有可用搜索,除非您使用“组”或“类型保存搜索”或“从列表选择”选项对列表应用过滤器。您可以选择此列表上保存的搜索进行显示或编辑。 |
| 搜索 |
搜索图标可在搜索页面上的多个面板中使用。完成搜索配置并希望查看结果后,您可以单击“搜索”。 |
| 在我的快速搜索中包括 |
选中此复选框,可在 “快速 搜索”菜单中包括此搜索。 |
| 包含在我的仪表板中 |
选中此复选框,将保存的搜索数据包含在 “仪表板 ”选项卡中。有关 仪表板 选项卡的更多信息,请参阅 仪表板管理。
注意:
仅当对搜索进行分组时,才会显示参数。 |
| 设置为默认 |
选中此复选框,将此搜索设置为默认搜索。 |
| 与所有人分享 |
选中此复选框可将此搜索共享给所有其他用户。 |
| 实时(流) |
在流模式下显示结果。
注意:
启用实时(流)后,将无法对搜索结果进行分组。如果在“列定义”面板中选择任何分组选项,将会打开一条错误消息。 |
| 上一个间隔(自动刷新) |
日志活动和网络活动选项卡每刷新一分钟一次,以显示最新信息。 |
| 最近 |
选择此选项后,必须从列表中选择一个时间范围选项。
注意:
最后一分钟的结果可能无法提供。如果要查看所有结果,请选择 <Specific Interval> 选项。 |
| 特定间隔 |
选择此选项后,必须从 “开始 时间和 结束时间 ”日历中选择日期和时间范围。 |
| 数据积累 |
加载保存的搜索时显示。 如果此已保存的搜索未积累任何数据,则显示以下信息消息: 如果此已保存搜索的数据正在累积,将显示以下选项: 单击或将鼠标悬停在列链接上时,将会打开一个累积数据的列列表。 使用 “启用唯一计数/禁用唯一计数” 链接可显示唯一事件 和流量 计数,而非随时间推移的平均计数。单击“ 启用唯一计数 ”链接后,将打开一个对话框,显示哪些保存的搜索和报告共享了累积的数据。 |
| 当前过滤器 |
显示应用于此搜索的过滤器。 |
| 搜索完成后保存结果 |
保存搜索结果。 |
| 显示 |
设置在搜索结果中显示的预定义列的物种。 |
| 名字 |
自定义列布局的名称。 |
| 保存列布局 |
保存修改的自定义列布局。 |
| 删除列布局 |
删除保存的自定义列布局。 |
| 键入列或从列表中选择 |
过滤“可用列”列表中列出的列。 例如,键入 Device 以显示列名称中包含设备的列列表。 |
| 可用列 |
当前用于此保存搜索的列会突出显示并显示在 列 列表中。 |
| 添加和移除列箭头(顶置) |
使用前一组箭头自定义 “分组根据 ”列表。
|
| 添加和移除列箭头(底部集) |
使用底部箭头组自定义 列 列表。
|
| 分组作者 |
指定保存的搜索将结果分组的列。
优先级列表指定结果分组顺序。搜索结果按“ 分组条件 ”列表中第一列进行分组,然后按列表上的下一列进行分组。 |
| 列 |
指定为搜索选择的列。您可以从 “可用列” 列表中选择更多列。您可以使用以下选项进一步自定义 列 列表:
如果列类型为数字或基于时间的,并且有一个条目位于 “分组依据 ”列表中,则该列将包含一个列表。使用列表选择要对列进行分组的方式。 如果列类型为组,则列将包含一个列表,用于选择要为该组包含多少个级别。 |
| 在“按组”列表和“列”列表之间移动列 |
在“ 分组 By ”列表和 “列 ”列表之间移动列,方法是在一个列表中选择一个列,并将其拖至另一个列。 |
| 订购方式 |
从第一个列表中,选择要按其对搜索结果进行排序的列。然后,从第二个列表中选择您想要为搜索结果显示的顺序。 |
| 结果限制 |
指定搜索在 “编辑搜索” 窗口中返回的行数。 结果限制 字段也会显示在 结果 窗口中。
|
-
选择搜索选项:
-
