>

적응 및 조정: 검색 조정: 검색 조정

검색

기록된 미래 앱에는 상관관계와 보강이라는 두 가지 유형 또는 검색이 있습니다. 두 유형 모두 수정 방법에 대한 지침과 함께 아래에 자세히 설명되어 있습니다.

상관관계 검색

기록된 미래는 지원 웹에서 기록된 미래 위험 목록에 대한 일반적인 Splunk 검색 문자열에 대한 샘플 검색 모음으로 기록된 미래 위험 목록을 다양한 로그 파일과 상호 연관시키는 방법을 보여줍니다.

Splunk 기능인 '워크플로 작업'을 사용하면 검색 결과에 대한 컨텍스트에 따라 메뉴 항목을 설정할 수 있습니다.

워크플로 작업

기본 집합에 포함되지 않은 작업에 대한 설명은 기록된 미래 웹 사이트의 다음 문서에서 확인할 수 있습니다: Splunk에서 기록된 미래 강화 데이터로 피벗하기.

기본 검색

상관관계 대시보드의 기본 검색은 동일한 형식을 따르며 보다 구체적인 검색을 위한 기초로 사용됩니다.

이것은 기록된 미래 IP 로그 상관관계 대시보드의 기본 기본 검색입니다:


    index=메인 소스 유형="netscreen:firewall" earliest=-24h 
 | eval Name=dst
 | join [|inputlookup default_ip_risklist.csv | table * ]
 | search Risk != "" 
 | sort -Risk
  • index=메인 소스 유형="netscreen:firewall" earliest=-24h는 '메인' 인덱스를 선택하고, 소스 유형을 최근 24시간 이내의 타임스탬프가 있는 'netscreen:firewall'로 설정합니다.
  • eval Name=dst는 eval 문을 사용하여 로그의 'dst' 필드 이름을 'Name'으로 바꿉니다.
  • 조인 [|inputlookup default_ip_risklist.csv | table * ] 는 이전 검색 결과와 IP_risklist.csv 조회 파일에서 사용 가능한 모든 필드가 포함된 테이블을 조인합니다.
  • 검색 위험 != "" 은 '위험' 필드에 값이 할당된 항목을 검색하여위험이 할당되지 않은 결과를 모두 제거합니다.
  • 정렬 -위험 는 필드 이름 앞에 '-'를 추가하여 위험도가 가장 높은 결과가 목록의 맨 위에 표시되도록 위험도 내림차순으로 결과를 정렬합니다.

일반적인 수정 방법은 사용자 지정 위험 목록을 사용하는 것입니다. 기록된 미래 위험 목록에서 주요 요소는 이름입니다. 위험 목록의 유형에 따라 내용이 달라지므로 예를 들어 도메인 위험 목록에서는 도메인을, 취약성 위험 목록에서는 CVE를 나타냅니다. 사용자 지정 위험 목록을 사용하려면 두 번째 행을 수정하여 Splunk와 위험 목록에 있는 데이터의 필드 이름이 모두 일치하도록 합니다.

이전 버전의 상관관계 대시보드에서는 조회를 사용했는데, 이는 훨씬 느리고 결과에서 일치하지 않는 이벤트가 제거되지 않는 기록된 미래 앱용 Splunk의 맥락에서 볼 때 훨씬 느립니다. 입력 조회와 함께 조인하위 검색을 사용하는 것이 더 빠릅니다.

하위 검색

기본 검색에서 고유 행의 양을 결정하는 검색입니다. 첫 번째 문은 통계적으로 고유 카운트를 수행하여 'Name' 필드의 고유 값만 계산하고 결과를 'count' 필드에 저장합니다. 그런 다음 이 값에 색상을 지정하기 위해 rangemap 문을 사용합니다.


    | stats dc(Name) as count
 | rangemap field=count low=0-0 evelated=1-1 default=severe

다음 하위 검색은 상관관계 대시보드의 마지막 테이블을 생성하여 '이름' 필드에 있는 각 값의 발생 횟수를 표시합니다. 통계와 비교하여 이벤트통계는 결과의 각 행에 새 필드 'Count'를 추가합니다. '이름'과 관련된 모든 중복 행은 'dedup Name'을 사용하여 제거합니다. 기록된 미래 매크로 'format_evidence'는 'EvidenceDetails' 필드에 있는 JSON 객체를 구문 분석하여 여기에 포함된 데이터로 새 필드를 채웁니다. 마지막으로 데이터를 내림차순으로 정렬하고 위험에서 소수를 모두 제거하여 정리한 다음 최종 정보를 보여주는 테이블을 만듭니다.


    | eventstats Count BY Name
 | dedup Name
 | `format_evidence`
 | sort -Risk
 | eval Risk = round(Risk,0)
 | table Risk, Name, Count, RiskString, Rule, Evidence

강화 검색

강화 대시보드에서는 API 크레딧을 사용하여 Recorded Future Connect API에서 특정 엔티티에 대한 자세한 정보를 가져옵니다.

기본 검색

각 보강 대시보드의 기본 검색에는 엔티티에 대한 정보를 가져오기 위한 REST 호출이 포함되어 있습니다. API에서 받은 정보를 사용자 지정할 수 있습니다. 기본적으로 사용 가능한 모든 필드는 사용자에게 최대한 많은 데이터를 표시할 수 있도록 선택되어 있습니다. 사용 가능한 필드는 레코딩된 미래 API 페이지에서 확인할 수 있습니다. CDATA 캡슐화, 즉 '이 검색의 정규식'입니다. spath 문은 정보를 검색에 사용할 수 있도록 JSON 객체를 구문 분석하는 데 사용됩니다. 마지막 두 문은 타임스탬프를 보다 일반적인 형식으로 변환합니다.


    .+)"
   | rename rulesMax TO risk.rulesMax
 | spath input=timestamps 
 | eval FirstSeen=strftime(strptime('timestamps.firstSeen', "%Y-%m-%dT%H:%M:%S.%NZ"), "%b %d, %Y") 
    | eval LastSeen=strftime(strptime('timestamps.lastSeen', "%Y-%m-%dT%H:%M:%S.%NZ"), "%b %d, %Y")
   ]]>
하위 검색

보강 대시보드의 많은 하위 검색은 매우 유사하며, 특히 관련 엔티티 테이블의 경우 더욱 그렇습니다. 한 가지 예는 아래 관련 도메인에 대한 것입니다:


    | `unpack_relatedEntities(RelatedInternetDomainName)`
 | sort -count, name
 | 이름을 Domain으로 이름 바꾸기
 | 이름 수를 References로 바꾸기
 | 테이블 도메인, 참조

매크로 'unpack_relatedEntities'는 입력 JSON 객체를 구문 분석합니다. 매크로는 모든 관련 엔티티 테이블이 동일한 방식으로 처리되도록 하는 데 사용됩니다. 결과는 적절한 헤더를 얻기 위해 정렬되고 이름이 변경됩니다. 마지막 행은 대시보드에 표시되는 테이블을 생성하여 '도메인' 및 '참조' 필드를 표시합니다.

추가 도움말

"스플렁크용 레코디드 퓨처 앱"은 레코디드 퓨처에서 개발했습니다.

자세한 정보 및 지원은 지원 웹 사이트( support.recordedfuture.com)에서 확인할 수 있습니다.