[Cortex XDR/XSIAM]XQLで指定したドメインに対するアクティビティを調査する - network_story

キャンセル
次の結果を表示 
表示  限定  | 次の代わりに検索 
もしかして: 
告知
重要なadvisoryがございます。Customer Advisoryエリアにサインインし、advisoryに添付の日本語PDFファイルをご確認ください。
L4 Transporter
評価なし

あるドメインにアクセスしたアクティビティを調査したい場合、

XQLのpresetsを使用すると便利にデータを抽出できます。presetsはデータフィールドをグルーピングしたもので

効果的にデータの抽出ができます。

 

ここでは「network_story」と言うpresetsを使用します。network_storyで使用可能なフィールドはこちらで確認できます。

 

network_storyを使って抽出する

例えば、ホスト名が「WIN-0TNTTQOMGDR」で、「xxxxxxx.co.jp」にアクセスしたアクティビティについて調べたい場合、

以下のように記述します。

 

preset = network_story | filter agent_hostname ="WIN-0TNTTQOMGDR" and dst_action_external_hostname contains "xxxxxxx.co.jp"

 

もしヒットすれば、xxxxxxx.co.jp(サブドメインも含む)にアクセスしたアクティビティが検出され、フィールド「dst_action_external_hostname」に

該当のドメインが、フィールド「agent_hostname」に該当ホスト名が表示されます。

 network_story.png


 

 1つのレコードを選択し、プロセスの連鎖を確認するためにCausality Chainを確認すると、

massaito_1-1669185918024.png

 

 Chrome.exeでアクセスしていることをプロセスの連鎖から確認できます。

networkstory_causality.png

 

 

 また、緑の枠にあるアイコンに注目すると、ホスト「WIN-0TNTTQOMGDR」がIPアドレス「192.168.68.XXX」に

アクセスしたといった趣旨の内容が記載されていますが、その下の緑の枠の中にある「CONNECTION」見ると「192.168.68.116:3128」にアクセスしたとあり、これはこのホストが使用しているプロキシサーバーを指しています。

 

したがって、この例ではChrome.exeが、プロキシサーバ経由でxxxxxxx.co.jpを含むドメインを持つサイトにアクセスした、

ということがわかります。

massaito_3-1669186360542.png

 

 

ちなみに次世代ファイアウォール(PAシリーズ)のトラフィックログからも同じように調査できますが、

デバイスの種類やシリアル番号なども取得します。

 

 

networkstory_xql.png

Tech Doc

network_storyのフィールド名についてはこちら

この記事を評価:
  • 446 閲覧回数
  • 0 コメント
  • 0 賞賛
Register or Sign-in
寄稿者
記事ダッシュボード
バージョン履歴
最終更新日:
‎11-05-2023 06:45 PM
更新者: