Funciones de recuperación de datos de AQL

Utilice las funciones incorporadas de Ariel Query Language (AQL) para recuperar datos utilizando las funciones de consulta de datos y las propiedades de ID de campo de la base de datos Ariel .

Sugerencia: Para obtener información sobre cómo utilizar comillas en consultas AQL, consulte Comillas.

Utilice las siguientes funciones AQL para extraer datos de las bases de datos Ariel:

Funciones de recuperación de datos


APPLICATIONNAME

Finalidad

Devuelve nombres de aplicación de flujo por ID de aplicación

Parámetros

ID de aplicación

Ejemplo
SELECT APPLICATIONNAME(applicationid) 
AS 'Name of App' 
FROM flows

Devuelve los nombres de las aplicaciones de la base de datos de flujos. Estos nombres de aplicación se listan en la columna Nombre de aplicación , que es un alias.


ARIELSERVERS4EPID

Finalidad

Utilice la función ARIELSERVERS4EPID para especificar el ID de procesador de sucesos cuando lo utilice con PARAMETERS REMOTESERVERS o PARAMETERS EXCLUDESERVERS.

Parámetros
ARIELSERVERS4EPID(processor_ID)
Los ejemplos siguientes muestran cómo utilizar la función ARIELSERVERS4EPID con PARAMETERS REMOTESERVERS o PARAMETERS EXCLUDESERVERS:
     PARAMETERS EXCLUDESERVERS=ARIELSERVERS4EPID(processor_ID) 
     PARAMETERS REMOTESERVERS=ARIELSERVERS4EPID(processor_ID)
Ejemplos

En el ejemplo siguiente, sólo se incluyen en la salida los resultados de búsqueda de ARIELSERVERS4EPID(8) . Si el ID de procesador que especifica como parámetro para la función ARIELSERVERS4EPID no está en el despliegue de QRadar , la consulta no se ejecuta.

 SELECT ARIELSERVERS4EPID(8), ARIELSERVERS4EPID(11), processorid, 
 PROCESSORNAME(processorid), 
 LOGSOURCENAME(logsourceid) from events 
 GROUP BY logsourceid 
 LAST 20 MINUTES 
 PARAMETERS REMOTESERVERS=ARIELSERVERS4EPID(8)
También puede utilizar la función ARIELSERVERS4EPID para devolver los servidores Ariel que están conectados a un procesador de sucesos específico identificado por ID, tal como se muestra en el ejemplo siguiente:
 SELECT processorid, PROCESSORNAME(processorid), 
 ARIELSERVERS4EPID(processorid) 
 FROM events GROUP BY processorid

ARIELSERVERS4EPNAME

Finalidad

Utilice la función ARIELSERVERS4EPNAME para especificar el nombre del procesador de sucesos cuando lo utilice con PARAMETERS REMOTESERVERS o PARAMETERS EXCLUDESERVERS.

Parámetros
ARIELSERVERS4EPNAME('eventprocessor_name')
Los ejemplos siguientes muestran cómo utilizar ARIELSERVERS4EPNAME PARAMETERS REMOTESERVERS o PARAMETERS EXCLUDESERVERS:
PARAMETERS EXCLUDESERVERS=ARIELSERVERS4EPNAME ('eventprocessor104')
PARAMETERS REMOTESERVERS=ARIELSERVERS4EPNAME ('eventprocessor255')
Ejemplos

En el ejemplo siguiente, los registros de los servidores que están asociados con eventprocessor104 se excluyen de la búsqueda.

SELECT processorid,PROCESSORNAME(processorid), 
LOGSOURCENAME(logsourceid) 
FROM events 
GROUP BY logsourceid 
PARAMETERS EXCLUDESERVERS=ARIELSERVERS4EPNAME ('eventprocessor104')

También puede utilizar la función para devolver servidores Ariel que están asociados con un procesador de sucesos identificado por nombre.

SELECT PROCESSORNAME(processorid), 
ARIELSERVERS4EPNAME(PROCESSORNAME(processorid)) 
FROM events GROUP BY processorid

Devuelve servidores Ariel para el procesador de sucesos especificado.


ASSETHOSTNAME

Finalidad

Busca el nombre de host de un activo en un punto en el tiempo.

