QRadar Network Packet Capture NTQL (Query Language)

QRadar® Network Packet Capture Query Language (NTQL) 를 사용하여 캡처된 패킷에서 데이터를 검색하십시오.

예를 들어, 다음 유형의 정보를 위해 NTQL을 사용할 수 있습니다.
  • IPv4 호스트 주소(소스, 대상 또는 둘 중 하나)
  • IPv6 호스트 주소(소스, 대상 또는 둘 중 하나)
  • TCP 또는 UDP 포트 번호(소스, 대상 또는 둘 중 하나)
  • 이더넷 프레임에 의해 전송되는 계층 3 프로토콜
  • IP 패키지에 의해 전송되는 계층 4 프로토콜
  • 논리적 andor와의 결합
주: NTQL은 대소문자를 구분합니다.

모두 일치

비어 있는 NTQL 문자열은 모든 패킷과 일치하며, 일치 수가 제한된 경우에 유용합니다.

호스트 주소 검색

특정 호스트에 전송된 패킷을 검색하려면 다음 문자열을 입력하십시오.
src host <IP address>
호스트에서 전송된 패킷을 검색하려면 다음 문자열을 입력하십시오.
dst host <IP address>

포트 번호 검색

TCP 또는 UDP 포트로 또는 해당 포트로부터 전송된 패킷을 검색하려면 다음 문자열을 입력하십시오.
port <number>
포트 번호가 없는 프로토콜을 사용하여 전송된 패킷은 이 검색에서 제외됩니다.
특정 포트에서 전송된 패킷으로 검색 결과를 축소하려면 다음 문자열을 입력하십시오.
src port <number>
특정 포트로 전송된 패킷을 검색하려면 다음 문자열을 입력하십시오.
dst port <number>

계층 3 프로토콜 검색

특정 계층 3 프로토콜을 사용하는 패킷을 검색하려면 다음 문자열을 입력하십시오.
l3proto <protocol>
여기서 <protocol>은 프로토콜 번호 또는 이름입니다. 다음은 지원되는 프로토콜 이름입니다.
  • arp
  • ip
  • ip4
  • ip6
  • ipv4
  • ipv6
  • lldp
  • ptp
ip가 프로토콜로 제공되면 IPv4가 사용됩니다.

계층 4 프로토콜 검색

특정 계층 4 프로토콜을 사용하는 패킷을 검색하려면 다음 문자열을 입력하십시오.
l4proto <protocol>
여기서 <protocol>은 프로토콜 번호 또는 이름입니다. 다음은 지원되는 프로토콜 이름입니다.
  • 3pc
  • ah
  • argus
  • aris
  • ax.25
  • bbn-rcc-mon
  • bna
  • br-sat-mon
  • cbt
  • cftp
  • chaos
  • compaq-peer
  • cphb
  • cpnx
  • crtp
  • crudp
  • dccp
  • dcn-meas
  • ddp
  • ddx
  • dgp
  • egp
  • eigrp
  • emcon
  • encap
  • esp
  • etherip
  • fc
  • fire
  • ggp
  • gmtp
  • gre
  • hip
  • hmp
  • hopopt
  • i-nlsp
  • iatp
  • icmp
  • idpr
  • idpr-cmtp
  • idrp
  • ifmp
  • igmp
  • igp
  • il
  • ip-in-ip
  • ipcomp
  • ipcu
  • ipip
  • iplt
  • ippc
  • iptm
  • ipv6
  • ipv6-frag
  • ipv6-icmp
  • ipv6-nonxt
  • ipv6-opts
  • ipv6-route
  • ipx-in-ip
  • irtp
  • iso-ip
  • iso-tp4
  • kryptolan
  • l2tp
  • larp
  • leaf-1
  • leaf-2
  • manet
  • merit-inp
  • mfe-nsp
  • mhrp
  • micp
  • mobile
  • mobility-header
  • mpls-in-ip
  • mtp
  • mux
  • narp
  • netblt
  • nsfnet-igp
  • nvp-ii
  • ospf
  • pgm
  • pim
  • pipe
  • pnni
  • prm
  • ptp
  • pup
  • pvp
  • qnx
  • rdp
  • rohc
  • rsvp
  • rsvp-e2e-ignore
  • rvd
  • sat-expak
  • sat-mon
  • scc-sp
  • scps
  • sctp
  • sdrp
  • secure-vmtp
  • shim6
  • skip
  • sm
  • smp
  • snp
  • sprite-rpc
  • sps
  • srp
  • sscopmce
  • st
  • stp
  • sun-nd
  • swipe
  • tcf
  • tcp
  • tlsp
  • tp++
  • trunk-1
  • trunk-2
  • ttp
  • udp
  • udplite
  • uti
  • vines
  • visa
  • vmtp
  • vrrp
  • wb-expak
  • wb-mon
  • wesp
  • wsn
  • xnet
  • xns-idp
  • xtp

검색어 조합

이러한 검색어를 andor 키워드를 사용하여 더 복잡한 표현식으로 조합할 수 있습니다. 예를 들어, 1.1.1.1 또는 2.2.2.2로 들어가거나 나오는 패킷을 검색하려면 다음 문자열을 입력하십시오.
host 1.1.1.1 or host 2.2.2.2
1.1.1.1 또는 2.2.2.2로 들어오고 나오는 패킷을 검색하려면, 다음 문자열을 입력하십시오.
host 1.1.1.1 and host 2.2.2.2
이러한 키워드는 왼쪽 연관 법칙입니다. 예를 들어, 다음 구문을 고려해 보십시오.
port 42 and host 1.1.1.1 or host 2.2.2.2
이 표현식은 다음과 같이 평가됩니다.
  • 포트 42를 대상으로 전송하거나 수신하며 호스트 1.1.1.1 또는
  • 호스트 2.2.2.2를 대상으로 포트 번호에 상관없이 전송하거나 수신함
다음 예에서와 같이 괄호를 사용하여 왼쪽 연관 법칙을 변경할 수 있습니다.
port 42 and (host 1.1.1.1 or host 2.2.2.2)
1.1.1.1 또는 2.2.2.2를 대상으로 전송되거나 수신되는 포트 42를 대상으로 전송되거나 수신되는 패킷을 찾기 위해 표현식을 평가합니다.