要搜索事件,请单击 日志活动 选项卡。
-
要搜索流,请单击 “网络活动 ”选项卡。
-
-
从 搜索 列表中,选择 新建搜索。
-
选择之前保存的搜索。
-
要创建搜索,请在“时间范围”面板中,选择要为此搜索捕获的时间范围选项。
注意:在时间范围较大时,您选择的时间范围可能会影响性能。
-
在 “数据积累 ”面板中启用唯一计数。
注意:对累积数据启用唯一计数,而这些数据与其他已保存的搜索和报告共享可能会降低系统性能。
-
在“搜索参数”面板中,定义您的搜索标准。
-
从第一个列表中选择要搜索的参数。
-
从第二个列表中,选择要用于搜索的修改符。
注意:要搜索自定义属性没有值的事件或流,请使用 is N/A 运算符。要搜索自定义属性有值的事件或流,请使用 “非 N/A ”运算符。
-
在输入字段中,键入与您的搜索参数相关的特定信息。
-
单击添加过滤器。
-
对要添加到搜索条件的每个过滤器重复这些步骤。
-
-
要在搜索完成后自动保存搜索结果,请选中“ 搜索完成后保存结果 ”复选框,然后为保存的搜索键入名称。
-
在“列定义”面板中,定义要查看结果的列和列布局:
-
从“显示”列表中选择设置为与此搜索关联的预配置列。
-
单击“高级视图定义”旁边的箭头以显示高级搜索参数。
-
自定义列以显示在搜索结果中。
-
在“结果限制”字段中,键入要搜索返回的行数。
提示:如果配置了属于多个日志源组的日志源,但只有一个事件与您的搜索标准匹配,则搜索将针对事件所属的每个日志源组(包括父组)生成结果。这是预期的行为。
-
-
单击 过滤器。
创建自定义列布局
通过在现有布局中添加或删除列来创建自定义列布局。
-
在 日志活动 或 网络活动 选项卡中,单击 搜索>Edit 搜索。
-
在 “列定义 ”面板中,在 显示 列表中选择现有列布局。
修改布局时, “显示 ”列表中的名称会自动更改为 Custom。
-
修改搜索分组。
-
要向搜索组添加列,请从“可用列”列表中选择一个列,然后单击向右箭头将列移动到“分组条件”列表。
-
要将列从“列”列表移动到搜索组,请从“列”列表中选择一个列,并将其拖至“分组方式”列表。
-
要从搜索组中移除列,请从“分组条件”列表中选择该列,然后单击左箭头。
-
要更改列分组顺序,请使用向上和向下箭头,或者将列拖到位。
-
-
修改列布局。
-
要向自定义布局中添加列,请从“可用列”列表中选择一个列,然后单击右箭头,将列移动到列列表。
-
要将列从“分组方式”列表移动到自定义布局,请从“分组方式”列表中选择一个列,并将其拖至列列表。
-
要从自定义布局中移除列,请从“列”列表中选择该列,然后单击左箭头。
-
要更改列的顺序,请使用向上和向下箭头,或者将列拖到位。
-
-
在 Name 字段中,输入自定义列布局的名称。
-
单击 “保存列布局”。
删除自定义列布局
您可以删除用户创建的现有列布局。
-
在 日志活动 或 网络活动 选项卡中,单击 搜索>Edit 搜索。
-
在 “列定义 ”面板中,在 显示 列表中选择用户创建的现有列布局。
-
单击 删除列布局。
通过动态搜索进行查询
使用动态搜索 API 搜索涉及聚合函数的数据,如 COUNT、 SUM、 MAX 和 AVG。例如,您可以使用 COUNT_PER 函数来计算每个资产主机名的资产编号。
您可以基于以下数据源构建查询:
-
资产
-
犯罪
-
Vulinstances
您可以将不带函数的字段作为简单字段添加,也可以添加包含函数的字段作为复杂字段来构建列。您还可以添加条件来过滤数据。
-
单击 管理员 选项卡。
-
在 动态搜索 部分,单击 动态搜索。
-
选择 数据源。
-
填写 “可用列” 和 “可用过滤器 ”部分。
-