El dominio se puede especificar opcionalmente para dirigirse a un activo en un dominio determinado.
ASSETHOSTNAME(sourceip)
ASSETHOSTNAME(sourceip, NOW())
ASSETHOSTNAME(sourceip, domainid)
Parámetros

Dirección IP, (la indicación de fecha y hora y el ID de dominio son opcionales)

Si no se especifica la indicación de fecha y hora, se utiliza la hora actual.

Ejemplos
SELECT ASSETHOSTNAME(destinationip, NOW()) 
AS 'Host Name' 
FROM events
SELECT ASSETHOSTNAME(sourceip, NOW()) 
AS 'Host Name' 
FROM events

Devuelve el nombre de host del activo en el momento de la consulta.


ASSETPROPERTY

Finalidad

Busca una propiedad para una activa.

El dominio se puede especificar opcionalmente para dirigirse a un activo en un dominio determinado.
ASSETPROPERTY
('Unified Name', sourceIP, domainId)
Parámetros

Nombre de propiedad, dirección IP

El ID de dominio es opcional

Ejemplo
SELECT
ASSETPROPERTY('Location',sourceip) 
AS Asset_location,
COUNT(*) 
AS 'event count'
FROM events
GROUP BY Asset_location
LAST 1 days

Devuelve la ubicación de activo que está afiliada con la dirección IP de origen.


ASSETUSER

Finalidad

Busca el usuario de un activo en un punto en el tiempo.

El dominio se puede especificar opcionalmente para dirigirse a un activo en un dominio específico.
ASSETUSER(sourceIP,NOW(), domainId)
Parámetros
Dirección IP, (la indicación de fecha y hora y el ID de dominio son opcionales)
Si no se especifica la indicación de fecha y hora, se utiliza la hora actual.
Ejemplo
SELECT 
ASSETUSER(sourceip, now()) 
AS 'Username of Asset' 
FROM events

Devuelve el nombre de usuario que está afiliado con la dirección IP de origen.


CATEGORYNAME

Finalidad

Busca el nombre de una categoría por el ID de categoría.

CATEGORYNAME(Category)
Parámetros

Categoría

Ejemplo
SELECT sourceip, category, 
CATEGORYNAME(category) 
AS 'Category name' 
FROM events

Devuelve la IP de origen, el ID de categoría y el nombre de categoría


COMPONENTID

Finalidad

Recupera el ID de un componente con un nombre determinado.

Por ejemplo, ARIELSERVERS4EPNAME() es un acceso directo para la función ARIELSERVERS4EPID(COMPONENTID(<event_processor_name>)) .

Parámetros
COMPONENTID(<component_name>))
Ejemplo
SELECT  * from events where  processorid = COMPONENTID('eventprocessor0')

Recupera sucesos para el procesador de sucesos especificado.


DOMAINNAME

Finalidad

Busca el nombre de dominio por el ID de dominio.

DOMAINNAME(domainID)
Parámetros

ID de dominio

Ejemplo
SELECT sourceip, username,
DOMAINNAME(domainid) 
AS 'Domain name' 
FROM events

Devuelve IP de origen, nombre de usuario y nombres de dominio de la base de datos de sucesos


GLOBALVIEW

Finalidad

Devuelve los resultados de base de datos GLOBALVIEW para un nombre de búsqueda guardada en función del rango de tiempo especificado.

Esta consulta sólo se puede ejecutar utilizando la API.

Para obtener más información sobre cómo acceder a una base de datos GLOBALVIEW, consulte la publicación IBM® Security QRadar Guía de administración.

Parámetros

Búsqueda guardada, rango de tiempo (DAILY, NORMAL, HOURLY)

Ejemplo
SELECT * 
FROM GLOBALVIEW
('Top Log Sources','DAILY')
LAST 2 days


GEO::LOOKUP

Finalidad

Devuelve datos de ubicación, proporcionados porMaxMind, para una dirección IP seleccionada. Los datos se devuelven en formato JSON.

