sonar-signature-to-capecs
入力されたシグネチャからCAPECリストを返します。指定したアプリコードのシグネチャサービスを照会し、入力レコードのシグネチャフィールドにマッピングされたCAPEC IDリストとシグネチャGUIDをレコードに追加します。
コマンドプロパティ
| 項目 | 説明 |
|---|---|
| コマンドタイプ | 加工クエリ |
| 必要な権限 | なし |
| ライセンス使用量 | 該当なし |
| 並列実行 | 対応 |
| 分散実行 | データノードで実行(mapper) |
構文
sonar-signature-to-capecs appcode=STR [field=STR]
オプション
appcode=STR- シグネチャを照会するアプリコードです。
field=STR- シグネチャ値が含まれる入力フィールド名です(デフォルト値:
signature)。
入力フィールド
| フィールド | 型 | 必須/任意 | 説明 |
|---|---|---|---|
| (field の値) | string | 任意 | 照会するシグネチャ文字列(field オプションで指定したフィールド) |
出力フィールド
| フィールド | 型 | 説明 |
|---|---|---|
_signature_guid | string | 一致するシグネチャのGUID。一致するシグネチャがなければ null |
_capecs | array | シグネチャにマッピングされたCAPEC IDリスト。一致するシグネチャがなければ null |
エラーコード
パースエラー
該当なし
ランタイムエラー
該当なし
説明
sonar-signature-to-capecs は、入力レコードの field オプションで指定したフィールドからシグネチャ文字列を読み取り、シグネチャサービスを照会します。照会時に appcode で指定したアプリコードでシグネチャの範囲を限定します。
一致するシグネチャが見つかった場合、そのシグネチャのGUIDを _signature_guid に、紐付けられたCAPEC IDリストを _capecs に割り当てます。一致するシグネチャがない場合、field で指定したフィールドが null の場合、または文字列でない場合は、両方の出力フィールドに null を割り当てます。
バッチ処理時はレコードバッチから一意のシグネチャ値リストを先に抽出してから一括照会するため、同じシグネチャが複数のレコードにあっても1回のみ照会します。
使用例
-
イベントの
signatureフィールドでCAPECリストを照会table duration=1h sonar_events | sonar-signature-to-capecs appcode="snr.ndr" | fields signature, _signature_guid, _capecs -
sig_nameフィールドにシグネチャ値がある場合table duration=1h sonar_events | sonar-signature-to-capecs appcode="snr.ndr" field="sig_name" | fields sig_name, _signature_guid, _capecs -
CAPECがマッピングされたイベントのみフィルタリング
table duration=1d sonar_events | sonar-signature-to-capecs appcode="snr.ndr" | search isnotnull(_capecs) | stats count by _capecs | sort -count
互換性
sonar-signature-to-capecs コマンドは、Sonar 5.0.2603.0バージョンから利用可能です。