Ejemplos de consulta de datos de referencia

Utilizar tablas de referencia para obtener metadatos externos para nombres de usuario que se muestran en sucesos

SELECT
REFERENCETABLE('user_data','FullName',username) AS 'Full Name',
REFERENCETABLE('user_data','Location',username) AS 'Location',
REFERENCETABLE('user_data','Manager',username) AS 'Manager',
UNIQUECOUNT(username) AS 'Userid Count',
UNIQUECOUNT(sourceip) AS 'Source IP Count',
COUNT(*) AS 'Event Count'
FROM events
WHERE qidname(qid)ILIKE '%logon%'
GROUP BY "Full Name", "Location", "Manager"
LAST 1 days

Utilice la tabla de referencia para obtener datos externos como, por ejemplo, el nombre completo, la ubicación y el nombre del gestor para los usuarios que han iniciado la sesión en la red en las últimas 24 horas.

Obtener los ID de usuario globales para los usuarios en sucesos que están marcados para actividad sospechosa

SELECT
REFERENCEMAP('GlobalID_Mapping',username) AS 'Global ID', 
REFERENCETABLE('user_data','FullName', 'Global ID') AS 'Full Name',
UNIQUECOUNT(username),
COUNT(*) AS 'Event count'
FROM events
WHERE RULENAME(creEventlist) 
ILIKE '%suspicious%'
GROUP BY "Global ID"
LAST 2 days

En este ejemplo, los usuarios tienen varias cuentas en la red. La organización requiere una única vista de la actividad de un usuario. Utilice datos de referencia para correlacionar un ID de usuario local con un ID global. La consulta devuelve las cuentas de usuario utilizadas por un ID global para sucesos marcados como sospechosos.

Utilice una búsqueda de correlación de referencia para extraer nombres de usuario globales para los nombres de usuario que se devuelven en los sucesos

SELECT
QIDNAME(qid) as 'Event name', 
starttime AS Time,
sourceip AS 'Source IP', 
destinationip AS 'Destination IP',
username AS 'Event Username',
REFERENCEMAP('GlobalID_Mapping', username) AS 'Global User'
FROM events
WHERE "Global User" = 'John Ariel'
LAST 1 days

Utilice la correlación de referencia para buscar los nombres de usuario globales para los nombres de usuario que se devuelven en los sucesos. Utilice la cláusula WHERE para devolver sólo sucesos para el usuario global John Ariel. John Ariel puede tener algunos nombres de usuario diferentes, pero estos nombres de usuario se correlacionan con un usuario global, por ejemplo, en un sistema de correlación de identidades externo, puede correlacionar un usuario global con varios nombres de usuario utilizados por el mismo usuario global.

Supervisión de la alta utilización de red por parte de los usuarios

SELECT
LONG(REFERENCETABLE('PeerGroupStats', 'average', 
REFERENCEMAP('PeerGroup',username)))
AS PGave,
LONG(REFERENCETABLE('PeerGroupStats', 'stdev', 
REFERENCEMAP('PeerGroup',username)))
AS PGstd, 
SUM(sourcebytes+destinationbytes) AS UserTotal
FROM flows
WHERE flowtype = 'L2R'
GROUP BY UserTotal 
HAVING UserTotal > (PGAve+ 3*PGStd)

Devuelve nombres de usuario donde la utilización del flujo es tres veces mayor que el usuario promedio.

Necesita un conjunto de referencia para almacenar la utilización de red de iguales por nombre de usuario y total de bytes.

Clasificaciones y categorías de amenazas

SELECT 
REFERENCETABLE('ip_threat_data','Category',destinationip) 
AS 'Threat Category',
REFERENCETABLE('ip_threat_data','Rating', destinationip) 
AS 'Threat Rating',
UNIQUECOUNT(sourceip) 
AS 'Source IP Count',
UNIQUECOUNT(destinationip) 
AS 'Destination IP Count' 
FROM events 
GROUP BY "Threat Category", "Threat Rating" LAST 24 HOURS

Devuelve la categoría de amenaza y la calificación de amenaza.

Puede buscar datos de amenaza de tabla de referencia e incluirlos en las búsquedas.

Copia de ejemplos de consulta desde la guía de AQL

Si copia y pega un ejemplo de consulta que contiene comillas simples o dobles de la Guía de AQL, debe volver a escribir las comillas para asegurarse de que la consulta analiza.