ラボ 11 - 自身の検索の作成
独自に特定した悪意のある IP のルックアップ テーブルを作成して、他のクエリから参照します。
save operator と lookup operator を使用すると、自身のカスタム リストを作成し、このリストに対して検索を実行できます。このラボでは、ブラックリストに入っている IP アドレスのリストを作成します。このリストには、Snort が優先度 1 のアラートとして特定した IP アドレスが登録されます。
-
save operator を使用して、IP アドレスのリストをカスタムリストに保存します。次のクエリを使用し、最後の行の <your_name> を任意の名前に置き換えます。
_sourceCategory=labs/snort and "[Priority: 1]"
| parse regex "(?<src_ip>\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})"
| count src_ip
| src_ip as blacklisted
| fields - _count,src_ip
| save append myfolder/<your_name>
- リストが正しく作成されたことを確認するため、以下のクエリを実行します。
cat myfolder/<your_name>
-
手順 4 でより現実的な結果が得られるように、以下の既存のブラックリストを使用します。
cat shared/snort_alerts
-
lookup operator を使用して、ブラックリスト shared/snort_alerts ファイルと照合します。not isEmpty(blacklisted) で絞り込んでいるため、labs/snort ログが既存のブラックリストと一致するとログ メッセージが表示されます。
_sourceCategory=labs/snort "[Priority: 1]"
| parse regex "(?<src_ip>\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})"
| lookup blacklisted from shared/snort_alerts on blacklisted=src_ip
| where !isEmpty(blacklisted)