ラボ 11 - 自身の検索の作成

save operator と lookup operator を使用すると、自身のカスタム リストを作成し、このリストに対して検索を実行できます。このラボでは、ブラックリストに入っている IP アドレスのリストを作成します。このリストには、Snort が優先度 1 のアラートとして特定した IP アドレスが登録されます。

1. save operator を使用して、IP アドレスのリストをカスタムリストに保存します。次のクエリを使用し、最後の行の <your_name> を任意の名前に置き換えます。

_sourceCategory=labs/snort and "[Priority: 1]"

| parse regex "(?<src_ip>\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})"

| count src_ip

| src_ip as blacklisted

| fields - _count,src_ip

| save append myfolder/<your_name>

2. リストが正しく作成されたことを確認するため、以下のクエリを実行します。

cat myfolder/<your_name>

3. 手順 4 でより現実的な結果が得られるように、以下の既存のブラックリストを使用します。

cat shared/snort_alerts

4. lookup operator を使用して、ブラックリスト shared/snort_alerts ファイルと照合します。not isEmpty(blacklisted) で絞り込んでいるため、labs/snort ログが既存のブラックリストと一致するとログ メッセージが表示されます。

_sourceCategory=labs/snort "[Priority: 1]"

| parse regex "(?<src_ip>\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})"

| lookup blacklisted from shared/snort_alerts on blacklisted=src_ip

| where !isEmpty(blacklisted)