참조 데이터 조회 예제

AQL 조회를 사용하여 참조 세트, 참조 맵 또는 참조 테이블에서 데이터를 가져옵니다. 참조 세트를 채우는 룰을 사용하거나, 외부 위협 피드(예: LDAP Threat Intelligence App)를 사용하거나, 참조 세트에 가져온 데이터 파일을 사용하여 참조 데이터를 작성하고 채울 수 있습니다.

팁: AQL 조회에서 따옴표를 사용하는 방법에 대한 정보는 따옴표를 참조하십시오.

다음 예제를 사용하면 참조 데이터에서 데이터를 추출하는 조회를 작성하는 데 도움이 됩니다.


참조 테이블을 사용하여 이벤트에 표시되는 사용자 이름에 대한 외부 메타데이터 가져오기

SELECT
REFERENCETABLE('user_data','FullName',username) AS 'Full Name',
REFERENCETABLE('user_data','Location',username) AS 'Location',
REFERENCETABLE('user_data','Manager',username) AS 'Manager',
UNIQUECOUNT(username) AS 'Userid Count',
UNIQUECOUNT(sourceip) AS 'Source IP Count',
COUNT(*) AS 'Event Count'
FROM events
WHERE qidname(qid)ILIKE '%logon%'
GROUP BY "Full Name", "Location", "Manager"
LAST 1 days

참조 테이블을 사용하여 최근 24시간 동안 네트워크에 로그인한 사용자의 전체 이름, 위치 및 관리자 이름과 같은 외부 데이터를 가져오십시오.


의심스러운 활동으로 플래그 지정된 이벤트의 사용자에 대한 글로벌 사용자 ID 가져오기

SELECT
REFERENCEMAP('GlobalID_Mapping',username) AS 'Global ID', 
REFERENCETABLE('user_data','FullName', 'Global ID') AS 'Full Name',
UNIQUECOUNT(username),
COUNT(*) AS 'Event count'
FROM events
WHERE RULENAME(creEventlist) 
ILIKE '%suspicious%'
GROUP BY "Global ID"
LAST 2 days

이 예제에서 개별 사용자는 네트워크에서 다중 계정을 가집니다. 조직은 사용자 활동에 대한 단일 보기가 필요합니다. 참조 데이터를 사용하여 로컬 사용자 ID를 글로벌 ID로 맵핑하십시오. 이 조회는 의심스러운 것으로 플래그 지정된 이벤트에 대해 글로벌 ID로 사용되는 사용자 계정을 리턴합니다.


참조 맵 검색을 사용하여 이벤트에서 리턴되는 사용자 이름에 대한 글로벌 사용자 이름 추출

SELECT
QIDNAME(qid) as 'Event name', 
starttime AS Time,
sourceip AS 'Source IP', 
destinationip AS 'Destination IP',
username AS 'Event Username',
REFERENCEMAP('GlobalID_Mapping', username) AS 'Global User'
FROM events
WHERE "Global User" = 'John Ariel'
LAST 1 days

참조 맵을 사용하여 이벤트에서 리턴되는 사용자 이름에 대한 글로벌 사용자 이름을 검색하십시오. 글로벌 사용자 John Ariel에 대한 이벤트만 리턴하려면 WHERE절을 사용하십시오. John Ariel은 몇 가지 사용자 이름을 갖고 있을 수 있지만 이러한 사용자 이름은 글로벌 사용자에 맵핑됩니다. 예를 들어, 외부 ID 맵핑 시스템에서 글로벌 사용자를 동일한 글로벌 사용자가 사용하는 여러 사용자 이름에 맵핑할 수 있습니다.


사용자별로 높은 네트워크 활용도 모니터링

SELECT
LONG(REFERENCETABLE('PeerGroupStats', 'average', 
REFERENCEMAP('PeerGroup',username)))
AS PGave,
LONG(REFERENCETABLE('PeerGroupStats', 'stdev', 
REFERENCEMAP('PeerGroup',username)))
AS PGstd, 
SUM(sourcebytes+destinationbytes) AS UserTotal
FROM flows
WHERE flowtype = 'L2R'
GROUP BY UserTotal 
HAVING UserTotal > (PGAve+ 3*PGStd)

플로우 활용도가 일반 사용자보다 3배나 높은 사용자 이름을 리턴합니다.

피어의 네트워크 활용도를 사용자 이름순 및 총 바이트별로 저장하는 참조 세트가 필요합니다.


위협 등급 및 카테고리

SELECT 
REFERENCETABLE('ip_threat_data','Category',destinationip) 
AS 'Threat Category',
REFERENCETABLE('ip_threat_data','Rating', destinationip) 
AS 'Threat Rating',
UNIQUECOUNT(sourceip) 
AS 'Source IP Count',
UNIQUECOUNT(destinationip) 
AS 'Destination IP Count' 
FROM events 
GROUP BY "Threat Category", "Threat Rating" LAST 24 HOURS

위협 카테고리 및 위협 등급을 리턴합니다.

참조 테이블 위협 데이터를 찾아 검색에 포함할 수 있습니다.

AQL 안내서에서 조회 예제 복사

AQL 안내서에서 작은따옴표나 큰따옴표가 포함된 조회 예제를 복사하여 붙여넣는 경우 조회가 구문 분석되도록 하려면 따옴표를 다시 입력해야 합니다.