[Cortex XDR/XSIAM]XQLの条件設定と重複排除 - filterとdedup

キャンセル
次の結果を表示 
表示  限定  | 次の代わりに検索 
もしかして: 
L4 Transporter
評価なし

この記事では、Filterコマンドと、Dedupコマンドについてご紹介します。

XQLの概要を理解したい場合は、こちらの記事も合わせてお読みください。

 

Filter

指定したフィールドをキーにして結果をフィルタリングします。

例えばfilterに以下のように設定すると、agent_hostnameにpc001を含むデータだけが検索結果として表示されます。

filter agent_hostname = "pc001"

 

and演算子やor演算子を組み合わせて複数のフィールドの値を条件に検索することも可能ですし、

(=)だけでなく様々な比較演算子があるので、こちらも併せてご確認ください。

 

filter action_remote_port = 3389 and agent_os_type=ENUM.AGENT_OS_WINDOWS

 

Dedup

指定したフィールドをキーにして検索結果の重複を排除します。

 

 dedup actor_process_image_name

 

dedupもfiterl同様に、複数のフィールドをキーにして検索結果の重複を排除ができます。

 

dedup actor_process_image_name, agent_hostname

 

 

 

例:RDP(3389)を使用したプロセス名を列挙する

XQLは、リモートポートが3389でかつWindows OSで発生したイベントだけにフィルターし、

検索結果をプロセスのイメージ名(actor_process_image_name)で重複排除し、

実際に3389ポートを使用したプロセス名だけを列挙します。

 

dataset = xdr_data
| filter action_remote_port = 3389 and agent_os_type=ENUM.AGENT_OS_WINDOWS
| dedup actor_process_image_name

 

 

まず、リモートポートが3389でかつWindows OSで発生したイベントだけ抽出します。

dataset = xdr_data
| filter action_remote_port = 3389 and agent_os_type=ENUM.AGENT_OS_WINDOWS

 

massaito_1-1672099832202.png

 

1,092件の結果が出てきました。actor_process_image_nameに注目すると、

1,092件のイベントのうちmstsc.exeを含むイベントが53.48%, mstsc.exeを含むイベントが46.52%、

であることがわかります。

massaito_2-1672099915014.png

 

 

ここでdedupを使ってactor_process_image_nameをキーに重複排除します。

dataset = xdr_data
| filter action_remote_port = 3389 and agent_os_type=ENUM.AGENT_OS_WINDOWS
| dedup actor_process_image_name

 

massaito_0-1672099664499.png

 

powershell.exeを持つイベントは複数件ありましたが重複排除され1件、

同様にmstsc.exeを持つイベントも1件となり、これでRDP(3389)を使ったプロセス名を抽出することができました。

 

 

Tech Doc

Filterコマンドの詳細はこちら

Dedupコマンドの詳細はこちら

 

この記事を評価:
  • 1466 閲覧回数
  • 0 コメント
  • 0 賞賛
Register or Sign-in
寄稿者
記事ダッシュボード
バージョン履歴
最終更新日:
‎11-02-2023 02:45 AM
更新者: