Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

이벤트 및 플로우 검색

로그 활동, 네트워크 활동 및 공격 탭에서 검색 수행할 수 있습니다.

검색 성능을 향상하고 더 빠른 결과를 반환하는 JSA 의 검색 및 인덱스 옵션을 사용합니다. 특정 기준을 찾으려면 고급 검색은 AQL 검색 문자열을 사용합니다.

필터 기준을 지정하여 이벤트, 플로우 및 공격을 검색할 수 있습니다. 검색을 수행한 후 검색 기준 및 검색 결과를 저장할 수 있습니다.

JSA 관리자가 이벤트 및 플로우 검색에 대한 시간 또는 데이터 제한을 설정하도록 리소스 제한을 구성한 경우, 검색 기준 옆에 리소스 제한 아이콘이 표시됩니다.

사용자 지정 검색 생성

보다 구체적인 검색 옵션을 사용하여 기준과 일치하는 데이터를 검색할 수 있습니다. 예를 들어 검색 결과를 보다 효율적으로 탐색하기 위해 그룹화 및 재정의할 수 있는 검색에 대한 열을 지정할 수 있습니다.

검색 기간은 데이터베이스 크기에 따라 다릅니다.

새로운 검색 옵션을 추가하여 검색 결과를 필터링하여 원하는 특정 이벤트 또는 플로우를 찾을 수 있습니다.

다음 표에는 이벤트 및 플로우 데이터를 검색하는 데 사용할 수 있는 검색 옵션이 설명되어 있습니다.

표 1: 검색 옵션

옵션

설명

그룹

사용 가능한 저장된 검색 목록에서 볼 수 있도록 이벤트 검색 그룹 또는 플로우 검색 그룹을 선택합니다.

사용 가능한 저장된 검색 목록에서 볼 이벤트 검색 그룹을 선택합니다.

저장된 검색 유형 또는 목록에서 선택

저장된 검색의 이름 또는 키워드를 입력하여 사용 가능한 저장된 검색 목록을 필터링합니다.

저장된 검색 사용 가능

이 목록은 그룹 또는 저장된 검색 유형 또는 목록에서 선택 옵션을 사용하여 목록에 필터를 적용하지 않는 한 사용 가능한 모든 검색을 표시합니다. 이 목록에서 저장된 검색을 선택하여 표시하거나 편집할 수 있습니다.

검색

검색 아이콘은 검색 페이지의 여러 창에서 사용할 수 있습니다. 검색 구성이 완료되면 검색을 클릭하고 결과를 볼 수 있습니다.

빠른 검색에 포함

빠른 검색 메뉴에 이 검색을 포함하려면 이 확인란을 선택합니다.

대시보드에 포함

대시보드 탭에서 저장된 검색 데이터를 포함하려면 이 확인란을 선택합니다. 대시보드 탭에 대한 자세한 내용은 대시보드 관리를 참조하십시오.

참고:

이 매개변수는 검색이 그룹화된 경우에만 표시됩니다.

기본값으로 설정

이 확인란을 선택하여 이 검색을 기본 검색으로 설정합니다.

모든 사용자와 공유

이 확인란을 선택하여 다른 모든 사용자와 이 검색을 공유합니다.

실시간(스트리밍)

스트리밍 모드의 결과를 표시합니다.

참고:

실시간(스트리밍)이 활성화되면 검색 결과를 그룹화할 수 없습니다. 열 정의 창에서 그룹화 옵션을 선택하면 오류 메시지가 열립니다.

마지막 간격(자동 새로 고침)

로그 활동 네트워크 활동 은(는) 1분 간격으로 새로 고쳐 가장 최신 정보를 표시합니다.

최근

이 옵션을 선택한 후 목록에서 시간 범위 옵션을 선택해야 합니다.

참고:

마지막 순간의 결과를 사용할 수 없을 수도 있습니다. 모든 결과를 보려면 <Specific Interval> 옵션을 선택합니다.

특정 간격

이 옵션을 선택한 후 시작 시간종료 시간 일정에서 날짜와 시간 범위를 선택해야 합니다.

데이터 축적

저장된 검색을 로드할 때 표시됩니다.

이 저장된 검색에 대한 데이터가 축적되지 않으면 다음 정보 메시지가 표시됩니다. Data is not being accumulated for this search.

저장된 이 검색에 대한 데이터가 축적되는 경우 다음 옵션이 표시됩니다.

열 링크를 클릭하거나 마우스를 가져가면 데이터가 축적되는 열 목록이 열립니다.

고유한 카운트 활성화/고유 카운트 비활성화 링크를 사용하여 시간 경과에 따라 평균 카운트 대신 고유한 이벤트 및 플로우 카운트를 표시합니다. 고유한 카운트 활성화 링크를 클릭하면 대화 상자가 열리고 저장된 검색과 보고서가 누적된 데이터를 공유함을 나타냅니다.

현재 필터

이 검색에 적용된 필터를 표시합니다.

검색이 완료되면 결과 저장

검색 결과를 저장합니다.

표시

검색 결과에 표시되도록 설정된 사전 정의된 열 종.

이름

사용자 지정 열 레이아웃의 이름입니다.

