- 限定コンテンツへのアクセス
- 他ユーザーとのつながり
- あなたの体験を共有
- サポート情報の発見
サインインで完全なコミュニティ体験を!
[Cortex XDR/XSIAM]XQLで指定したドメインに対するアクティビティを調査する - network_story
- LIVEcommunity
- Japan Community
- Cortex
- Pre-Sales
- 設定、構築ガイド
- [Cortex XDR/XSIAM]XQLで指定したドメインに対するアクティビティを調査する - network_story
オプション
- RSS フィードを購読する
- 新着としてマーク
- 既読としてマーク
- 印刷用ページ
massaito
L4 Transporter
あるドメインにアクセスしたアクティビティを調査したい場合、
XQLのpresetsを使用すると便利にデータを抽出できます。presetsはデータフィールドをグルーピングしたもので
効果的にデータの抽出ができます。
ここでは「network_story」と言うpresetsを使用します。network_storyで使用可能なフィールドはこちらで確認できます。
network_storyを使って抽出する
例えば、ホスト名が「WIN-0TNTTQOMGDR」で、「xxxxxxx.co.jp」にアクセスしたアクティビティについて調べたい場合、
以下のように記述します。
preset = network_story | filter agent_hostname ="WIN-0TNTTQOMGDR" and dst_action_external_hostname contains "xxxxxxx.co.jp"
もしヒットすれば、xxxxxxx.co.jp(サブドメインも含む)にアクセスしたアクティビティが検出され、フィールド「dst_action_external_hostname」に
該当のドメインが、フィールド「agent_hostname」に該当ホスト名が表示されます。
1つのレコードを選択し、プロセスの連鎖を確認するためにCausality Chainを確認すると、
Chrome.exeでアクセスしていることをプロセスの連鎖から確認できます。
また、緑の枠にあるアイコンに注目すると、ホスト「WIN-0TNTTQOMGDR」がIPアドレス「192.168.68.XXX」に
アクセスしたといった趣旨の内容が記載されていますが、その下の緑の枠の中にある「CONNECTION」見ると「192.168.68.116:3128」にアクセスしたとあり、これはこのホストが使用しているプロキシサーバーを指しています。
したがって、この例ではChrome.exeが、プロキシサーバ経由でxxxxxxx.co.jpを含むドメインを持つサイトにアクセスした、
ということがわかります。
ちなみに次世代ファイアウォール(PAシリーズ)のトラフィックログからも同じように調査できますが、
デバイスの種類やシリアル番号なども取得します。
Tech Doc
network_storyのフィールド名についてはこちら
この記事を評価:
- 1196 閲覧回数
- 0 コメント
- 1 賞賛
Related Content
- [Cortex XSIAM]SecOpsを変革:Cortex XSIAMのデモとインサイト in 設定、構築ガイド
- [Cortex Xpanse]The Forrester Wave : ASMソリューションリーダー、Q3 2024 in 設定、構築ガイド
- [Cortex XDR] MITRE Evals 2024で比類のない100%検出を実現 in 設定、構築ガイド
- [Cortex XSOAR]SOC自動化で第1位にランクイン in 設定、構築ガイド
- [Cortex XSIAM]GigaOm Radar レポートで自律型 SOC ソリューションのリーダーとして認められる in 設定、構築ガイド
ラベル
-
Active Attack Surface Management
2 -
AI
2 -
Allow List
1 -
Aperture
1 -
App-ID
1 -
Apple
1 -
Artificial Intelligence
1 -
ASM
2 -
Attack Surface Management
2 -
AuditLogs
1 -
autofocus
2 -
Automation
1 -
Autonomous SOC
1 -
AWS
1 -
AWS CloudTrail
1 -
Azure AD
1 -
BIOC
2 -
Block List
1 -
Box
1 -
Broker VM
6 -
CIS Benchmark
1 -
Cloud
2 -
Cloud Inventory
1 -
comp
1 -
Copilot
1 -
Coretx Xpanse
1 -
Coretx XSOAR
1 -
Correlation Rules
1 -
Cortex
8 -
Cortex Agent
1 -
Cortex XDR
42 -
Cortex Xpanse
2 -
Cortex XSIAM
44 -
Cortex XSOAR
1 -
cyber hygiene
2 -
Dashboard
1 -
dedup
1 -
Demo
1 -
Device Control
1 -
DHCP
1 -
EASM
2 -
Endpoint
5 -
external alert
1 -
filter
1 -
Forensic Module
1 -
Forrester
1 -
GigaOm
1 -
Host Firewall
2 -
Host Insights
1 -
HTTP Collector
1 -
IaaS
1 -
Identity Threat Detection and Response
1 -
IOC
1 -
iOS
1 -
iPad
1 -
ISMAP
1 -
ISO
1 -
Isolation
1 -
ITDR
1 -
Kubernetes
1 -
Logs
1 -
Lookup
1 -
machine learning
1 -
Microsoft 365
1 -
MITRE Engenuity
1 -
NDR
1 -
network_story
1 -
ngfw
1 -
Parsing Rules
2 -
Prevent
5 -
prisma access
1 -
privacy
1 -
Pro per EP
18 -
Pro per GB
10 -
Pro per TB
7 -
Release Information
1 -
Report template
1 -
Reports
1 -
Response Action
1 -
Restriction Security Profile
1 -
Risk Management
1 -
SaaS
1 -
Scheduled Queries
1 -
SOAR
1 -
SOC
1 -
SOC2
1 -
syslog collector
1 -
Threat
3 -
trust center
1 -
UEBA
1 -
User Notifications
1 -
User-ID
1 -
VPC Flow logs
1 -
WEF
1 -
Widgets
1 -
WildFire
3 -
XDR Collector
1 -
XQL
12 -
XSIAM
1 -
概要や特徴説明
4 -
製品機能
3
- « 前へ
- 次へ »
LEGAL NOTICES
Copyright 2007 - 2024 - Palo Alto Networks