要向查询中添加名称、说明、搜索范围、保留期或搜索类型,请启用一个或多个 额外搜索属性。
-
要复制 JSON 脚本,请单击 生成 JSON。
您的结果会出现在 查询部分生成的 JSON 中。单击 “复制至功能集” 以复制您的 JSON 脚本。
-
要重置选择,请单击 重置。
-
单击 “运行查询”。
查询结果会以纯文本或链接格式列出。例如,如果您选择查询 “ASSET_ID ”字段,则可以单击结果以查看每个 资产 ID 的资产摘要 窗口。
保存搜索条件
您可以保存配置的搜索标准,以便在其他组件(如报告)中使用已保存的搜索条件。保存的搜索条件不会过期。
如果为搜索指定了时间范围,则搜索名称将附加指定的时间范围。例如,保存的名为“过去 5 分钟漏洞”的搜索将变为“源漏洞 - 过去 5 分钟”。
如果更改之前保存的搜索中设置的列,然后使用相同的名称保存搜索标准,则之前时间序列图表的积累将丢失。
-
选择以下选项之一:
-
单击 日志活动 选项卡。
-
单击 网络活动 选项卡。
-
-
单击 日志活动 选项卡。
-
执行搜索。
-
单击 “保存标准”。
-
输入参数值:
选项
描述
参数
描述
搜索名称
键入要分配给此搜索标准的唯一名称。
将搜索分配给组
选中要分配此已保存搜索的组的复选框。如果未选择某个组,则默认情况下,此保存的搜索将被分配给“其他”组。有关更多信息,请参阅 管理搜索组。
管理组
单击 “管理组 ”以管理搜索组。有关更多信息,请参阅 管理搜索组。
时间跨度选项:
选择以下选项之一:
-
实时(流传输)- 选择此选项可在流模式下过滤您的搜索结果。
-
上一个间隔(自动刷新)选择此选项可在自动刷新模式下过滤您的搜索结果。日志活动和 网络活动选项卡每刷新一分钟一次,以显示最新信息。
-
上一个间隔(自动刷新)选择此选项可在自动刷新模式下过滤您的搜索结果。日志活动和网络活动选项卡每刷新一分钟一次,以显示最新信息。
-
最近选择此选项,然后从此列表框中选择要过滤的时间范围。
-
特定间隔 - 选择此选项,然后从日历中选择您要过滤的日期和时间范围。
在我的快速搜索中包括
选中此复选框可将此搜索包含在工具栏上的 “快速搜索 ”列表框中。
包含在我的仪表板中
选中此复选框,将保存的搜索数据包含在 “仪表板 ”选项卡中。有关 仪表板 选项卡的更多信息,请参阅 仪表板管理。
注意:仅当对搜索进行分组时,才会显示参数。
设置为默认
选中此复选框,将此搜索设置为默认搜索。
与所有人分享
选中此复选框可与所有用户共享这些搜索要求。
-
-
单击 确定。
预定搜索
使用“预定搜索”选项可以计划搜索并查看结果。
您可以安排在白天或晚上的特定时间运行的搜索。
如果您安排在夜间进行搜索,可以在上午进行调查。与报告不同,您可以选择对搜索结果进行分组并进一步调查。您可以在网络组中搜索登录失败的次数。如果结果通常为 10,而搜索结果为 100,则可以对搜索结果进行分组,以便于调查。要查看哪个用户的登录失败次数最多,可以按用户名进行分组。您可以继续调查。
您可以通过“报告”选项卡预约事件或流量搜索。您必须选择之前保存的一组搜索标准进行调度。
-
创建报告
在 “报告向导” 窗口中指定以下信息:
-
图表类型为事件/日志 或流。
-
报告基于保存的搜索。
-
生成攻击。
您可以选择 创建单个攻击 选项,也可以 选择将结果添加到现有攻击 选项。
您还可以生成手动搜索。
-
-
查看搜索结果
您可以从 Offenses 选项卡查看预定的搜索结果。
-
“攻击 类型 ”列标识计划搜索攻击。
如果创建单个攻击,则每次运行报告时都会生成攻击。如果将保存的搜索结果添加到现有攻击中,则第一次运行报告时将创建攻击。后续报告会对此攻击进行追加。如果未返回任何结果,则系统不会附加或创建攻击。
-