열 레이아웃 저장

수정한 사용자 지정 열 레이아웃을 저장합니다.

열 레이아웃 삭제

저장된 사용자 지정 열 레이아웃을 삭제합니다.

열 입력 또는 목록에서 선택

사용 가능한 열 목록에 나열된 열을 필터링합니다.

예를 들어, 을(를) 입력 Device 하여 열 이름에 디바이스를 포함하는 열 목록을 표시합니다.

사용 가능한 열

이 저장된 검색에 현재 사용 중인 열이 강조 표시되고 목록에 표시됩니다.

열 화살표 추가 및 제거(상단 세트)

화살표 맨 위 집합을 사용하여 Group By 목록을 사용자 지정할 수 있습니다.

  • 열을 추가하려면 사용 가능한 열 목록에서 하나 이상의 열을 선택하고 오른쪽 화살표를 클릭합니다.

  • 열을 제거하려면 Group By 목록에서 하나 이상의 열을 선택하고 왼쪽 화살표를 클릭합니다.

열 화살표 추가 및 제거(하단 세트)

화살표 맨 아래 집합을 사용하여 Columns 목록을 사용자 지정할 수 있습니다 .

  • 열을 추가하려면 사용 가능한 열 목록에서 하나 이상의 열을 선택하고 오른쪽 화살표를 클릭합니다.

  • 열을 제거하려면 목록에서 하나 이상의 열을 선택하고 왼쪽 화살표를 클릭합니다.

그룹별

저장된 검색이 결과를 그룹화할 열을 지정합니다.

  • 열을 우선 순위 목록 위로 이동하려면 열을 선택하고 업 화살표를 클릭합니다. 열을 목록 위로 끌어다 올릴 수도 있습니다.

  • 우선 순위 목록 아래로 열을 이동하려면 열을 선택하고 아래쪽 화살표를 클릭합니다. 열을 목록 아래로 끌어다 앉을 수도 있습니다.

우선 순위 목록은 결과가 그룹화된 순서를 지정합니다. 검색 결과는 Group By 목록의 첫 번째 열로 그룹화된 다음 목록의 다음 열로 그룹화됩니다.

검색에 선택한 열을 지정합니다. 사용 가능한 열 목록에서 더 많은 열을 선택할 수 있습니다. 다음 옵션을 사용하여 Columns 목록을 추가로 사용자 지정할 수 있습니다.

  • 열을 우선 순위 목록 위로 이동하려면 열을 선택하고 업 화살표를 클릭합니다. 열을 목록 위로 끌어다 올릴 수도 있습니다.

  • 우선 순위 목록 아래로 열을 이동하려면 열을 선택하고 아래쪽 화살표를 클릭합니다. 열을 목록 아래로 끌어다 앉을 수도 있습니다.

열 유형이 숫자이거나 시간 기반이고 항목이 Group By 목록에 있는 경우 열에 목록이 포함됩니다. 목록을 사용하여 열을 그룹화할 방법을 선택할 수 있습니다.

열 유형이 그룹인 경우, 열에는 그룹에 포함할 수준을 선택할 수 있는 목록이 포함됩니다.

Group By 목록과 열 목록 간에 열 이동

한 목록에서 열을 선택하고 다른 목록으로 드래그하여 Group By 목록과 목록 간에 열을 이동합니다.

순서별

첫 번째 목록에서 검색 결과를 정렬할 열을 선택합니다. 그런 다음 두 번째 목록에서 검색 결과에 표시할 순서를 선택합니다.

결과 제한

검색 편집 창에서 검색이 반환하는 행 수를 지정합니다. 결과 제한 필드도 결과 창에 표시됩니다.

  • 저장된 검색의 경우, 제한은 저장된 검색에 저장되고 검색이 로드될 때 다시 적용됩니다.

  • 행 제한이 있는 검색 결과에서 열을 정렬할 때 데이터 그리드에 표시되는 제한된 행 내에서 정렬이 수행됩니다.

  • 타임 시리즈 차트가 켜져 있는 검색으로 그룹화된 경우 행 제한은 데이터 그리드에만 적용됩니다. 타임 시리즈 차트의 상위 N 목록은 차트에 그려진 타임 시리즈를 제어합니다.

  1. 검색 옵션을 선택합니다.

    • 이벤트를 검색하려면 로그 활동 탭을 클릭합니다.

    • 플로우를 검색하려면 네트워크 활동 탭을 클릭합니다.

  2. 검색 목록에서 새로운 검색을 선택합니다.

  3. 이전에 저장된 검색을 선택합니다.

  4. 검색을 생성하려면 시간 범위 창에서 이 검색에 대해 캡처할 시간 범위에 대한 옵션을 선택합니다.

    참고:

    선택한 시간 범위는 시간 범위가 큰 경우 성능에 영향을 미칠 수 있습니다.

  5. 데이터 누적 창에서 고유한 카운트를 활성화합니다.

    참고:

    누적된 데이터에 대한 고유한 카운트를 활성화하면 다른 많은 저장된 검색 및 보고서와 공유되어 시스템 성능이 저하될 수 있습니다.

