데이터 탐색기 SQL 검색 예제

개요

이 예제들은 Panther 콘솔의 데이터 탐색기(Data Explorer)를 사용하여 보안 데이터 레이크(Security Data Lake) 내 데이터를 조사하고 질문에 답하는 방법을 보여줍니다.

Snowflake 환경에서 구문 및 명령문 올바른 사용 예는 Snowflake 문서: SQL 명령 참조 와 반구조화된 데이터 쿼리하기.

이 페이지의 예제들은 모든 로그 유형에 적용되며, 하위 페이지에는 특정 로그 유형에 적용되는 예제가 포함되어 있습니다:

• VPC 흐름 로그

• CloudTrail 로그

• GuardDuty 로그

• S3 액세스 로그

• NGINX 및 ALB 액세스 로그

• GitHub 감사 로그

고려사항

모든 쿼리는 결과 크기를 제어해야 합니다. 이는 다음을 사용하여 수행할 수 있습니다 LIMIT 또는 GROUP BY 절.

이 IP 주소가 내 네트워크에서 어떤 활동을 했는가(그리고 어떤 로그에서)?

이것은 조사에서 자주 제기되는 첫 번째 질문 중 하나입니다. IP 주소와 같은 알려진 악성 지표가 있는 경우 네트워크/시스템에서 관련 활동이 있는지 확인하고, 관련 활동이 발견되면 자세한 조사가 필요합니다.

Snowflake의 포함 메서드는 데이터에 대해 부분 일치를 할 수 있고, Snowflake의 array_contains 메서드는 해당 데이터에 대해 정확한 일치를 요구합니다.

아래 예제에서는 Panther 필드 p_any_ip_addresses 가 사용됩니다. Panther는 여러 데이터 소스에서 공통되는 여러 인디케이터 필드를 표준 필드로 추출합니다(참조 Panther 필드).

모든 로그에서 행 수 기준 상위 10개 IP는 무엇인가?

활동 순위 매기기(상위 또는 하위)는 네트워크 가시성을 얻는 유용한 기법입니다. 높은 순위의 활동은 DDoS 공격에 관여한 IP 주소를 찾는 데 도움이 될 수 있고, 낮은 순위(ORDER BY를 ASC로 변경)는 은밀한 활동을 부각시킬 수 있습니다.

모든 로그에서 로그 유형별 상위 10개 IP는 무엇인가?

위 쿼리의 변형으로, 여기서는 IP가 활동을 보이는 데이터 소스의 수로 IP를 순위 매깁니다. 이는 해당 IP 주소가 전체 시스템에 대해 가지는 "도달 범위"의 정도를 보여줍니다.