AQL 搜尋字串範例
使用「 Ariel 查詢語言 (AQL)」,可從 Ariel 資料庫中的事件、流程及 simarc 表格擷取特定欄位。
報告帳戶使用情形
不同的使用者社群可以有不同的威脅及使用指標。
使用參照資料來報告數個使用者內容,例如部門、位置或管理員。 您可以使用外部參照資料。
下列查詢會從使用者的登入事件傳回使用者的相關 meta 資料資訊。
SELECT
REFERENCETABLE('user_data','FullName',username) as 'Full Name',
REFERENCETABLE('user_data','Location',username) as 'Location',
REFERENCETABLE('user_data','Manager',username) as 'Manager',
DISTINCTCOUNT(username) as 'Userid Count',
DISTINCTCOUNT(sourceip) as 'Source IP Count',
COUNT(*) as 'Event Count'
FROM events
WHERE qidname(qid) ILIKE '%logon%'
GROUP BY 'Full Name', 'Location', 'Manager'
LAST 1 days
跨多個帳戶 ID 的見解
在此範例中,個別使用者在網路上具有多個帳戶。 組織需要使用者活動的單一視圖。
使用參照資料將本端使用者 ID 對映至廣域 ID。
下列查詢會傳回廣域 ID 在標示為可疑的事件上所使用的使用者帳戶。
SELECT
REFERENCEMAP('GlobalID Mapping',username) as 'Global ID',
REFERENCETABLE('user_data','FullName', 'Global ID') as 'Full Name',
DISTINCTCOUNT(username),
COUNT(*) as 'Event count'
FROM events
WHERE RULENAME(creEventlist) ILIKE '%suspicious%'
GROUP BY 'Global ID'
LAST 1 days
下列查詢顯示廣域 ID 所完成的活動。
SELECT
QIDNAME(qid) as 'Event name',
starttime as 'Time',
sourceip as 'Source IP', destinationip as 'Destination IP',
username as 'Event Username',
REFERENCEMAP('GlobalID_Mapping', username)as 'Global User'
FROM events
WHERE 'Global User' = 'John Doe'
LAST 1 days
識別可疑的長期引標
許多威脅使用指令及控制,在數天、數週及數月內定期進行通訊。
進階搜尋可以識別一段時間內的連線型樣。 例如,您可以查詢 IP 位址或 IP 位址與地理位置之間的一致、短、低磁區、每日/每週/每月連線數。
下列查詢會偵測每小時引標的潛在實例。
SELECT sourceip, destinationip,
DISTINCTCOUNT(DATEFORMAT(starttime,'HH')) as 'different hours',
COUNT(*) as 'total flows'
FROM flows
WHERE flowdirection = 'L2R'
GROUP BY sourceip, destinationip
HAVING "different hours" > 20
AND "total flows" < 25
LAST 24 hours
下列查詢會偵測每日引標的潛在實例。
SELECT sourceip, destinationip,
DISTINCTCOUNT(DATEFORMAT(starttime,'dd'))as 'different days',
COUNT(*) as 'total flows'
FROM flows
WHERE flowdirection='L2R'
GROUP BY sourceip, destinationip
HAVING "different days" > 4
AND "total flows" < 14
LAST 7 days
下列查詢會偵測來源 IP 與目的地 IP 之間的每日引標。 引標時間不是每天同一時間。 信標之間的時間間隔很短。
SELECT
sourceip,
LONG(DATEFORMAT(starttime,'hh')) as hourofday,
(AVG( hourofday*hourofday) - (AVG(hourofday)^2))as variance,
COUNT(*) as 'total flows'
FROM flows
GROUP BY sourceip, destinationip
HAVING variance < 01 and "total flows" < 10
LAST 7 days
下列查詢會使用 Proxy 日誌事件來偵測網域的每日引標。 引標時間不是每天同一時間。 信標之間的時間間隔很短。
SELECT sourceip,
LONG(DATEFORMAT(starttime,'hh')) as hourofday,
(AVG(hourofday*hourofday) - (AVG(hourofday)^2)) as variance,
COUNT(*) as 'total events'
FROM events
WHERE LOGSOURCEGROUPNAME(devicegrouplist) ILIKE '%proxy%'
GROUP BY url_domain
HAVING variance < 0.1 and "total events" < 10
LAST 7 days
url_domain 內容是來自 Proxy 日誌的自訂內容。
外部威脅情報
與外部威脅情報資料相關聯的使用情形和安全資料可以提供重要威脅指標。
進階搜尋可以與其他安全事件及使用情形資料交互參照外部威脅情報指示器。
此查詢顯示如何側寫數天、數週或數月的外部威脅資料,以識別資產及帳戶的風險層次並設定其優先順序。
Select
REFERENCETABLE('ip_threat_data','Category',destinationip) as 'Category',
REFERENCETABLE('ip_threat_data','Rating', destinationip) as 'Threat Rating',
DISTINCTCOUNT(sourceip) as 'Source IP Count',
DISTINCTCOUNT(destinationip) as 'Destination IP Count'
FROM events
GROUP BY 'Category', 'Threat Rating'
LAST 1 days
資產情報與配置
威脅及使用指示器會因資產類型、作業系統、漏洞狀態、伺服器類型、分類及其他參數而有所不同。
在此查詢中,進階搜尋及資產模型提供對位置的作業見解。
Assetproperty 函數會從資產擷取內容值,這可讓您在結果中包括資產資料。
SELECT
ASSETPROPERTY('Location',sourceip) as location,
COUNT(*) as 'event count'
FROM events
GROUP BY location
LAST 1 days
下列查詢顯示如何在資產模型中使用進階搜尋及使用者身分追蹤。
AssetUser 函數會從資產資料庫擷取使用者名稱。
SELECT
APPLICATIONNAME(applicationid) as App,
ASSETUSER(sourceip, now()) as srcAssetUser,
COUNT(*) as 'Total Flows'
FROM flows
WHERE srcAssetUser IS NOT NULL
GROUP BY App, srcAssetUser
ORDER BY "Total Flows" DESC
LAST 3 HOURS
網路 LOOKUP 函數
您可以使用 Network LOOKUP 函數來擷取與 IP 位址相關聯的網路名稱。
SELECT NETWORKNAME(sourceip) as srcnet,
NETWORKNAME(destinationip) as dstnet
FROM events
規則 LOOKUP 函數
您可以使用 Rule LOOKUP 函數,依規則 ID 來擷取規則的名稱。
SELECT RULENAME(123) FROM events
下列查詢會傳回觸發特定規則名稱的事件。
SELECT * FROM events
WHERE RULENAME(creEventList) ILIKE '%my rule name%'
完整文字搜尋
您可以使用 TEXT SEARCH 運算子,透過 進階搜尋 選項來執行全文搜尋。
在此範例中,有一些事件在有效負載中包含單字 "firewall"。 您可以使用 日誌活動 標籤上的 快速過濾器 選項及 進階搜尋 選項來搜尋這些事件。
- 若要使用 快速過濾器 選項,請在 快速過濾器 方框中鍵入下列文字: 'firewall'
- 若要使用 進階搜尋 選項,請在 進階搜尋 方框中鍵入下列查詢:
SELECT QIDNAME(qid) AS EventName, * from events where TEXT SEARCH 'firewall'
自訂內容
當您使用 進階搜尋 選項時,可以存取事件及流程的自訂內容。
SELECT "MyWebsiteUrl", * FROM events ORDER BY "MyWebsiteUrl"