  6. 검색 매개 변수 창에서 검색 기준을 정의합니다.

    1. 첫 번째 목록에서 검색할 매개 변수를 선택합니다.

    2. 두 번째 목록에서 검색에 사용할 수정자를 선택합니다.

      참고:

      사용자 지정 속성에 값이 없는 이벤트 또는 플로우를 검색하려면 은/A 연산자를 사용합니다. 사용자 지정 속성에 값이 있는 이벤트 또는 플로우를 검색하려면 은/는 N/A 연산자가 아닙니다.

    3. 입력 필드에서 검색 매개 변수와 관련된 특정 정보를 입력합니다.

    4. 필터 추가를 클릭합니다.

    5. 검색 기준에 추가하는 각 필터에 대해 이 단계를 반복합니다.

  7. 검색이 완료되면 검색 결과를 자동으로 저장하려면 검색이 완료되면 결과 저장 확인란을 선택한 다음 저장된 검색의 이름을 입력합니다.

  8. 열 정의 창에서 결과를 보기 위해 사용할 열 및 열 레이아웃을 정의합니다.

    1. 디스플레이 목록에서 이 검색과 연결하도록 설정된 사전 구성된 열을 선택합니다.

    2. 고급 보기 정의 옆에 있는 화살표를 클릭하여 고급 검색 매개 변수를 표시합니다.

    3. 검색 결과에 표시할 열을 사용자 정의합니다.

    4. 결과 제한 필드에 검색을 반환할 행 수를 입력합니다.

    팁:

    여러 로그 소스 그룹에 속하지만 검색 기준과 일치하는 하나의 이벤트만 있는 로그 소스를 구성하는 경우, 검색은 이벤트가 속한 각 로그 소스 그룹(상위 그룹 포함)에 대한 결과를 생성합니다. 이것은 예상되는 동작입니다.

  9. 필터를 클릭합니다.

사용자 지정 열 레이아웃 만들기

기존 레이아웃에서 열을 추가하거나 제거하여 사용자 지정 열 레이아웃을 생성합니다.

  1. 로그 활동 또는 네트워크 활동 탭에서 검색 >Edit 검색을 클릭합니다.

  2. 열 정의 창에서 디스플레이 목록에서 기존 열 레이아웃을 선택합니다.

    레이아웃을 수정하면 디스플레이 목록의 이름이 자동으로 으로 Custom변경됩니다.

  3. 검색 그룹을 수정합니다.

    1. 검색 그룹에 열을 추가하려면 사용 가능한 열 목록에서 열을 선택하고 오른쪽 화살표를 클릭하여 열을 Group By 목록으로 이동합니다.

    2. 목록에서 검색 그룹으로 열을 이동하려면 목록에서 열을 선택하고 Group By 목록으로 드래그합니다.

    3. 검색 그룹에서 열을 제거하려면 그룹별 목록에서 열을 선택하고 왼쪽 화살표를 클릭합니다.

    4. 열 그룹화의 순서를 변경하려면 위와 아래 화살표를 사용하거나 열을 제자리에 끌어 놓습니다.

  4. 열 레이아웃을 수정합니다.

    1. 사용자 지정 레이아웃에 열을 추가하려면 사용 가능한 열 목록에서 열을 선택하고 오른쪽 화살표를 클릭하여 열을 열 목록으로 이동합니다.

    2. Group By 목록에서 사용자 지정 레이아웃으로 열을 이동하려면 Group By 목록에서 열을 선택하고 열 목록으로 드래그합니다.

    3. 사용자 지정 레이아웃에서 열을 제거하려면 목록에서 열을 선택하고 왼쪽 화살표를 클릭합니다.

    4. 열의 순서를 변경하려면 위와 아래 화살표를 사용하거나 열을 제자리에 끌어 놓습니다.

  5. 이름 필드에 사용자 지정 열 레이아웃의 이름을 입력합니다.

  6. 열 레이아웃 저장을 클릭합니다.

사용자 지정 열 레이아웃 삭제

사용자가 만든 기존 열 레이아웃을 삭제할 수 있습니다.

  1. 로그 활동 또는 네트워크 활동 탭에서 검색 >Edit 검색을 클릭합니다.

  2. 열 정의 창에서 디스플레이 목록에서 사용자가 만든 기존 열 레이아웃을 선택합니다.

  3. 열 레이아웃 삭제를 클릭합니다.

동적 검색을 통한 쿼리

동적 검색 API를 사용하여 COUNT, SUM, MAX, AVG와 같은 집계된 기능을 포함하는 데이터를 검색합니다. 예를 들어, COUNT_PER 기능을 사용하여 자산 호스트 이름당 자산 ID 수를 계산할 수 있습니다.

다음 데이터 소스에 대한 쿼리를 작성할 수 있습니다.

  • 자산

  • 범죄

  • 불닌스탄스

간단한 필드로 기능하지 않은 필드를 추가하거나, 함수가 복잡한 필드로 있는 필드를 추가하여 열을 생성할 수 있습니다. 또한 조건을 추가하여 데이터를 필터링할 수도 있습니다.

  1. 관리자 탭을 클릭합니다.

