インテリジェンスクエリ

Intelligence でクエリを構築し、ログファイルから特定の脅威を検出します。

クエリ

Intelligence では、高度なクエリを使用してクラウドログから情報をフィルタリングし、目的の情報またはイベントを検索します。これらのクエリーは、ガバナンス仕様言語(GSL) を使用して構築されます。これは、のクエリーと似ています。

Intelligence には、クラウド環境に適用される可能性のあるさまざまな一般的な状況をカバーする多くの組み込みクエリが含まれています。これらのクエリー「out-of-the-box」を使用すると、クラウド環境のトラフィックを素早く視覚化できます。例：

Inbound traffic - すべてのインバウンドトラフィックを表示します。

Rejected traffic - VPCとの間で拒否されたトラフィックをすべて表示します。

Malicious accepted traffic - これは、(脅威インテリジェンスソースによって決定された)悪意のあるIPアドレスから発信された、ネットワークによって受け入れられたトラフィックを示します。

また、カスタムクエリーを定義して、組み込みクエリーでカバーされない特定の情報をフィルタリングすることもできます。

カスタムクエリーの構築

GRAPHIC Query Builder を使用して、Intelligence Traffic およびActivity Explorer ビューのカスタムクエリを作成したり、クエリをテキストとして直接入力したりできます。

以下の例は、これらの両方のメソッドを使用してクエリを作成する方法を示しています。

例1:Graphic Query Builder を使用したクエリの作成

この例では、トラフィックエクスプローラビューにクエリを作成します。

ルールは、ボックスの下に表示されるエンティティと演算子に基づいて、Rule GSL ボックスに構築されます。表示されるエンティティと演算子のセットは、クエリを開発するときのコンテキストに応じて増分的に異なります。

ページ上部のクエリボックスで、open editor をクリックします。GSL エディターが開きます。ルールは左側のRule GSL ボックスに組み込まれています。ルールを増分的に構築する。各ステージで、選択できるエンティティがボックスの下に表示されます(構築中のルールのコンテキストに応じて)。右側には、選択できるすべてのエンティティとプロパティ、および各データ型のディクショナリがあります(フリーテキストを使用してルールを作成する場合に使用します)。
クラウドプロバイダを選択します。
ソース (vpcfl または cloudtrail、AWS) を選択します。これがログ情報のソースです。AWS アカウントでは、vpcfl ログがネットワーククエリに使用され、cloudtrail ログがアカウントアクティビティクエリに使用されます。
次に、条件を選択します(ここ)。この段階では、これが唯一のオプションです。この後、左括弧を選択して、句または(ソースエンティティの) プロパティを開くことができます。
表示されたプロパティ(status/protocol/action/srcなど)からプロパティを選択します。この例では、src. を選択して追加のプロパティを選択し、src プロパティを修飾できます。
src を修飾する別のプロパティを選択します。この例では、address を選択します。 src.address.
演算子(=, like, regexMatch) と引数を選択します。この例では、関数isPublicCIDR() を選択します。これは、演算子. を必要としません。 vpcfl where src.address isPublicCIDR().
「OK」をクリックしてエディタを終了します。クエリはクエリボックスに配置され、実行できる状態になります。アカウントとクエリの時間枠を選択し、Run をクリックしてクエリを実行します。結果には、パブリックIP アドレスから発信されるすべてのトラフィックが表示されます。結果がネットワークログエクスプローラビューに表示されます。