想要在“攻击摘要”窗口中查看最近一次的搜索结果,请双击攻击列表中计划进行的搜索。要查看所有计划搜索运行列表,请单击“最后 5 个搜索结果”面板中的“搜索结果”。
您可以将“计划”搜索攻击分配给用户。
快速过滤器搜索选项
键入使用简单单词或短语的文本搜索字符串来搜索事件 和流 有效负载。
快速过滤器是用于搜索特定数据的事件或流有效负载的最快方法之一。例如,您可以使用快速过滤器查找以下类型的信息:
-
过去一周内分配给特定地址范围的每台防火墙设备
-
过去五天内由 Gmail 帐户发送的一系列 PDF 文件
-
两个月内与连字符连接名称完全匹配的所有记录
-
以 .ca 结尾的网站地址列表
您可以从以下位置过滤搜索内容:
-
日志活动工具栏和网络活动工具栏--从搜索工具条上的列表框中选择快速过滤器,以键入文本搜索字符串。单击快速过滤器图标,将快速过滤器应用于事件或流列表。
-
添加过滤器对话框--单击日志活动或网络活动选项卡中的添加过滤器图标。选择“快速过滤器”作为过滤器参数,然后键入文本搜索字符串。
-
流搜索页面 --为过滤器列表添加快速过滤器。
注意:在有效负载索引保留设置之外使用时间帧的快速过滤器搜索可能会触发缓慢且资源密集型的系统响应。例如,如果有效负载索引保留期设置为 1 天,而您在搜索中使用了过去 30 个小时的时间范围。
在实时(流)或上一间隔模式下查看流时,只能在“快速过滤器”字段中键入简单的单词或短语。查看时间范围内的事件或流时,请遵循以下语法准则:
| 描述 |
例子 |
|---|---|
| 在有效负载中包含您期望找到的任何纯文本。 |
Firewall |
| 通过在双引号中包含多个术语来搜索确切的短语。 |
“Firewall deny" |
| 包括单字符和多字符通配符。搜索术语不能以通配符开始。 |
F?rewall 或 F??ew* |
| 对使用逻辑表达式(如 AND、OR 和 NOT)的术语进行分组。要识别为逻辑表达式而不是搜索词,语法和运算符必须大写。 |
(%PIX* AND ("Accessed URL" OR "Deny udp src") AND 10.100.100.*) |
| 创建包含 NOT 逻辑表达式的搜索标准时,必须至少包含一个其他逻辑表达式类型,否则不会返回任何结果。 |
(%PIX* AND ("Accessed URL" OR "Deny udp src") NOT 10.100.100.*) |
| 在以下字符前面加上反斜杠,以表明该字符是搜索术语的一部分: + - && || ! () {} [] ^ " ~ * ? : \. |
"%PIX\-5\-304001" |
限制
快速过滤器搜索对原始事件或流日志数据进行操作,不会区分字段。例如,快速过滤器搜索会同时返回源 IP 地址和目标 IP 地址的匹配项,除非您包含可以缩小结果范围的术语。
搜索词将按与有效负载单词或短语中的第一个字符序列匹配。搜索术语 user 匹配 user_1 和 user_2,但不匹配以下短语: ruser、 myuser或 anyuser。
快速过滤器搜索使用英语区域设置。 Locale 是一种设置,用于识别语言或地理位置并确定格式约定,例如排序规则、大小写转换、字符分类、消息语言、日期和时间表示以及数字表示。
区域设置由您的操作系统设置。您可以配置 JSA 以覆盖操作系统区域设置。例如,您可以将区域设置设置为英语,而 JSA 控制台可以设置为意大利语(意大利语)。
如果在快速过滤器搜索查询中使用 Unicode 字符,可能会返回意外的搜索结果。
如果您选择的区域设置不是英语,则可以使用 JSA 中的高级搜索选项搜索事件和有效负载数据。
快速过滤器搜索和有效负载令牌的工作原理是什么?
