AQL 搜尋字串範例

使用「 Ariel 查詢語言 (AQL)」，可從 Ariel 資料庫中的事件、流程及 simarc 表格擷取特定欄位。

附註: 當您建置 AQL 查詢時，如果您從任何文件複製包含單引號的文字，並將文字貼至 IBM® QRadar®，則您的查詢將不會剖析。作為暫行解決方法，您可以將文字貼至 QRadar 並重新輸入單引號，也可以從 IBM Knowledge Center 複製並貼上文字。

報告帳戶使用情形

不同的使用者社群可以有不同的威脅及使用指標。

使用參照資料來報告數個使用者內容，例如部門、位置或管理員。您可以使用外部參照資料。

下列查詢會從使用者的登入事件傳回使用者的相關 meta 資料資訊。

SELECT
REFERENCETABLE('user_data','FullName',username) as 'Full Name',
REFERENCETABLE('user_data','Location',username) as 'Location',
REFERENCETABLE('user_data','Manager',username) as 'Manager',
DISTINCTCOUNT(username) as 'Userid Count',
DISTINCTCOUNT(sourceip) as 'Source IP Count',
COUNT(*) as 'Event Count'
FROM events
WHERE qidname(qid) ILIKE '%logon%'
GROUP BY 'Full Name', 'Location', 'Manager'
LAST 1 days

跨多個帳戶 ID 的見解

在此範例中，個別使用者在網路上具有多個帳戶。組織需要使用者活動的單一視圖。

使用參照資料將本端使用者 ID 對映至廣域 ID。

下列查詢會傳回廣域 ID 在標示為可疑的事件上所使用的使用者帳戶。

SELECT
REFERENCEMAP('GlobalID Mapping',username) as 'Global ID', 
REFERENCETABLE('user_data','FullName', 'Global ID') as 'Full Name',
DISTINCTCOUNT(username),
COUNT(*) as 'Event count'
FROM events
WHERE RULENAME(creEventlist) ILIKE '%suspicious%'
GROUP BY 'Global ID'
LAST 1 days

下列查詢顯示廣域 ID 所完成的活動。

SELECT
QIDNAME(qid) as 'Event name', 
starttime as 'Time',
sourceip as 'Source IP', destinationip as 'Destination IP',
username as 'Event Username',
REFERENCEMAP('GlobalID_Mapping', username)as 'Global User'
FROM events
WHERE 'Global User' = 'John Doe'
LAST 1 days

識別可疑的長期引標

許多威脅使用指令及控制，在數天、數週及數月內定期進行通訊。

進階搜尋可以識別一段時間內的連線型樣。例如，您可以查詢 IP 位址或 IP 位址與地理位置之間的一致、短、低磁區、每日/每週/每月連線數。

下列查詢會偵測每小時引標的潛在實例。

SELECT sourceip, destinationip,
DISTINCTCOUNT(DATEFORMAT(starttime,'HH')) as 'different hours',
COUNT(*) as 'total flows'
FROM flows
WHERE flowdirection = 'L2R'
GROUP BY sourceip, destinationip
HAVING "different hours" > 20
AND "total flows" < 25
LAST 24 hours

提示: 您可以修改此查詢，以使用 Proxy 日誌及其他事件類型。

下列查詢會偵測每日引標的潛在實例。

SELECT sourceip, destinationip,
DISTINCTCOUNT(DATEFORMAT(starttime,'dd'))as 'different days',
COUNT(*) as 'total flows'
FROM flows
WHERE flowdirection='L2R'
GROUP BY sourceip, destinationip
HAVING "different days" > 4
AND "total flows" < 14
LAST 7 days

下列查詢會偵測來源 IP 與目的地 IP 之間的每日引標。引標時間不是每天同一時間。信標之間的時間間隔很短。

SELECT
sourceip,
LONG(DATEFORMAT(starttime,'hh')) as hourofday,
(AVG( hourofday*hourofday) - (AVG(hourofday)^2))as variance,
COUNT(*) as 'total flows'
FROM flows
GROUP BY sourceip, destinationip
HAVING variance < 01 and "total flows" < 10
LAST 7 days

