AQL 副照会
AQL 副照会を、主照会の参照先 (検索対象) のデータ・ソースとして使用します。 FROM 節または IN 節を使用して、副照会により取得されるデータを参照することにより AQL 照会を詳細化します。
副照会 とは、主照会により参照される、ネストされた (内部) 照会のことです。 副照会は以下の形式で使用できます。
SELECT<フィールド/秒>FROM(<AQLクエリ式>)この照会は、
FROM節を使用して、副照会の出力 (カーソル) を検索します。SELECT<フィールド/秒>FROMイベントWHERE<フィールド>IN(<AQLクエリ式>)この照会は、
IN節を使用して、副照会検索からの値に一致する副照会結果を指定しています。 この副照会は、1 列のみを返します。 結果の制限を指定できますが、最大で 10,000 結果です。
副照会の例
括弧内のネストされた SELECT ステートメントは副照会です。 この副照会が最初に実行され、主照会で使用されるデータを提供します。 主照会の SELECT ステートメントは、副照会の出力 (カーソル) からユーザー名を取得します。
SELECT username FROM
(SELECT * FROM events
WHERE username IS NOT NULL
LAST 60 MINUTES)以下の照会は、Ariel データベースからのユーザー名が副照会の値に一致するレコードを返します。
SELECT * FROM events
WHERE username IN
(SELECT username FROM events
LIMIT 10 LAST 5 MINUTES) LAST 24 HOURS以下の照会は、Ariel データベースからの送信元 IP アドレスが副照会の宛先 IP アドレスに一致するレコードを返します。
SELECT * FROM EVENTS
WHERE sourceip IN
(SELECT destinationip FROM events)以下の照会は、Ariel データベースからの送信元 IP アドレスが副照会で返された送信元 IP アドレスに一致するレコードを返します。 副照会で高リスクのエンティティーと対話した内部ホストを見つけることにより、メインの SELECT ステートメント用のデータがフィルタリングされます。 この照会は、高リスクのエンティティーと対話したホストと通信を行ったホストを返します。
SELECT sourceip AS 'Risky Hosts' FROM events
WHERE destinationip IN (SELECT sourceip FROM events
WHERE eventdirection = 'L2R'
AND REFERENCESETCONTAINS('CriticalWatchList', destinationip)
GROUP BY sourceip)
GROUP BY sourceip last 24 hours