  2. 동적 검색 섹션에서 동적 검색을 클릭합니다.

  3. 데이터 소스를 선택합니다.

  4. 사용 가능한 열사용 가능한 필터 섹션을 완료합니다.

  5. 쿼리에 이름, 설명, 검색 범위, 유지 기간 또는 검색 유형을 추가하려면 하나 이상의 추가 검색 속성을 활성화합니다.

  6. JSON 스크립트를 복사하려면 JSON 생성을 클릭합니다.

    결과는 쿼리 섹션에서 생성한 JSON에 표시됩니다. 클립보드로 복사를 클릭하여 JSON 스크립트를 복사합니다.

  7. 선택을 재설정하려면 재설정을 클릭합니다.

  8. 실행 쿼리를 클릭합니다.

쿼리 결과는 일반 텍스트 또는 링크 형식으로 나열됩니다. 예를 들어 , ASSET_ID 필드를 쿼리하기로 선택한 경우 결과를 클릭하여 각 자산 ID에 대한 자산 요약 창을 볼 수 있습니다.

검색 기준 저장

구성된 검색 기준을 저장하여 기준을 재사용하고 보고서와 같은 다른 구성 요소에 저장된 검색 기준을 사용할 수 있습니다. 저장된 검색 기준은 만료되지 않습니다.

검색의 시간 범위를 지정하는 경우, 검색 이름은 지정된 시간 범위와 함께 추가됩니다. 예를 들어, 마지막 5분의 시간 범위를 가진 소스별 익스플로잇(Exploits)이라는 저장된 검색은 소스별 익스플로잇(Exploits by Source) - 마지막 5분이 됩니다.

이전에 저장된 검색에서 열 세트를 변경한 다음 같은 이름을 사용하여 검색 기준을 저장하면 타임 시리즈 차트에 대한 이전 누적이 손실됩니다.

  1. 다음 옵션 중 하나를 선택하십시오.

    • 로그 활동 탭을 클릭합니다.

    • 네트워크 활동 탭을 클릭합니다.

  2. 로그 활동 탭을 클릭합니다.

  3. 검색을 수행합니다.

  4. 기준 저장을 클릭합니다.

  5. 매개 변수에 대한 값을 입력합니다.

    옵션

    설명

    매개 변수

    설명

    검색 이름

    이 검색 기준에 할당할 고유한 이름을 입력합니다.

    그룹에 검색 할당

    저장된 검색을 할당하려는 그룹의 확인란을 선택합니다. 그룹을 선택하지 않으면 이 저장된 검색은 기본적으로 다른 그룹에 할당됩니다. 자세한 내용은 검색 그룹 관리를 참조하십시오.

    그룹 관리

    그룹 관리를 클릭하여 검색 그룹을 관리합니다. 자세한 내용은 검색 그룹 관리를 참조하십시오.

    시간 시간 옵션:

    다음 옵션 중 하나를 선택하십시오.

    • 실시간(스트리밍) - 스트리밍 모드에서 검색 결과를 필터링하려면 이 옵션을 선택합니다.

    • 마지막 간격(자동 새로 고침) 자동 새로 고침 모드에 있는 동안 검색 결과를 필터링하려면 이 옵션을 선택합니다. 로그 활동 네트워크 활동 새로 고침은 1분 간격으로 새로 고쳐 가장 최근의 정보를 표시합니다.

    • 마지막 간격(자동 새로 고침) 자동 새로 고침 모드에 있는 동안 검색 결과를 필터링하려면 이 옵션을 선택합니다. 로그 활동 네트워크 활동 새로 고침은 1분 간격으로 새로 고쳐 가장 최근의 정보를 표시합니다.

    • 최근 이 옵션을 선택하고 이 목록 상자에서 필터링할 시간 범위를 선택합니다.

    • 특정 간격- 이 옵션을 선택하고 일정에서 필터링할 날짜와 시간 범위를 선택합니다.

    빠른 검색에 포함

    도구 모음의 빠른 검색 목록 상자에 이 검색 을 포함하려면 이 확인란을 선택합니다.

    대시보드에 포함

    대시보드 탭에서 저장된 검색 데이터를 포함하려면 이 확인란을 선택합니다. 대시보드 탭에 대한 자세한 내용은 대시보드 관리를 참조하십시오.

    참고:

    이 매개변수는 검색이 그룹화된 경우에만 표시됩니다.

    기본값으로 설정

    이 확인란을 선택하여 이 검색을 기본 검색으로 설정합니다.

    모든 사용자와 공유

    이 확인란을 선택하여 이러한 검색 요구 사항을 모든 사용자와 공유합니다.

  6. [확인]을 클릭합니다.

예약된 검색

예약된 검색 옵션을 사용하여 검색 일정을 예약하고 결과를 확인합니다.

특정 낮이나 밤에 실행되는 검색을 예약할 수 있습니다.

밤에 실행할 검색 일정을 예약하면 아침에 조사할 수 있습니다. 보고서와 달리 검색 결과를 그룹화하고 더 자세히 조사할 수 있습니다. 네트워크 그룹에서 실패한 로그인 수를 검색할 수 있습니다. 결과가 일반적으로 10이고 검색 결과가 100인 경우 검색 결과를 그룹화하여 더 쉽게 조사할 수 있습니다. 가장 실패한 로그인이 있는 사용자를 보려면 사용자 이름으로 그룹화할 수 있습니다. 더 자세히 조사할 수 있습니다.

보고서 탭에서 이벤트 또는 플로우에 대한 검색을 예약할 수 있습니다. 예약을 위해 이전에 저장된 검색 기준 집합을 선택해야 합니다.

  1. 보고서 만들기

    보고서 마법사 창에 다음 정보를 지정합니다.

    • 차트 유형은 이벤트/로그 또는 플로우입니다.

    • 이 보고서는 저장된 검색을 기반으로합니다.

    • 공격을 생성합니다.

      개별 공격 옵션을 만들거나 기존 공격 옵션에 결과를 추가할 수 있습니다.

      수동 검색도 생성할 수 있습니다.

  2. 검색 결과 보기

공격 탭에서 예약된 검색 결과를 볼 수 있습니다 .

  • 예정된 검색 범죄는 공격 유형 열로 식별됩니다.

    개별 공격을 만들면 보고서가 실행될 때마다 공격이 발생합니다. 저장된 검색 결과를 기존 공격에 추가하는 경우 보고서가 실행되는 첫 번째로 공격이 생성됩니다. 후속 보고서는 이 공격에 추가됩니다. 결과가 반환되지 않으면 시스템이 공격을 추가하거나 생성하지 않습니다.

  • 공격 요약 창에서 가장 최근의 검색 결과를 보려면 공격 목록에서 예약된 검색 공격을 두 번 클릭합니다. 예약된 모든 검색 실행 목록을 보려면 마지막 5개 검색 결과 창에서 검색 결과를 클릭합니다.

예약된 검색 공격을 사용자에게 할당할 수 있습니다.

빠른 필터 검색 옵션

간단한 단어나 문구를 사용하는 텍스트 검색 문자열을 입력하여 이벤트 및 플로우 페이로드를 검색합니다.

빠른 필터는 특정 데이터에 대한 이벤트 또는 플로우 페이로드를 검색하는 데 사용하는 가장 빠른 방법 중 하나입니다. 예를 들어, 빠른 필터를 사용하여 다음과 같은 정보를 찾을 수 있습니다.

  • 지난 주에 특정 주소 범위에 할당된 모든 방화벽 디바이스

  • 지난 5일 간 Gmail 계정에서 보낸 일련의 PDF 파일

  • 하이픈이 있는 사용자 이름과 정확히 일치하는 2개월 간의 모든 기록

  • .ca로 끝나는 웹사이트 주소 목록

다음 위치에서 검색을 필터링할 수 있습니다.

  • 로그 활동 도구 모음 및 네트워크 활동 도구 모음 -- 검색 도구 모음의 목록 상자에서 빠른 필터를 선택하여 텍스트 검색 문자열을 입력합니다. 빠른 필터 아이콘을 클릭하여 빠른 필터를 이벤트 또는 플로우 목록에 적용합니다.

  • 필터 추가 대화 상자 - 로그 활동 또는 네트워크 활동 탭에서 필터 추가 아이콘을 클릭합니다. 빠른 필터를 필터 매개 변수로 선택하고 텍스트 검색 문자열을 입력합니다.

  • 플로우 검색 페이지 -- 필터 목록에 빠른 필터를 추가합니다.

참고:

참고: 페이로드 인덱스 유지 설정 외부에서 시간 프레임을 사용하는 빠른 필터 검색은 느리고 리소스 집약적인 시스템 응답을 트리거할 수 있습니다. 예를 들어, 페이로드 인덱스 보존이 1일로 설정되어 있고 검색에서 마지막 30시간 동안 시간 프레임을 사용하는 경우.

실시간(스트리밍) 또는 마지막 간격 모드에서 플로우를 볼 때 빠른 필터 필드에 간단한 단어나 구문만 입력할 수 있습니다. 시간 범위에서 이벤트 또는 플로우를 볼 때 다음 구문 지침을 따르십시오.

표 2: 빠른 필터 구문 지침

설명

예제

페이로드에서 찾을 것으로 예상되는 일반 텍스트를 포함합니다.

Firewall

큰따옴표에 여러 용어를 포함하여 정확한 구문을 검색합니다.

“Firewall deny"

단일 및 여러 문자 와일드카드를 포함합니다. 검색 용어는 와일드카드로 시작할 수 없습니다.

F?rewall 또는 F??ew*

AND, OR 및 NOT와 같은 논리적 표현식을 가진 용어 그룹을 구성합니다. 검색 용어가 아닌 논리적 표현식으로 인식하려면 구문과 연산자는 대문자여야 합니다.

(%PIX* AND ("Accessed URL" OR "Deny udp src") AND 10.100.100.*)

NOT 논리적 표현식을 포함하는 검색 기준을 생성할 때, 하나 이상의 다른 논리적 표현식 유형을 포함해야 하며 그렇지 않으면 결과가 반환되지 않습니다.

(%PIX* AND ("Accessed URL" OR "Deny udp src") NOT 10.100.100.*)

백슬래시로 다음 문자를 선행하여 문자가 검색 용어의 일부임을 나타냅니다. + - && || ! () {} [] ^ " ~ * ? : \.

"%PIX\-5\-304001"

제한

빠른 필터 검색은 원시 이벤트 또는 플로우 로그 데이터에서 작동하며 필드를 구별하지 않습니다. 예를 들어, 빠른 필터 검색은 결과를 좁힐 수 있는 용어를 포함하지 않는 한 소스 IP 주소와 대상 IP 주소 모두에 대한 일치 항목을 반환합니다.

검색 용어는 페이로드 단어 또는 구문의 첫 번째 문자에서 순차적으로 일치합니다. 검색 용어 user 는 및 user_2, 을(를) 일치 user_1 시키지만 다음 구문과 일치하지 않습니다. ruser, myuser또는 anyuser.

빠른 필터 검색은 영어 로케일을 사용합니다. 로케일 은 언어 또는 지형을 식별하고 수집, 케이스 변환, 문자 분류, 메시지 언어, 날짜 및 시간 표현, 숫자 표현과 같은 형식 지정 규칙을 결정하는 설정입니다.

로케일은 운영 체제에 의해 설정됩니다. 운영 체제 로케일 설정을 재정의하도록 JSA 를 구성할 수 있습니다. 예를 들어 로케일을 영어로 설정할 수 있으며 JSA 콘솔Italiano(Italiano)로 설정할 수 있습니다.

빠른 필터 검색 쿼리에서 유니코드 문자를 사용하는 경우 예기치 않은 검색 결과가 반환될 수 있습니다.

영어가 아닌 로케일을 선택하면 JSA 에서 고급 검색 옵션을 사용하여 이벤트를 검색하고 데이터를 페이로드할 수 있습니다.

빠른 필터 검색 및 페이로드 토큰의 작동 방식

페이로드에 있는 텍스트는 단어, 구문, 기호 또는 기타 요소로 분할됩니다. 이러한 토큰은 공간과 구두점으로 구분됩니다. 토큰이 항상 사용자 지정 검색 용어와 일치하지 않아 생성된 토큰과 일치하지 않을 때 일부 검색 용어를 찾을 수 없습니다. 구분 기호 문자는 폐기되지만 다음 예외와 같은 예외가 있습니다.

  • 공백을 따르지 않는 기간은 토큰의 일부로 포함됩니다.

    예를 들어, 1.2.3.4:56 은 호스트 토큰 1.2.3.4 및 포트 토큰 56으로 토큰화됩니다.

  • 단어가 숫자를 포함하지 않는 한 단어는 하이픈으로 분할되며, 이 경우 토큰은 분할되지 않고 숫자와 하이픈은 하나의 토큰으로 유지됩니다.

  • 인터넷 도메인 이름과 이메일 주소는 단일 토큰으로 보존됩니다.

    1.2.3.4/home/www는 하나의 토큰으로 토큰으로 토큰화되며 URL은 분리되지 않습니다.

    1.2.3.7:/calling1/www2/scp4/path5/fff는 호스트 1.2.3.7로 토큰화되고 나머지는 하나의 토큰입니다 /calling1/www2/scp4/path5/fff

두 개 이상의 밑단을 포함하는 파일 이름과 URL 이름은 기간(.) 전에 분할됩니다.

파일 이름의 여러 밑밑면 예:

hurricane_katrina_ladm118.jpg를 검색 용어로 사용하면 다음 토큰으로 분할됩니다.

  • 허리케인

  • katrina_ladm118.jpg

검색 용어 주위에 큰따옴표로 표시하여 전체 검색 용어에 대한 페이로드를 검색합니다: "hurricane_katrina_ladm118.jpg"

상대 파일 경로의 여러 밑밑면 예:

thumb.ladm1180830/thumb.ladm11808301806.hurricane_katrina_ladm118.jpg는 다음 토큰으로 분할됩니다.

  • thumb.ladm1180830/thumb.ladm11808301806.hurricane

  • katrina_ladm118.jpg

한 부분과 하나의 전체 토큰으로 구성된 hurricane_katrina_ladm118.jpg를 검색하려면 쿼리 용어 *hurricane_katrina_ladm118.jpg 앞에 별표 를 배치합니다.

고급 검색 옵션

고급 검색 필드를 사용하여 원하는 필드와 쿼리를 실행하도록 그룹화할 방법을 지정하는 AQL(Ariel 쿼리 언어)을 입력합니다.

참고:

AQL 쿼리를 입력할 때 문자열 비교에 단일 따옴표를 사용하고 속성 값 비교에 큰따옴표를 사용합니다.

고급 검색 필드에는 자동 완료 및 구문 강조 표시가 있습니다.

자동 완료 및 구문 강조 표시를 사용하여 쿼리를 생성할 수 있습니다. 지원되는 웹 브라우저에 대한 정보는 지원되는 웹 브라우저를 참조하십시오.

참고:

로그 활동 탭에서 빠른 필터를 사용하는 경우 고급 검색을 실행하기 전에 브라우저 창을 새로 고쳐야 합니다.