下列查詢會使用 Proxy 日誌事件來偵測網域的每日引標。引標時間不是每天同一時間。信標之間的時間間隔很短。

SELECT sourceip,
LONG(DATEFORMAT(starttime,'hh')) as hourofday,
(AVG(hourofday*hourofday) - (AVG(hourofday)^2)) as variance,
COUNT(*) as 'total events'
FROM events
WHERE LOGSOURCEGROUPNAME(devicegrouplist) ILIKE '%proxy%'
GROUP BY url_domain
HAVING variance < 0.1 and "total events" < 10
LAST 7 days

url_domain 內容是來自 Proxy 日誌的自訂內容。

外部威脅情報

與外部威脅情報資料相關聯的使用情形和安全資料可以提供重要威脅指標。

進階搜尋可以與其他安全事件及使用情形資料交互參照外部威脅情報指示器。

此查詢顯示如何側寫數天、數週或數月的外部威脅資料，以識別資產及帳戶的風險層次並設定其優先順序。

Select
REFERENCETABLE('ip_threat_data','Category',destinationip) as 'Category',
REFERENCETABLE('ip_threat_data','Rating', destinationip) as 'Threat Rating',
DISTINCTCOUNT(sourceip) as 'Source IP Count',
DISTINCTCOUNT(destinationip) as 'Destination IP Count'
FROM events
GROUP BY 'Category', 'Threat Rating'
LAST 1 days

資產情報與配置

威脅及使用指示器會因資產類型、作業系統、漏洞狀態、伺服器類型、分類及其他參數而有所不同。

在此查詢中，進階搜尋及資產模型提供對位置的作業見解。

Assetproperty 函數會從資產擷取內容值，這可讓您在結果中包括資產資料。

SELECT
ASSETPROPERTY('Location',sourceip) as location,
COUNT(*) as 'event count'
FROM events
GROUP BY location
LAST 1 days

下列查詢顯示如何在資產模型中使用進階搜尋及使用者身分追蹤。

AssetUser 函數會從資產資料庫擷取使用者名稱。

SELECT 
APPLICATIONNAME(applicationid) as App,
ASSETUSER(sourceip, now()) as srcAssetUser,
COUNT(*) as 'Total Flows'
FROM flows
WHERE srcAssetUser IS NOT NULL
GROUP BY App, srcAssetUser
ORDER BY "Total Flows" DESC
LAST 3 HOURS

網路 LOOKUP 函數

您可以使用 Network LOOKUP 函數來擷取與 IP 位址相關聯的網路名稱。

SELECT NETWORKNAME(sourceip) as srcnet,
NETWORKNAME(destinationip) as dstnet
FROM events

規則 LOOKUP 函數

您可以使用 Rule LOOKUP 函數，依規則 ID 來擷取規則的名稱。

SELECT RULENAME(123) FROM events

下列查詢會傳回觸發特定規則名稱的事件。

SELECT * FROM events
WHERE RULENAME(creEventList) ILIKE '%my rule name%'

完整文字搜尋

您可以使用 TEXT SEARCH 運算子，透過進階搜尋選項來執行全文搜尋。

在此範例中，有一些事件在有效負載中包含單字 "firewall"。您可以使用日誌活動標籤上的快速過濾器選項及進階搜尋選項來搜尋這些事件。

若要使用快速過濾器選項，請在快速過濾器方框中鍵入下列文字: 'firewall'
若要使用進階搜尋選項，請在進階搜尋方框中鍵入下列查詢:
```
SELECT QIDNAME(qid) AS EventName, * from events where TEXT SEARCH 'firewall'
```

自訂內容

當您使用進階搜尋選項時，可以存取事件及流程的自訂內容。

下列查詢使用自訂內容 "MyWebsiteUrl" 來依特定 Web URL 排序事件:

SELECT "MyWebsiteUrl", * FROM events ORDER BY "MyWebsiteUrl"