sonar-ip-addresses

資産として登録されているIPアドレスの一覧を取得します。オプションなしで実行すると登録されているすべての資産IPを返し、cve オプションを使用すると特定のCVE脆弱性が登録されている資産IPのみを返します。

コマンドプロパティ

項目説明
コマンドタイプドライバークエリ
必要な権限なし
ライセンス使用量集計なし
並列実行非対応
分散実行非対応

構文

sonar-ip-addresses [cve=STR]

オプション

cve=STR
該当するCVE IDが脆弱性として登録されている資産IPのみを返します。CVE-YYYY-NNNNN 形式で指定します。

出力フィールド

フィールド説明
guidstring資産IP GUID
ipstringIPアドレス
category_namestring資産分類名
category_guidstring資産分類GUID
hostnamestringホスト名
workgroupstringワークグループまたはドメイン
descriptionstring資産の説明
priorityinteger資産の優先度
emp_namestring第1担当者名
emp_name2string第2担当者名
emp_guidstring第1担当者GUID
emp_guid2string第2担当者GUID
emp_keystring第1担当者キー
emp_key2string第2担当者キー
dept_namestring第1担当者の部署名
dept_name2string第2担当者の部署名
os_namestringオペレーティングシステム名
os_verstringオペレーティングシステムバージョン
confidentialityinteger機密性ランク(CIAトライアド)
integrityinteger完全性ランク(CIAトライアド)
availabilityinteger可用性ランク(CIAトライアド)
createdtimestamp資産登録日時
updatedtimestamp資産の最終更新日時
macstringMACアドレス
locationstring資産の場所
installedtimestampインストール日
site_namestringサイト名
site_guidstringサイトGUID
ext0ext9stringユーザー定義拡張フィールド0〜9

エラーコード

パースエラー
エラーコードメッセージ説明
300101Invalid sonar session.無効なセッションで実行した場合
300142Invalid CVE ID format.cve オプション値が正しいCVE ID形式でない場合
ランタイムエラー

該当なし

説明

sonar-ip-addresses はSonarに資産IPとして登録された情報を取得します。内部的に1,000件ずつページ単位で取得してすべての資産IPを順番に返します。

cve オプションを使用すると指定したCVE脆弱性が登録されている資産IPのみを返します。CVE IDは大文字・小文字を区別せず、内部的に大文字に変換されます。

結果を他のイベントデータと join したり、iplookup と組み合わせて使用すると、イベントが発生した資産の詳細情報を取得できます。

使用例

  1. 登録されているすべての資産IPを取得

    sonar-ip-addresses

  2. 特定のCVE脆弱性が登録されている資産IPのみを取得

    sonar-ip-addresses cve="CVE-2024-12345"
| fields ip, hostname, os_name, os_ver, dept_name

  3. 資産IPリストとイベントをジョインしてイベント発生資産の情報を取得

    table duration=1h sonar_events
| join dst_ip [ sonar-ip-addresses | rename ip as dst_ip ]
| fields _time, src_ip, dst_ip, hostname, dept_name

  4. オペレーティングシステム別の資産IP数を集計

    sonar-ip-addresses
| stats count by os_name
| sort -count

互換性

sonar-ip-addresses コマンドはSonar 5.0.2603.0バージョンから利用可能です。