Parámetros

Dirección IP (necesaria)

Series (al menos una necesaria):

city, continent, physical_country, registered_country, represented_country, location, postal, subdivisions, traits, geo_json

Ejemplo
SELECT sourceip, GEO::LOOKUP(sourceip, 'city') 
AS GEO_CITY 
FROM events last 10 minutes

GEO::LOOKUP_BY_DOMAIN

Finalidad

Devuelve datos de ubicación, proporcionados porMaxMind, para una dirección IP seleccionada y un ID de dominio. Los datos se devuelven en formato JSON.

Parámetros

Dirección IP (necesaria), ID de dominio

Series (al menos una necesaria):

city, continent, physical_country, registered_country, represented_country, location, postal, subdivisions, traits, geo_json

Ejemplo
SELECT sourceip, GEO::LOOKUP_BY_DOMAIN(sourceip, 'city', 'my_domain_id') 
AS GEO_CITY 
FROM events last 10 minutes

GEO::LOOKUP_TEXT

Finalidad

Devuelve datos de ubicación en texto plano, proporcionados porMaxMind, para una dirección IP seleccionada.

Parámetros

Dirección IP (necesaria), nombre de campo primitivo

Series (al menos una necesaria):

city_name, geo_id, continent_name, continent_geo_id, country_name, country_geo_id, country_iso_code, physical_country_name, physical_country_geo_id, physical_country_iso_code, registered_country_name, registered_country_geo_id, registered_country_iso_code, accuracy_radius, latitude, longitude, metro_code, time_zone

Ejemplo
SELECT sourceip, GEO::LOOKUP_TEXT(sourceip, 'city_name') 
AS GEO_CITY 
FROM events last 10 minutes

GEO::LOOKUP_TEXT_BY_DOMAIN

Finalidad

Devuelve datos de ubicación en texto plano, proporcionados porMaxMind, para una dirección IP seleccionada y un ID de dominio.

Parámetros

Dirección IP (necesaria), nombre de campo primitivo, ID de dominio

Series (al menos una necesaria):

city_name, geo_id, continent_name, continent_geo_id, country_name, country_geo_id, country_iso_code, physical_country_name, physical_country_geo_id, physical_country_iso_code, registered_country_name, registered_country_geo_id, registered_country_iso_code, accuracy_radius, latitude, longitude, metro_code, time_zone

Ejemplo
SELECT sourceip, GEO::LOOKUP_TEXT_BY_DOMAIN(sourceip, 'city_name', 'my_domain_id') 
AS GEO_CITY 
FROM events last 10 minutes

GEO::DISTANCE

Finalidad

Devuelve la distancia, en kilómetros, de dos direcciones IP.

Parámetros

Dirección IP (dos necesarios)

Ejemplo
SELECT GEO::DISTANCE(sourceip, destinationip) 
AS GEO_DISTANCE 
FROM events last 10 minutes

GEO::DISTANCE_BY_DOMAIN

Finalidad

Devuelve la distancia, en kilómetros, de dos direcciones IP. y un ID de dominio

Parámetros

Dirección IP (dos necesarias), ID de dominio

Ejemplo
SELECT GEO::DISTANCE(sourceip, destinationip, domainid) 
AS GEO_DISTANCE 
FROM events last 10 minutes

HOSTNAME

Finalidad

Devuelve el nombre de host de un procesador de sucesos con un processorIDdeterminado.

HOSTNAME(processorId)
Parámetros

ID de procesador

Ejemplo
SELECT HOSTNAME(processorId) FROM events

INCIDR

Finalidad

Filtra la salida de la sentencia SELECT haciendo referencia a la dirección IP CIDR de origen/destino especificada por INCIDR.

Parámetros

IP/CIDR, Dirección IP

Ejemplo
SELECT sourceip, username 
FROM events 
WHERE INCIDR('172.16.0.0/16', sourceip)

Devuelve las columnas de IP de origen y nombre de usuario de la base de datos de flujos donde la dirección IP de CIDR de origen es de la subred 172.16.0.0/16 .

Vea más ejemplos


INOFFENSE

Finalidad

Si un suceso o flujo pertenece al delito especificado, devuelvetrue.

Parámetros

ID de delito

Ejemplo
SELECT * FROM events
 WHERE InOffense(123)
SELECT * FROM flows
 WHERE InOffense(123)

LOGSOURCENAME

Finalidad

Busca el nombre de un origen de registro por su ID de origen de registro.