고급 검색 액세스

네트워크 활동 로그 활동 탭에 있는 검색 도구 모음에서 고급 검색 옵션에 액세스하여 AQL 쿼리를 입력합니다.

로그 활동 탭에 있는 검색 도구 모음에서 고급 검색 옵션에 액세스하여 AQL 쿼리를 입력합니다.

검색 도구 모음의 목록 상자에서 고급 검색 을 선택합니다.

다음 단계를 따라 고급 검색 필드를 확장합니다.

  1. 필드 오른쪽에 있는 확장 아이콘을 드래그합니다.

  2. Shift + 을(를) 누르면 다음 줄로 이동합니다.

  3. Enter.

검색 결과에서 모든 값을 마우스 오른쪽 단추로 클릭하고 해당 값을 필터링할 수 있습니다.

검색 결과에 있는 모든 행을 두 번 클릭하여 자세한 내용을 확인합니다.

AQL 검색을 포함한 모든 검색은 감사 로그에 포함됩니다.

AQL 검색 문자열 예시

다음 표는 AQL 검색 문자열의 예를 제공합니다.

표 3: AQL 검색 문자열 예시

설명

예제

이벤트에서 기본 열을 선택합니다.

플로우에서 기본 열을 선택합니다.

SELECT * FROM events

SELECT * FROM flows

이벤트에서 기본 열을 선택합니다.

SELECT * FROM events

특정 열을 선택합니다.

SELECT sourceip, destinationip FROM events

특정 열을 선택하고 결과를 주문합니다.

SELECT sourceip, destinationip FROM events ORDER BY destinationip

어그리게이션 검색 쿼리를 실행합니다.

SELECT sourceip, SUM(magnitude) AS magsum FROM events GROUP BY sourceip

SELECT 절에서 기능 호출을 실행합니다.

SELECT CATEGORYNAME(category) AS namedCategory FROM events

WHERE 절을 사용하여 검색 결과를 필터링합니다.

SELECT CATEGORYNAME(category) AS namedCategory, magnitude FROM events WHERE magnitude > 1

규칙 이름의 규칙 이름 또는 부분 텍스트를 기반으로 특정 규칙을 트리거한 이벤트를 검색합니다.

SELECT LOGSOURCENAME(logsourceid), * from events where RULENAME(creeventlist) ILIKE '%suspicious%'

큰따옴표로 필드 이름을 묶어 산술 문자나 공백과 같은 특수 문자를 포함하는 참조 필드 이름.

SELECT sourceip, destinationip, "+field/name+" FROM events WHERE "+field/name+" LIKE '%test%'

다음 표는 X-Force에 대한 AQL 검색 문자열의 예를 제공합니다.

표 4: X-Force를 위한 AQL 검색 문자열 예

설명

예제

신뢰도 값으로 X-Force 범주에 대해 IP 주소를 확인합니다.

select * from events where XFORCE_IP_CONFIDENCE('Spam',sourceip)>3

URL과 연결된 X-Force URL 범주를 검색합니다.

select url, XFORCE_URL_CATEGORY(url) as myCategories from events where XFORCE_URL_CATEGORY(url) IS NOT NULL

IP와 연결된 X-Force IP 범주를 검색합니다.

select sourceip, XFORCE_IP_CATEGORY(sourceip) as IPcategories from events where XFORCE_IP_CATEGORY(sourceip) IS NOT NULL

기능, 검색 필드 및 운영자에 대한 자세한 내용은 Juniper 보안 분석 Ariel 쿼리 언어 가이드를 참조하십시오.

AQL 검색 문자열 예시

AQL( Ariel 쿼리 언어)을 사용하여 Ariel 데이터베이스의 이벤트, 플로우 및 시마크 테이블에서 특정 필드를 검색합니다.

참고:

AQL 쿼리를 작성할 때 문서에서 단일 따옴표가 포함된 텍스트를 복사하여 JSA에 붙여넣는 경우 쿼리는 구문 분석되지 않습니다. 이를 해결하기 위해 텍스트를 JSA 에 붙여 넣고 단일 따옴표로 다시 입력할 수 있습니다.

계정 사용 보고

사용자 커뮤니티에 따라 위협 및 사용 지표가 다를 수 있습니다.

참조 데이터를 사용하여 여러 사용자 속성(예: 부서, 위치 또는 관리자)에 대해 보고합니다. 외부 참조 데이터를 사용할 수 있습니다.

다음 쿼리는 로그인 이벤트에서 사용자에 대한 메타데이터 정보를 반환합니다.

여러 계정 식별자에 대한 인사이트

이 예에서 개별 사용자는 네트워크 전반에 걸쳐 여러 개의 계정을 보유합니다. 조직은 사용자 활동에 대한 단일 뷰를 필요로 합니다.

참조 데이터를 사용하여 로컬 사용자 ID를 글로벌 ID로 매핑합니다.

다음 쿼리에서는 의심스러운 것으로 플래그가 지정된 이벤트에 대해 글로벌 ID가 사용하는 사용자 계정을 반환합니다.

다음 쿼리는 글로벌 ID로 완료된 활동을 보여줍니다.

