데이터 탐색기 SQL 검색 예시

개요

이 예제들은 Panther 콘솔의 Data Explorer를 사용하여 보안 데이터 레이크 내의 데이터를 조사하고 질문에 답하는 방법을 보여줍니다.

Snowflake 환경에서 문법 및 올바른 문장 사용 예시는 다음을 참조하십시오. Snowflake 문서: SQL 명령 참조 와 반구조화된 데이터 쿼리하기.

이 페이지의 예제는 모든 로그 유형에 적용되며, 하위 페이지는 특정 로그 유형에 적용되는 예제를 포함합니다:

• VPC 플로우 로그

• CloudTrail 로그

• GuardDuty 로그

• S3 액세스 로그

• NGINX 및 ALB 액세스 로그

• GitHub 감사 로그

고려 사항

모든 쿼리는 결과 크기를 제어해야 합니다. 이는 다음으로 수행할 수 있습니다. LIMIT 이전에 생성한 Snowflake 사용자 이름, 예를 들면 GROUP BY 절.

이 IP 주소가 내 네트워크에서 어떤 활동을 했는가(그리고 어떤 로그에서)?

이는 조사에서 자주 제기되는 첫 번째 질문들 중 하나입니다. IP 주소와 같은 알려진 악성 지표가 있으면 네트워크/시스템에서 관련 활동이 있는지 확인하고, 관련 활동이 있다면 상세 조사가 필요합니다.

Snowflake의 포함 메서드는 데이터에 대해 부분 일치를 할 수 있으며, Snowflake의 array_contains 메서드는 해당 데이터에 대해 정확한 일치를 요구합니다.

아래 예제에서는 Panther 필드 p_any_ip_addresses 가 사용됩니다. Panther는 여러 데이터 소스에 걸쳐 공통 지표 필드를 표준 필드로 추출합니다(참조: Panther 필드).

모든 로그에서 행 수 기준 상위 10개 IP는 무엇인가요?

활동을 순위 매기기(상위 또는 하위)는 네트워크를 파악하는 데 유용한 기법입니다. 높은 순위의 활동은 DDoS 공격에 연루된 IP 주소를 찾는 데 도움이 될 수 있고, 낮은 순위(ORDER BY를 ASC로 변경)는 교묘한 활동을 강조할 수 있습니다.

모든 로그에서 로그 유형별 상위 10개 IP는 무엇인가요?

위 쿼리의 변형으로, IP를 활동을 보인 데이터 소스 수로 순위 매깁니다. 이는 해당 IP 주소가 모든 시스템에서 갖는 '도달 범위'의 정도를 보여줍니다.