LOGSOURCENAME(logsourceid)
Parámetros

ID de origen de registro

Ejemplo
SELECT * FROM events 
WHERE LOGSOURCENAME(logsourceid) 
ILIKE '%mylogsourcename%'

Devuelve sólo los resultados que incluyen mylogsourcename en su nombre de origen de registro.


SELECT LOGSOURCENAME(logsourceid) 
AS Log_Source 
FROM events

Devuelve el alias de columna Log_source, que muestra los nombres de origen de registro de la base de datos de sucesos.


LOGSOURCEGROUPNAME

Finalidad

Busca el nombre de un grupo de origen de registro por su ID de grupo de origen de registro.

LOGSOURCEGROUPNAME(deviceGroupList)

Parámetros

Lista de grupos de dispositivo

Ejemplo
SELECT sourceip, logsourceid 
FROM events 
WHERE LOGSOURCEGROUPNAME(devicegrouplist) 
ILIKE '%other%'

Devuelve la dirección IP de origen y los ID de origen de registro para los grupos de origen de registro que tienen 'otros' en su nombre.


LOGSOURCETYPENAME

Finalidad

Busca el nombre de un tipo de origen de registro por su tipo de dispositivo.

LOGSOURCETYPENAME(deviceType)

Parámetros

Tipo de dispositivo

Ejemplo
SELECT LOGSOURCETYPENAME(devicetype) 
AS 'Device names', COUNT(*) 
FROM events 
GROUP BY "Device names" 
LAST 1 DAYS

Devuelve los nombres de dispositivo y el recuento de sucesos.

Ejemplo de todas las funciones de orígenes de registro:
SELECT logsourceid, 
LOGSOURCENAME(logsourceid) 
AS 'Name of log source', 
LOGSOURCEGROUPNAME(devicegrouplist) 
AS 'Group Names', 
LOGSOURCETYPENAME(devicetype) 
AS 'Devices' 
FROM events 
GROUP BY logsourceid

Devuelve nombres de origen de registro, nombres de grupo de origen de registro y nombres de dispositivo de origen de registro.

Cuando se utiliza la función GROUP BY , el primer elemento sólo de la lista GROUP BY se muestra en los resultados.


MATCHESASSETSEARCH

Finalidad
Si el activo se devuelve en los resultados de la búsqueda guardada, devuelve true.
MATCHESASSETSEARCH
('My Saved Search', sourceIP)
Parámetros

Nombre de búsqueda guardada, dirección IP

Ejemplo
MATCHESASSETSEARCH
('My Saved Search', sourceIP)

NETWORKNAME

Finalidad
Busca el nombre de red de la jerarquía de red para el host que se pasa.
NetworkName(sourceip)
El dominio se puede especificar opcionalmente para dirigirse a una red en un dominio determinado.
NETWORKNAME(sourceip, domainId)
Parámetros

Propiedad de host (el dominio es opcional)

Ejemplos
SELECT NETWORKNAME(sourceip) 
ILIKE 'servers' 
AS 'My Networks' 
FROM flows

Devuelve las redes que tienen los servidores de nombres.


SELECT NETWORKNAME(sourceip, domainID) 
ILIKE 'servers' 
AS 'My Networks' 
FROM flows

Devuelve las redes que tienen los servidores de nombres en un dominio específico.


SELECT NETWORKNAME(sourceip) 
AS 'Src Net',
NETWORKNAME(destinationip) 
AS Dest_net
FROM events

Devuelve el nombre de red que está asociado con las direcciones IP de origen y destino.


FULLNETWORKNAME

Finalidad
Devuelve el nombre de red completo de la jerarquía de red para el host que se pasa.
FULLNETWORKNAME(sourceip)
El dominio se puede especificar opcionalmente para dirigirse a una red en un dominio determinado.
FULLNETWORKNAME(sourceip, domainId)
Parámetros

Propiedad de host (el dominio es opcional)

Ejemplos
SELECT FULLNETWORKNAME('1.2.3.4')
FROM events LIMIT 1

Devuelve el nombre de red completo para la IP 1.2.3.4


SELECT FULLNETWORKNAME(sourceip) AS fnn
FROM flows
WHERE fnn ILIKE 'servers'

Devuelve las redes que tienen los servidores de nombres.


