メインコンテンツまでスキップ
Sumo Logic Japanese

ラボ 11 - 自身の検索の作成

独自に特定した悪意のある IP のルックアップ テーブルを作成して、他のクエリから参照します。
save operator と lookup operator を使用すると、自身のカスタム リストを作成し、このリストに対して検索を実行できます。このラボでは、ブラックリストに入っている IP アドレスのリストを作成します。このリストには、Snort が優先度 1 のアラートとして特定した IP アドレスが登録されます。

 

  1. save operator を使用して、IP アドレスのリストをカスタムリストに保存します。次のクエリを使用し、最後の行の <your_name> を任意の名前に置き換えます。

_sourceCategory=labs/snort and "[Priority: 1]"

| parse regex "(?<src_ip>\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})"

| count src_ip

| src_ip as blacklisted

| fields - _count,src_ip

| save append myfolder/<your_name>

  1. リストが正しく作成されたことを確認するため、以下のクエリを実行します。

cat myfolder/<your_name>

  1. 手順 4 でより現実的な結果が得られるように、以下の既存のブラックリストを使用します。

cat shared/snort_alerts

  1. lookup operator を使用して、ブラックリスト shared/snort_alerts ファイルと照合します。not isEmpty(blacklisted) で絞り込んでいるため、labs/snort ログが既存のブラックリストと一致するとログ メッセージが表示されます。

_sourceCategory=labs/snort "[Priority: 1]"

| parse regex "(?<src_ip>\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})"

| lookup blacklisted from shared/snort_alerts on blacklisted=src_ip

| where !isEmpty(blacklisted)

  • この記事は役に立ちましたか?