QRadar Network Packet Capture Sorgu Dili (NTQL)

Yakalanan paketlerden veri almak için QRadar® Network Packet Capture Query Language (NTQL) olanağını kullanın.

Örneğin, aşağıdaki bilgi tipleri için NTQL ' yi kullanabilirsiniz:

Kaynak, hedef ya da kaynak olarakIPv4 anasistem adresleri
Kaynak, hedef ya da kaynak olarakIPv6 anasistem adresleri
TCP ya da UDP kapı numaraları (kaynak, hedef ya da hedef olarak)
Ethernet çerçevelerinin taşıdığı katman 3 iletişim kuralı
Katman 4 iletişim kuralı IP paketleri tarafından gerçekleştirildi
Mantıksal and ve orile bunların birleşimleri

Not: NTQL büyük ve küçük harfe duyarlıdır.

Her şeyle eşleşen

Boş bir NTQL dizgisi tüm paketlerle eşleşir; eşleşmeler sayısı sınırlı olduğunda bu özellik yararlı olur.

Anasistem adresi arama

Belirli bir anasisteme gönderilen paketleri aramak için şu dizgiyi girin:

src host <IP address>

Bir anasistemden gönderilen paketleri aramak için şu dizgiyi girin:

dst host <IP address>

Kapı numarası araması

TCP ya da UDP kapısına gönderilen ya da bu kapıdan gönderilen paketleri aramak için aşağıdaki dizgiyi girin:

port <number>

Kapı numarası olmayan protokoller kullanılarak gönderilen paketler bu arama tarafından atılır.

Arama sonuçlarını belirli bir kapıdan gönderilen paketlere daraltmak için, şu dizgiyi girin:

src port <number>

Belirli bir kapıya gönderilen paketleri aramak için şu dizgiyi girin:

dst port <number>

Katman 3 iletişim kuralı araması

Özel bir katman 3 iletişim kuralını kullanan paketleri aramak için şu dizgiyi girin:

l3proto <protocol>

Burada <protocol> , bir protokol numarası ya da bir ad. Desteklenen protokol adları şunlardır:

arp
ip
ip4
ip6
ipv4
ipv6
lldp
ptp

ip protokol olarak verildiğinde, IPv4 kullanılır.

Katman 4 iletişim kuralı araması

Belirli bir katman 4 iletişim kuralını kullanan paketleri aramak için şu dizgiyi girin:

l4proto <protocol>

Burada <protocol> , bir protokol numarası ya da bir ad. Desteklenen adlar şunlardır:

3pc
ah
argus
aris
ax.25
bbn-rcc-mon
bna
br-sat-mon
cbt
cftp
chaos
compaq-peer
cphb
cpnx
crtp
crudp
dccp
dcn-meas
ddp
ddx
dgp
egp
eigrp
emcon
encap
esp
etherip
fc
fire
ggp
gmtp
gre
hip
hmp
hopopt
i-nlsp
iatp
icmp
idpr
idpr-cmtp
idrp
ifmp
igmp
igp
il
ip-in-ip
ipcomp
ipcu
ipip
iplt
ippc
iptm
ipv6
ipv6-frag
ipv6-icmp
ipv6-nonxt
ipv6-opts
ipv6-route
ipx-in-ip
irtp
iso-ip
iso-tp4
kryptolan
l2tp
larp
leaf-1
leaf-2
manet
merit-inp
mfe-nsp
mhrp
micp
mobile
mobility-header
mpls-in-ip
mtp
mux
narp
netblt
nsfnet-igp
nvp-ii
ospf
pgm
pim
pipe
pnni
prm
ptp
pup
pvp
qnx
rdp
rohc
rsvp
rsvp-e2e-ignore
rvd
sat-expak
sat-mon
scc-sp
scps
sctp
sdrp
secure-vmtp
shim6
skip
sm
smp
snp
sprite-rpc
sps
srp
sscopmce
st
stp
sun-nd
swipe
tcf
tcp
tlsp
tp++
trunk-1
trunk-2
ttp
udp
udplite
uti
vines
visa
vmtp
vrrp
wb-expak
wb-mon
wesp
wsn
xnet
xns-idp
xtp

Arama terimlerini birleştirme

Bu arama terimleri, and ve or anahtar sözcükleriyle daha karmaşık ifadelerde birleştirilebilir. For example, to search for packets to or from 1.1.1.1 or 2.2.2.2, enter the following string:

host 1.1.1.1 or host 2.2.2.2

To search for packets that are both to and from 1.1.1.1 or 2.2.2.2, enter the following string:

host 1.1.1.1 and host 2.2.2.2

Bu anahtar sözcükler associative olarak bırakılır. Örneğin, aşağıdaki sözdizimini göz önünde bulundurun:

port 42 and host 1.1.1.1 or host 2.2.2.2

İfade, aşağıdaki sonucu verir:

sent to or from port 42 and to or from host 1.1.1.1, or
Kapı numaraları dikkate alınmaksızın, 2.2.2.2 anasisteminden ya da bu anasistemden

Sol ilişkilendirmeyi aşağıdaki örnekte gösterildiği gibi parantezleri kullanarak değiştirebilirsiniz:

port 42 and (host 1.1.1.1 or host 2.2.2.2)

The expression evaluates to find packets to or from port 42 that are to or from host 1.1.1.1 or 2.2.2.2.