OFFENSE_TIME

Nuevo en 7.4.3 Fixpack 1

Finalidad

Limita la consulta a las horas aplicables en las que un delito podría estar activo.

Esta función aumenta la velocidad de la consulta.

Parámetros

ID de delito

Ejemplo
SELECT * FROM events
 WHERE INOFFENSE(12345) times OFFENSE_TIME(12345)

PARAMETERS EXCLUDESERVERS

Finalidad
Filtra los criterios de búsqueda excluyendo los servidores especificados.
Parámetros

[Dirección IP de servidor: número de puerto]

Utilice el puerto 32006 para un procesador de sucesos y el puerto 32011 para una consola.

Los parámetros aceptan una lista de argumentos separados por comas. Por ejemplo:

"host1:port1,host2:port2,host3:port3".

Ejemplos

En el ejemplo siguiente, los resultados de búsqueda de 192.0.2.0 se excluyen. Para excluir una consola, debe utilizar localhost o 127.0.0.1. No utilice la dirección IP de la consola en esta consulta.

SELECT processorid,PROCESSORNAME(processorid),
LOGSOURCENAME(logsourceid) 
from events 
GROUP BY logsourceid 
PARAMETERS EXCLUDESERVERS='192.0.2.0:32006'

En el ejemplo siguiente, se excluyen los resultados de búsqueda de la consola:

SELECT processorid,PROCESSORNAME(processorid),
LOGSOURCENAME(logsourceid) FROM events 
GROUP BY logsourceid start '2017-03-15 10:26' 
STOP '2017-03-15 10:30' 
PARAMETERS EXCLUDESERVERS='127.0.0.1:32011'

En el ejemplo siguiente, se excluyen los resultados de búsqueda de la consola. La consola se conoce como localhost en este ejemplo.

SELECT processorid,PROCESSORNAME(processorid),
LOGSOURCENAME(logsourceid) from events 
GROUP BY logsourceid start '2017-03-15 10:25' 
STOP '2017-03-15 10:30' 
PARAMETERS EXCLUDESERVERS='localhost:32011'

El ejemplo siguiente utiliza varios argumentos para excluir los resultados de búsqueda de la consola y de otros dos servidores.

SELECT processorid,PROCESSORNAME(processorid),
LOGSOURCENAME(logsourceid) from events 
GROUP BY logsourceid start '2017-04-15 10:25' 
STOP '2017-04-15 10:30' 
PARAMETERS EXCLUDESERVERS='127.0.0.1:32011,192.0.2.0:32006,172.11.22.31:32006'

Especifique el ID del procesador de sucesos en la consulta utilizando la función siguiente:

PARAMETERS EXCLUDESERVERS=ARIELSERVERS4EPID(processor_ID)

Refine la consulta utilizando ARIELSERVERS4EPID con PARAMETERS EXCLUDESERVERS para especificar el ID de procesador de sucesos que desea excluir de la búsqueda. Puede especificar uno o varios ID de procesador de sucesos.

Ejemplo

En el ejemplo siguiente, todos los resultados de ARIELSERVERS4EPID(8) se excluyen en la búsqueda.

SELECT processorid, 
PROCESSORNAME(processorid), 
LOGSOURCENAME(logsourceid) from events 
GROUP BY logsourceid 
LAST 20 MINUTES 
PARAMETERS EXCLUDESERVERS=ARIELSERVERS4EPID(8)

Especifique el nombre del procesador de sucesos en la consulta utilizando la función siguiente:

PARAMETERS EXCLUDESERVERS=ARIELSERVERS4EPNAME ('processor_name')

Refine la consulta utilizando ARIELSERVERS4EPNAME con PARAMETERS EXCLUDESERVERS para especificar el procesador de sucesos por nombre. Puede especificar uno o más nombres de procesador de sucesos.

Ejemplo

En el ejemplo siguiente, los registros de los servidores que están asociados con eventprocessor104 se excluyen de la búsqueda.

