- 限定コンテンツへのアクセス
- 他ユーザーとのつながり
- あなたの体験を共有
- サポート情報の発見
サインインで完全なコミュニティ体験を!
[Cortex XDR/XSIAM]XQLの条件設定と重複排除 - filterとdedup
告知
重要なadvisoryがございます。Customer Advisoryエリアにサインインし、advisoryに添付の日本語PDFファイルをご確認ください。
- LIVEcommunity
- Japan Community
- Cortex
- Pre-Sales
- 設定、構築ガイド
- [Cortex XDR/XSIAM]XQLの条件設定と重複排除 - filterとdedup
オプション
- RSS フィードを購読する
- 新着としてマーク
- 既読としてマーク
- 印刷用ページ
massaito
L4 Transporter
この記事では、Filterコマンドと、Dedupコマンドについてご紹介します。
XQLの概要を理解したい場合は、こちらの記事も合わせてお読みください。
Filter
指定したフィールドをキーにして結果をフィルタリングします。
例えばfilterに以下のように設定すると、agent_hostnameにpc001を含むデータだけが検索結果として表示されます。
filter agent_hostname = "pc001"
and演算子やor演算子を組み合わせて複数のフィールドの値を条件に検索することも可能ですし、
(=)だけでなく様々な比較演算子があるので、こちらも併せてご確認ください。
filter action_remote_port = 3389 and agent_os_type=ENUM.AGENT_OS_WINDOWS
Dedup
指定したフィールドをキーにして検索結果の重複を排除します。
dedup actor_process_image_name
dedupもfiterl同様に、複数のフィールドをキーにして検索結果の重複を排除ができます。
dedup actor_process_image_name, agent_hostname
例:RDP(3389)を使用したプロセス名を列挙する
XQLは、リモートポートが3389でかつWindows OSで発生したイベントだけにフィルターし、
検索結果をプロセスのイメージ名(actor_process_image_name)で重複排除し、
実際に3389ポートを使用したプロセス名だけを列挙します。
dataset = xdr_data
| filter action_remote_port = 3389 and agent_os_type=ENUM.AGENT_OS_WINDOWS
| dedup actor_process_image_name
まず、リモートポートが3389でかつWindows OSで発生したイベントだけ抽出します。
dataset = xdr_data
| filter action_remote_port = 3389 and agent_os_type=ENUM.AGENT_OS_WINDOWS
1,092件の結果が出てきました。actor_process_image_nameに注目すると、
1,092件のイベントのうちmstsc.exeを含むイベントが53.48%, mstsc.exeを含むイベントが46.52%、
であることがわかります。
ここでdedupを使ってactor_process_image_nameをキーに重複排除します。
dataset = xdr_data
| filter action_remote_port = 3389 and agent_os_type=ENUM.AGENT_OS_WINDOWS
| dedup actor_process_image_name
powershell.exeを持つイベントは複数件ありましたが重複排除され1件、
同様にmstsc.exeを持つイベントも1件となり、これでRDP(3389)を使ったプロセス名を抽出することができました。
Tech Doc
Filterコマンドの詳細はこちら
Dedupコマンドの詳細はこちら
この記事を評価:
- 938 閲覧回数
- 0 コメント
- 0 賞賛
ラベル
-
Active Attack Surface Management
2 -
Allow List
1 -
Aperture
1 -
App-ID
1 -
Apple
1 -
ASM
2 -
Attack Surface Management
2 -
AuditLogs
1 -
autofocus
2 -
Automation
1 -
Autonomous SOC
1 -
AWS
1 -
AWS CloudTrail
1 -
Azure AD
1 -
BIOC
2 -
Block List
1 -
Box
1 -
Broker VM
6 -
CIS Benchmark
1 -
Cloud
2 -
Cloud Inventory
1 -
comp
1 -
Correlation Rules
1 -
Cortex
7 -
Cortex Agent
1 -
Cortex XDR
38 -
Cortex Xpanse
2 -
Cortex XSIAM
41 -
cyber hygiene
2 -
Dashboard
1 -
dedup
1 -
Demo
1 -
Device Control
1 -
DHCP
1 -
EASM
2 -
Endpoint
5 -
external alert
1 -
filter
1 -
Forensic Module
1 -
GigaOm
1 -
Host Firewall
2 -
Host Insights
1 -
HTTP Collector
1 -
IaaS
1 -
Identity Threat Detection and Response
1 -
IOC
1 -
iOS
1 -
iPad
1 -
ISMAP
1 -
ISO
1 -
Isolation
1 -
ITDR
1 -
Logs
1 -
Lookup
1 -
Microsoft 365
1 -
MITRE Engenuity
1 -
NDR
1 -
network_story
1 -
NGFW
1 -
Parsing Rules
2 -
Prevent
5 -
Prisma Access
1 -
privacy
1 -
Pro per EP
18 -
Pro per GB
10 -
Pro per TB
7 -
Release Information
1 -
Report template
1 -
Reports
1 -
Response Action
1 -
Restriction Security Profile
1 -
Risk Management
1 -
SaaS
1 -
Scheduled Queries
1 -
SOC
1 -
SOC2
1 -
syslog collector
1 -
Threat
3 -
trust center
1 -
UEBA
1 -
User Notifications
1 -
User-ID
1 -
VPC Flow logs
1 -
WEF
1 -
Widgets
1 -
WildFire
3 -
XDR Collector
1 -
XQL
12 -
概要や特徴説明
4 -
製品機能
3
- « 前へ
- 次へ »
LEGAL NOTICES
Copyright 2007 - 2024 - Palo Alto Networks