有效负载中的文本被拆分成单词、短语、符号或其他元素。这些令牌由空格和标点符号分隔。这些令牌并不总是与用户指定的搜索词匹配,这会导致当某些搜索词与生成的令牌不匹配时无法找到这些搜索词。分隔符字符将被丢弃,但存在异常,例如以下异常:
-
标记中包含后不带空格的句点。
例如, 1.2.3.4:56 被标记为主机令牌 1.2.3.4 和端口令牌 56。
-
单词以连字符拆分,除非单词包含数字,在这种情况下,不会拆分标记,并且数字和连字符保留为一个标记。
-
互联网域名和电子邮件地址将保留为单个令牌。
1.2.3.4/home/www 被标记化为一个令牌,URL 不分离。
1.2.3.7:/呼叫1/www2/scp4/path5/fff 被标记化为主机 1.2.3.7,其余为一个令牌 /呼叫1/www2/scp4/path5/fff
包含多个下划线的文件名和 URL 名称在句点 (.) 之前被拆分。
文件名中多个下划线的示例:
如果您使用 hurricane_katrina_ladm118.jpg 作为搜索术语,它将分为以下令牌:
-
飓风
-
katrina_ladm118.jpg
通过在搜索词周围加上双引号来搜索完整搜索词的有效负载: “hurricane_katrina_ladm118.jpg”
相对文件路径中多个下划线的示例:
Thumb.ladm180830/thumb.ladm11808301806.hurricane_katrina_ladm118.jpg 被分成以下令牌:
-
拇指.ladm1180830/thumb.ladm11808301806.飓风
-
katrina_ladm118.jpg
要搜索由一个部分令牌和一个完整令牌组成的 hurricane_katrina_ladm118.jpg,在查询项前面放置星号 ,*hurricane_katrina_ladm118.jpg
高级搜索选项
使用 “高级搜索 ”字段输入 Ariel 查询语言 (AQL),以指定您想要的字段以及将其分组以运行查询的方式。
键入 AQL 查询时,请使用单引号进行字符串比较,使用双引号进行属性值比较。
高级搜索字段具有自动补全和语法突出显示功能。
使用自动补全和语法突出显示来帮助创建查询。有关受支持的 Web 浏览器的信息,请参阅 支持的 Web 浏览器
如果在 “日志活动 ”选项卡中使用快速过滤器,则必须在运行高级搜索之前刷新浏览器窗口。
访问高级搜索
从网络活动和日志活动选项卡中的搜索工具栏访问高级搜索选项,以键入 AQL 查询。
从“日志活动”选项卡中的搜索工具条访问“高级搜索”选项,以键入 AQL 查询。
从 搜索 工具条上的列表框中选择 高级搜索 。
按照以下步骤展开 “高级搜索 ”字段:
-
拖移字段右侧的展开图标。
-
按 Shift + Enter 进入下一行。
-
按 Enter。
您可以右击搜索结果中的任何值,然后针对该值进行筛选。
双击搜索结果中的任何一行以查看更多详细信息。
审计日志中包含所有搜索,包括 AQL 搜索。
AQL 搜索字符串示例
下表提供 AQL 搜索字符串的示例。
| 描述 |
例子 |
|---|---|
| 从事件中选择默认列。 从流中选择默认列。 |
SELECT * FROM events SELECT * FROM flows |
| 从事件中选择默认列。 |
SELECT * FROM events |
| 选择特定列。 |
SELECT sourceip, destinationip FROM events |
| 选择特定列并排序结果。 |
SELECT sourceip, destinationip FROM events ORDER BY destinationip |
| 运行聚合搜索查询。 |
SELECT sourceip, SUM(magnitude) AS magsum FROM events GROUP BY sourceip |
| 在 SELECT 分支中运行函数调用。 |
SELECT CATEGORYNAME(category) AS namedCategory FROM events |
| 使用 WHERE 子句过滤搜索结果。 |
SELECT CATEGORYNAME(category) AS namedCategory, magnitude FROM events WHERE magnitude > 1 |
| 搜索触发特定规则的事件,该事件基于规则名称中的规则名称或部分文本。 |
SELECT LOGSOURCENAME(logsourceid), * from events where RULENAME(creeventlist) ILIKE '%suspicious%' |
| 引用字段名称,其中包含特殊字符(如算术字符或空格),请将字段名称括在双引号中。 |
SELECT sourceip, destinationip, "+field/name+" FROM events WHERE "+field/name+" LIKE '%test%' |
下表提供了 X-Force 的 AQL 搜索字符串示例。
| 描述 |
例子 |
|---|---|
| 使用置信值检查 IP 地址与 X-Force 类别。 |
select * from events where XFORCE_IP_CONFIDENCE('Spam',sourceip)>3 |
| 搜索与 URL 关联的 X-Force URL 类别。 |
select url, XFORCE_URL_CATEGORY(url) as myCategories from events where XFORCE_URL_CATEGORY(url) IS NOT NULL |