SELECT processorid,PROCESSORNAME(processorid), 
LOGSOURCENAME(logsourceid) 
FROM events 
GROUP BY logsourceid 
PARAMETERS EXCLUDESERVERS=ARIELSERVERS4EPNAME ('eventprocessor104')

PARAMETERS REMOTESERVERS

Finalidad
Utilice la función PARAMETERS REMOTESERVERS para limitar la búsqueda a servidores específicos, lo que acelera la búsqueda no buscando en todos los hosts.
Parámetros

[Dirección IP de servidor: número de puerto]

Utilice el puerto 32006 para un procesador de sucesos y el puerto 32011 para una consola.

Utilice una lista separada por comas para varios argumentos, por ejemplo,

"host1:port1,host2:port2,host3:port3".

Ejemplos

En el ejemplo siguiente, sólo se busca en el servidor especificado.

SELECT * FROM EVENTS START '2016-09-08 16:42' 
STOP '2016-09-08 16:47' 
PARAMETERS REMOTESERVERS='192.0.2.0:32006'

En el ejemplo siguiente, se especifican varios servidores, lo que incluye los resultados de búsqueda de la consola y otros dos servidores.

SELECT processorid,PROCESSORNAME(processorid),
LOGSOURCENAME(logsourceid) from events 
GROUP BY logsourceid start '2017-04-15 10:25' 
STOP '2017-04-15 10:30' 
PARAMETERS REMOTESERVERS='127.0.0.1:32011,192.0.2.0:32006,172.11.22.31:32006'

Especifique el ID del procesador de sucesos en la consulta utilizando la función siguiente:

PARAMETERS REMOTESERVERS=ARIELSERVERS4EPID(processor_ID)
Refine la consulta utilizando ARIELSERVERS4EPID con PARAMETERS REMOTESERVERS para especificar el ID del procesador de sucesos que desea incluir en la búsqueda. Puede especificar uno o varios ID de procesador de sucesos.
Ejemplo

En el ejemplo siguiente, sólo se incluyen en la salida los resultados de búsqueda de ARIELSERVERS4EPID(8) .

SELECT ARIELSERVERS4EPID(8), ARIELSERVERS4EPID(11), processorid, 
PROCESSORNAME(processorid), 
LOGSOURCENAME(logsourceid) from events 
GROUP BY logsourceid 
LAST 20 MINUTES 
PARAMETERS REMOTESERVERS=ARIELSERVERS4EPID(8)
Nota: Si el ID de procesador que especifica como parámetro para la función ARIELSERVERS4EPID no está en el despliegue de QRadar , la consulta no se ejecuta.

Especifique el nombre del procesador de sucesos en la consulta utilizando la función siguiente:

PARAMETERS REMOTESERVERS=ARIELSERVERS4EPNAME ('eventprocessor_name')
Refine la consulta utilizando ARIELSERVERS4EPNAME y PARAMETERS REMOTESERVERS para especificar el nombre del procesador de sucesos que desea incluir en la búsqueda. Puede especificar uno o más nombres de procesador de sucesos.
Ejemplo

En el ejemplo siguiente, sólo se incluyen en los resultados de la búsqueda los registros de búsqueda que están asociados con eventprocessor104 .

SELECT processorid,PROCESSORNAME(processorid), 
LOGSOURCENAME(logsourceid) 
FROM events 
GROUP BY logsourceid 
PARAMETERS REMOTESERVERS=ARIELSERVERS4EPNAME ('eventprocessor104')

PROCESSORNAME

Finalidad
Devuelve el nombre de un procesador por el ID de procesador.
PROCESSORNAME(processorid)
Parámetros

Número de ID de procesador

Ejemplo
SELECT sourceip, PROCESSORNAME(processorid) 
AS 'Processor Name' 
FROM events

Devuelve la dirección IP de origen y el nombre de procesador de la base de datos de sucesos.

Ejemplo
SELECT processorid, PROCESSORNAME(processorid) 
FROM events WHERE processorid=104 
GROUP BY processorid LAST 5 MINUTES

Devuelve los resultados del Procesador de sucesos que tiene un ID de procesador igual a 104.