의심스러운 장기 비콘 식별

많은 위협이 명령과 제어를 사용하여 며칠, 몇 주, 몇 달에 걸쳐 주기적으로 통신합니다.

고급 검색은 시간이 지남에 따라 연결 패턴을 식별할 수 있습니다. 예를 들어, IP 주소 간 일관적이고 짧고 낮은 볼륨, 일/주/월 연결 수 또는 IP 주소 및 지리적 위치를 쿼리할 수 있습니다.

다음 쿼리는 시간당 비콘의 잠재적 인스턴스를 감지합니다.

팁:

이 쿼리를 수정하여 프록시 로그 및 기타 이벤트 유형에서 작동할 수 있습니다.

다음 쿼리는 일상적인 비콘의 잠재적 인스턴스를 감지합니다.

다음 쿼리는 소스 IP와 대상 IP 간의 일일 비콘을 감지합니다. 비콘 시간은 매일 같은 시간에 있지 않습니다. 비콘 간 시간이 짧습니다.

다음 쿼리는 프록시 로그 이벤트를 사용하여 도메인에 대한 일일 비콘을 감지합니다. 비콘 시간은 매일 같은 시간에 있지 않습니다. 비콘 간 시간이 짧습니다.

url_domain 속성은 프록시 로그의 사용자 지정 속성입니다.

외부 위협 인텔리전스

외부 위협 인텔리전스 데이터와 상관관계가 있는 사용 및 보안 데이터는 중요한 위협 지표를 제공할 수 있습니다.

고급 검색은 다른 보안 이벤트 및 사용 데이터와 외부 위협 인텔리전스 지표를 교차 참조할 수 있습니다.

이 쿼리는 며칠, 몇 주 또는 몇 달에 걸쳐 외부 위협 데이터를 프로파일로 작성하여 자산 및 계정의 위험 수준을 식별하고 우선 순위를 지정하는 방법을 보여줍니다.

자산 인텔리전스 및 구성

위협 및 사용 지표는 자산 유형, 운영 체제, 취약점 태세, 서버 유형, 분류 및 기타 매개 변수에 따라 다릅니다.

이 쿼리에서 고급 검색 및 자산 모델은 위치에 대한 운영 인사이트를 제공합니다.

Assetproperty 기능은 자산에서 속성 값을 검색하여 결과에 자산 데이터를 포함할 수 있습니다.

다음 쿼리는 자산 모델에서 고급 검색 및 사용자 ID 추적을 사용할 수 있는 방법을 보여줍니다.

AssetUser 기능은 자산 데이터베이스에서 사용자 이름을 검색합니다.

네트워크 조회 기능

네트워크 조회 기능을 사용하여 IP 주소와 연결된 네트워크 이름을 검색할 수 있습니다.

규칙 조회 기능

규칙 조회 기능을 사용하여 ID로 규칙 이름을 검색할 수 있습니다.

다음 쿼리는 특정 규칙 이름을 트리거한 이벤트를 반환합니다.

전체 텍스트 검색

텍스트 검색 연산자를 사용하여 고급 검색 옵션을 사용하여 전체 텍스트 검색을 할 수 있습니다.

이 예에서는 페이로드에서 "방화벽"이라는 단어를 포함하는 여러 이벤트가 있습니다. 로그 활동 탭에서 빠른 필터 옵션과 고급 검색 옵션을 사용하여 이러한 이벤트를 검색할 수 있습니다.

  • 빠른 필터 옵션을 사용하려면 빠른 필터 상자에 'firewall' 다음 텍스트를 입력합니다.

  • 고급 검색 옵션을 사용하려면 고급 검색 상자에 다음 쿼리를 입력합니다.

사용자 지정 속성

고급 검색 옵션을 사용할 때 이벤트 및 플로우에 대한 사용자 지정 속성에 액세스할 수 있습니다.

다음 쿼리는 사용자 지정 속성 "MyWebsiteUrl"을 사용하여 특정 웹 URL별로 이벤트를 정렬합니다.

"MyWebsiteUrl"을 선택합니다. * 이벤트 순서에서 "MyWebsiteUrl"

저장된 검색을 AQL 문자열로 변환

저장된 검색을 AQL 문자열로 변환하고 수정하여 원하는 데이터를 빠르게 찾을 수 있도록 자체 검색을 생성합니다. 이제 검색 기준을 입력하는 것보다 더 빠르게 검색을 생성할 수 있습니다. 향후 사용에 대한 검색을 저장할 수도 있습니다.

  1. 로그 활동 또는 네트워크 활동 탭을 클릭합니다.

  2. 검색 목록에서 새로운 검색 또는 검색 편집을 선택합니다.

  3. 이전에 저장된 검색을 선택합니다.

  4. AQL 표시를 클릭합니다.

  5. AQL 창에서 클립보드로 복사를 클릭합니다.

  6. 검색 모드 섹션에서 고급 검색을 클릭합니다.

  7. AQL 문자열 텍스트를 고급 검색 텍스트 상자에 붙여 넣습니다.

  8. 찾을 데이터를 포함하도록 문자열을 수정합니다.

  9. 검색을 클릭하여 결과를 표시합니다.

관련 문서