| 检索与 IP 关联的 X-Force IP 类别。 |
select sourceip, XFORCE_IP_CATEGORY(sourceip) as IPcategories from events where XFORCE_IP_CATEGORY(sourceip) IS NOT NULL |
有关功能、搜索字段和运算符的更多信息,请参阅 瞻博网络安全分析 Ariel 查询语言指南。
AQL 搜索字符串示例
使用 Ariel 查询语言 (AQL) 从 Ariel 数据库中的事件、流和 simarc 表中检索特定字段。
构建 AQL 查询时,如果从任何文档复制包含单引号的文本并将文本粘贴到 JSA 中,则查询不会解析。作为应对方案,您可以将文本粘贴到 JSA 中,然后重新键入单引号。
报告帐户使用情况
不同的用户社区可以有不同的威胁和使用指标。
使用参考数据报告多个用户属性,例如部门、位置或经理。您可以使用外部参考数据。
以下查询将从用户的登录事件中返回有关用户的元数据信息。
SELECT REFERENCETABLE(’user_data’,’FullName’,username) as ’Full Name’, REFERENCETABLE(’user_data’,’Location’,username) as ’Location’, REFERENCETABLE(’user_data’,’Manager’,username) as ’Manager’, DISTINCTCOUNT(username) as ’Userid Count’, DISTINCTCOUNT(sourceip) as ’Source IP Count’, COUNT(*) as ’Event Count’ FROM events WHERE qidname(qid) ILIKE ’%logon%’ GROUP BY ’Full Name’, ’Location’, ’Manager’ LAST 1 days
跨多个帐户标识符的洞察
在此示例中,单个用户在整个网络中具有多个帐户。组织需要用户活动的单一视图。
使用参考数据将本地用户 ID 映射到全局 ID。
以下查询将返回由全局 ID 对标记为可疑的事件使用的用户帐户。
SELECT REFERENCEMAP(’GlobalID Mapping’,username) as ’Global ID’, REFERENCETABLE(’user_data’,’FullName’, ’Global ID’) as ’Full Name’, DISTINCTCOUNT(username), COUNT(*) as ’Event count’ FROM events WHERE RULENAME(creEventlist) ILIKE ’%suspicious%’ GROUP BY ’Global ID’ LAST 1 days
以下查询显示由全局 ID 完成的活动。
SELECT QIDNAME(qid) as ’Event name’, starttime as ’Time’, sourceip as ’Source IP’, destinationip as ’Destination IP’, username as ’Event Username’, REFERENCEMAP(’GlobalID_Mapping’, username)as ’Global User’ FROM events WHERE ’Global User’ = ’John Doe’ LAST 1 days
识别可疑的长期信标
许多威胁使用命令和控制在数天、数周和数月内定期进行通信。
高级搜索可以识别随时间推移的连接模式。例如,您可以查询 IP 地址之间的一致、短、低容量、IP 地址之间每天/每周/每月的连接数,或者查询 IP 地址和地理位置。
以下查询可检测每小时信标的潜在实例。
SELECT sourceip, destinationip, DISTINCTCOUNT(DATEFORMAT(starttime,’HH’)) as ’different hours’, COUNT(*) as ’total flows’ FROM flows WHERE flowdirection = ’L2R’ GROUP BY sourceip, destinationip HAVING "different hours" > 20 AND "total flows" < 25 LAST 24 hours
您可以修改此查询以处理代理日志和其他事件类型。
以下查询可检测每日信标的潜在实例。
SELECT sourceip, destinationip, DISTINCTCOUNT(DATEFORMAT(starttime,’dd’))as ’different days’, COUNT(*) as ’total flows’ FROM flows WHERE flowdirection=’L2R’ GROUP BY sourceip, destinationip HAVING "different days" > 4 AND "total flows" < 14 LAST 7 days
以下查询可检测源 IP 和目标 IP 之间的日常信标。信标时间不是每天在同一时间。信标之间的时差很短。
SELECT sourceip, LONG(DATEFORMAT(starttime,’hh’)) as hourofday, (AVG( hourofday*hourofday) - (AVG(hourofday)^2))as variance, COUNT(*) as ’total flows’ FROM flows GROUP BY sourceip, destinationip HAVING variance < 01 and "total flows" < 10 LAST 7 days
以下查询使用代理日志事件检测到域的日常信标。信标时间不是每天在同一时间。信标之间的时差很短。
SELECT sourceip, LONG(DATEFORMAT(starttime,’hh’)) as hourofday, (AVG(hourofday*hourofday) - (AVG(hourofday)^2)) as variance, COUNT(*) as ’total events’ FROM events WHERE LOGSOURCEGROUPNAME(devicegrouplist) ILIKE ’%proxy%’ GROUP BY url_domain HAVING variance < 0.1 and "total events" < 10 LAST 7 days
url_domain 属性是代理日志中的自定义属性。
外部威胁情报
与外部威胁情报数据关联的使用和安全数据可以提供重要的威胁指标。
高级搜索可以将外部威胁情报指标与其他安全事件和使用数据交叉引用。
此查询显示如何在数天、数周或数个月内分析外部威胁数据,以识别资产和帐户的风险级别并确定其优先级。
Select REFERENCETABLE(’ip_threat_data’,’Category’,destinationip) as ’Category’, REFERENCETABLE(’ip_threat_data’,’Rating’, destinationip) as ’Threat Rating’, DISTINCTCOUNT(sourceip) as ’Source IP Count’, DISTINCTCOUNT(destinationip) as ’Destination IP Count’ FROM events GROUP BY ’Category’, ’Threat Rating’ LAST 1 days
资产智能和配置
威胁和使用指标因资产类型、操作系统、漏洞状况、服务器类型、分类和其他参数而异。
在此查询中,高级搜索和资产模型可以提供对位置的运维洞察。
资产属性功能从资产中检索属性值,这使您能够在结果中包含资产数据。
SELECT ASSETPROPERTY(’Location’,sourceip) as location, COUNT(*) as ’event count’ FROM events GROUP BY location LAST 1 days
以下查询显示如何在资产模型中使用高级搜索和用户身份跟踪。
AssetUser 功能将从资产数据库中检索用户名。
SELECT APPLICATIONNAME(applicationid) as App, ASSETUSER(sourceip, now()) as srcAssetUser, COUNT(*) as ’Total Flows’ FROM flows WHERE srcAssetUser IS NOT NULL GROUP BY App, srcAssetUser ORDER BY "Total Flows" DESC LAST 3 HOURS
网络查找功能
您可以使用 网络查找 功能检索与 IP 地址关联的网络名称。
SELECT NETWORKNAME(sourceip) as srcnet, NETWORKNAME(destinationip) as dstnet FROM events
规则查找功能
您可以使用 规则查找 功能按规则 ID 检索规则的名称。
SELECT RULENAME(123) FROM events
以下查询将返回触发特定规则名称的事件。
SELECT * FROM events WHERE RULENAME(creEventList) ILIKE ’%my rule name%’
全文搜索
您可以使用“高级搜索”选项使用文本搜索运算符执行全文 搜索 。
在此示例中,有很多事件在有效负载中包含“防火墙”一词。您可以使用“日志活动”选项卡中的“快速过滤器”选项和“高级”搜索选项来搜索这些事件。
-
要使用 “快速过滤器 ”选项,请在 “快速过滤器 ”框中键入以下文本: 'firewall'
-
要使用 高级搜索 选项,请在 “高级”搜索 框中键入以下查询:
SELECT QIDNAME(qid) AS EventName, * from events where TEXT SEARCH ’firewall’
自定义属性
使用 高级搜索 选项时,可以访问事件和流的自定义属性。
以下查询使用自定义属性“MyWebsiteUrl”按特定 Web URL 对事件进行排序:
选择“MyWebsiteUrl”,* 从活动中按“MyWebsiteUrl”排序
将保存的搜索转换为 AQL 字符串
将保存的搜索转换为 AQL 字符串并修改它以创建您自己的搜索,以快速查找所需的数据。现在,您创建搜索的速度比键入搜索条件要快。您还可以保存搜索,以备将来使用。
-
单击 日志活动 或 网络活动 选项卡。
-
从 搜索 列表中选择 新搜索 或 编辑搜索。
-
选择之前保存的搜索。
-
单击 Show AQL。
-
在 AQL 窗口中,单击 “复制到单一选择清单”。
-
在 搜索模式 部分,单击 高级搜索。
-
将 AQL 字符串文本粘贴到 “高级搜索 ”文本框。
-
修改字符串以包括要查找的数据。
-
单击 搜索 以显示结果。