PROTOCOLNAME

Finalidad
Devuelve el nombre de un protocolo por el ID de protocolo
Parámetros

Número ID de protocolo

Ejemplo
SELECT sourceip, PROTOCOLNAME(protocolid) 
AS 'Name of protocol' 
FROM events

Devuelve la dirección IP de origen y el nombre de protocolo de la base de datos de sucesos.


QIDNAME

Finalidad

Busca el nombre de un QID por su QID.

QIDNAME(qid)
Parámetros

QID

Ejemplo
SELECT QIDNAME(qid) 
AS 'My Event Names', qid 
FROM events

Devuelve el nombre de QID y el número de QID.


QIDESCRIPTION

Finalidad

Busca la descripción de QID por su QID.

QIDDESCRIPTION(qid)
Parámetros

QID

Ejemplo
SELECT QIDDESCRIPTION(qid) 
AS 'My_Event_Names', QIDNAME(qid) 
AS 'QID Name' 
FROM events

Devuelve la descripción de QID y el nombre de QID.


REFERENCEMAP

Finalidad

Busca el valor de una clave en un mapa de referencia.

ReferenceMap('Value',Key,domainID)

Aunque domainID es opcional, en un entorno habilitado para el dominio, la búsqueda está limitada sólo a los datos de referencia compartidos cuando se excluye domainID .

Parámetros

Serie, Serie, Entero

Ejemplo
SELECT 
REFERENCEMAP('Full_name_lookup', username, 5)
AS Name_of_User
FROM events

Busca userName (clave) en la correlación de referencia Full_name_lookup en el dominio especificado y devuelve el nombre completo (valor) para el nombre de usuario (clave).


REFERENCEMAPSETCONTAINS

Finalidad

Si existe un valor para una clave en una correlación de referencia de conjuntos, para un dominio, devuelve true.

REFERENCEMAPSETCONTAINS(MAP_SETS_NAME, KEY, VALUE)
Parámetros

Serie, Serie, Serie, Serie

Ejemplo
ReferenceMapSetContains('RiskyUsersForIps','sourceIP','userName')

REFERENCETABLE

Finalidad
Busca el valor de una clave de columna en una tabla identificada por una clave de tabla en una colección de tablas de referencia específica.
REFERENCETABLE
('testTable','value','key', domainID) 
or 
REFERENCETABLE
('testTable','value','key' domainID)

Aunque domainID es opcional, en un entorno habilitado para el dominio, la búsqueda está limitada sólo a los datos de referencia compartidos cuando se excluye domainID .

Parámetros
String, String, String (o dirección IP), Integer
Ejemplo
SELECT 
REFERENCETABLE('user_data','FullName',username, 5) 
AS 'Full Name',
REFERENCETABLE('user_data','Location',username, 5) 
AS Location, 
REFERENCETABLE('user_data','Manager',username, 5) 
AS Manager
FROM events

Devuelve el nombre completo (valor), la ubicación (valor) y el gestor (valor) para el username (clave) de user_data.

Vea más ejemplos de datos de referencia


REFERENCESETCONTAINS

Finalidad

Si un valor está contenido en un conjunto de referencia específico, devuelvetrue.

REFERENCESETCONTAINS
('Ref_Set', 'value', domainID)

Aunque domainID es opcional, en un entorno habilitado para el dominio, la búsqueda está limitada sólo a los datos de referencia compartidos cuando se excluye domainID .

Parámetros

Serie, Serie, Entero

Ejemplo
SELECT 
ASSETUSER(sourceip, NOW()) 
AS 'Source Asset User'
FROM flows
WHERE 
REFERENCESETCONTAINS('Watchusers', username, 5)
GROUP BY "Source Asset User"
LAST 24 HOURS

Devuelve el usuario de activo cuando el username (valor) se incluye en el conjunto de referencia Watchusers .


RULENAME

Finalidad

Devuelve uno o varios nombres de regla basados en el ID o los IDs de regla que se pasan.

RULENAME(creeventlist)

RULENAME(3453)
Parámetros

Un solo ID de regla o una lista de IDs de regla.

Ejemplo
SELECT * FROM events
WHERE RULENAME(creEventList) 
ILIKE '%my rule name%'

Devuelve sucesos que desencadenan un nombre de regla específico.


SELECT RULENAME(123) 
FROM events

Devuelve el nombre de regla por el ID de regla.