- 限定コンテンツへのアクセス
- 他ユーザーとのつながり
- あなたの体験を共有
- サポート情報の発見
サインインで完全なコミュニティ体験を!
[Cortex XDR/XSIAM]グローバルIPアドレスの位置情報を地図に表示する - iplocとview
告知
- LIVEcommunity
- Japan Community
- Cortex
- Pre-Sales
- 設定、構築ガイド
- [Cortex XDR/XSIAM]グローバルIPアドレスの位置情報を地図に表示する - iplocとview
オプション
- RSS フィードを購読する
- 新着としてマーク
- 既読としてマーク
- 印刷用ページ
massaito
L4 Transporter
この記事では、iploc,viewというstageコマンドを使用して、グローバルIPアドレスの位置情報を地図にする
方法について説明します。
Live communityで掲載したApache HTTPサーバーのAccessログを取り込み、その後ログをパースする方法、
に続く記事となりますので、事前に読んでいただけると理解が深まるかと思います。
パースされたAccessログのアクセス元のIPアドレスの位置情報を使って、
HTTPサーバーがどの国・地域からアクセスされているのかを可視化します。
ちなみにここで紹介するiplocコマンド、viewコマンドはCortex XDR Pro per Endpointライセンスでも使用可能です。
iplocとは?
iplocを使用すると、IPアドレス(IPv4)の位置情報に関する属性を返します。
viewとは?
viewを使用すると、特定のフィールドをハイライトしたり、グラフでデータを可視化することができます。
ここではグラフを作成するモードで使用しますが、グラフに使用するX軸のフィールド、
Y軸として使用するフィールドをあらかじめ検討しておく必要があります。
XQLを作成する
以前の記事で、accessログをパースして、remote_ipというアクセス元のグローバルIPアドレスのフィールドを作成しました。
まず、このremote_ipを重複排除(dedup)し1つのフィールドだけにして(fields)、iplocコマンドで位置情報を取得します(iploc)。
その後remote_ipを位置情報のloc_country単位で集計し(comp count)、remote_ipの集計値をソートします(sort)。
以下のXQLはそれを表現したものです。
dataset=apache_httpserver_raw
| dedup remote_ip
| fields remote_ip
| iploc remote_ip loc_city , loc_continent ,loc_country ,loc_latlon ,loc_region ,loc_timezone
| comp count (remote_ip) as number_of_ip by loc_country
| sort desc number_of_ip
| dedup remote_ip
| fields remote_ip
| iploc remote_ip loc_city , loc_continent ,loc_country ,loc_latlon ,loc_region ,loc_timezone
| comp count (remote_ip) as number_of_ip by loc_country
| sort desc number_of_ip
実行すると、以下のような結果が得られると思います。
viewコマンドを使ってmapにする
上のXQLにgraphコマンド(青字)を追加します。graphコマンドはXQLのUI上から追加することも可能です。
typeでmapを指定し、X軸をloc_country、Y軸をremote_ipの集計値とします。
dataset=apache_httpserver_raw
| dedup remote_ip
| fields remote_ip
| iploc remote_ip loc_city , loc_continent ,loc_country ,loc_latlon ,loc_region ,loc_timezone
| comp count (remote_ip) as number_of_ip by loc_country
| sort desc number_of_ip
| view graph type = map xaxis = loc_country yaxis = number_of_ip default_limit = `false`
XQLのUIから追加する場合、Query Resultsのタブから「Graph」を選択し、
Char EditorのGraph Typeから「Map」を、DataのX-axisに「loc_country」、Y-axsisに「number_of_ip」を
選択すると、
以下のように地図に集計値がプロットされます。
Chart Editorの「Add to Query」をクリックすると、
XQLにクエリが差し込まれます。このクエリを保存したり、Widget Libraryに追加して
ダッシュボードなどで再利用可能にすることができます。
クラウドサービスプロバイダーのVirtual Private Cloudのフローログのデータや、
SaaSアプリケーションのログデータに含まれるパブリックIPアドレスを使用して
アクセス傾向を分析するケースで役立つかもしれません。
Tech Doc
iplocコマンドの詳細はこちら
viewコマンドの詳細はこちら
この記事を評価:
- 1308 閲覧回数
- 0 コメント
- 0 賞賛
ラベル
-
Active Attack Surface Management
2 -
AI
2 -
Allow List
1 -
Aperture
1 -
App-ID
1 -
Apple
1 -
Artificial Intelligence
1 -
ASM
2 -
Attack Surface Management
2 -
AuditLogs
1 -
autofocus
2 -
Automation
1 -
Autonomous SOC
1 -
AWS
1 -
AWS CloudTrail
1 -
Azure AD
1 -
BIOC
2 -
Block List
1 -
Box
1 -
Broker VM
6 -
CIS Benchmark
1 -
Cloud
2 -
Cloud Inventory
1 -
comp
1 -
Copilot
1 -
Correlation Rules
1 -
Cortex
8 -
Cortex Agent
1 -
Cortex XDR
41 -
Cortex Xpanse
2 -
Cortex XSIAM
43 -
Cortex XSOAR
1 -
cyber hygiene
2 -
Dashboard
1 -
dedup
1 -
Demo
1 -
Device Control
1 -
DHCP
1 -
EASM
2 -
Endpoint
5 -
external alert
1 -
filter
1 -
Forensic Module
1 -
Forrester
1 -
GigaOm
1 -
Host Firewall
2 -
Host Insights
1 -
HTTP Collector
1 -
IaaS
1 -
Identity Threat Detection and Response
1 -
IOC
1 -
iOS
1 -
iPad
1 -
ISMAP
1 -
ISO
1 -
Isolation
1 -
ITDR
1 -
Kubernetes
1 -
Logs
1 -
Lookup
1 -
machine learning
1 -
Microsoft 365
1 -
MITRE Engenuity
1 -
NDR
1 -
network_story
1 -
ngfw
1 -
Parsing Rules
2 -
Prevent
5 -
Prisma Access
1 -
privacy
1 -
Pro per EP
18 -
Pro per GB
10 -
Pro per TB
7 -
Release Information
1 -
Report template
1 -
Reports
1 -
Response Action
1 -
Restriction Security Profile
1 -
Risk Management
1 -
SaaS
1 -
Scheduled Queries
1 -
SOAR
1 -
SOC
1 -
SOC2
1 -
syslog collector
1 -
Threat
3 -
trust center
1 -
UEBA
1 -
User Notifications
1 -
User-ID
1 -
VPC Flow logs
1 -
WEF
1 -
Widgets
1 -
WildFire
3 -
XDR Collector
1 -
XQL
12 -
XSIAM
1 -
概要や特徴説明
4 -
製品機能
3
- « 前へ
- 次へ »
LEGAL NOTICES
Copyright 2007 - 2024 - Palo Alto Networks