matchfeed()

matchfeed() 함수는 지정한 위협 인텔리전스 피드에 특정 값이 포함되어 있는지 확인합니다.

문법

매개변수

STR_FEED

검색할 위협 인텔리전스 피드 이름입니다. 문자열 리터럴로 지정합니다. 유효하지 않은 피드 이름을 지정하면 쿼리 파싱 단계에서 오류가 발생합니다.

이름	STR_FEED	유형	설명
로그프레소 CTI IP	logpresso_cti_ip	IP	사이버 공격과 관련된 악성 IP 주소 정보
로그프레소 CTI 도메인	logpresso_cti_domain	DOMAIN	악성코드 유포지, C&C 서버 등의 악성 도메인 주소 정보
로그프레소 CTI URL	logpresso_cti_url	URL	로그프레소 CTI URL 침해 지표 정보
로그프레소 CTI MD5	logpresso_cti_md5	MD5	로그프레소 CTI MD5 해시 침해 지표 피드
로그프레소 CTI SHA1	logpresso_cti_sha1	SHA1	로그프레소 CTI SHA1 해시 침해 지표 피드
로그프레소 CTI SHA256	logpresso_cti_sha256	SHA256	로그프레소 CTI SHA256 해시 침해 지표 피드

이 외에, 소나에 설치한 앱이 제공하는 피드를 사용할 수 있습니다. 앱이 제공하는 피드 식별자는 해당 앱의 문서를 참고하세요.

STR_EXPR

위협 인텔리전스 피드에서 검색할 값을 포함하는 필드 또는 표현식입니다. 문자열, IP 주소 타입을 지원합니다.

설명

matchfeed() 함수는 지정한 위협 인텔리전스 피드에 STR_EXPR 값이 존재하면 true, 존재하지 않으면 false를 반환합니다.

STR_EXPR 값이 null이면 false를 반환합니다. STR_EXPR 값이 IP 주소 타입이면 문자열로 변환한 후 피드에서 검색합니다.

오류 코드

해당 사항 없음

사용 예

1. src_ip 필드 값이 악성 IP 피드에 포함되어 있는지 확인합니다.

   json "{'src_ip': '192.0.2.1'}"
   | eval result = matchfeed("logpresso_cti_ip", src_ip)
   | # result: false
   

2. URL 피드를 사용하여 피싱 URL 여부를 확인합니다.

   json "{'url': 'http://example.com/path'}"
   | eval result = matchfeed("logpresso_cti_url", url)
   | # result: false
   

3. STR_EXPR 값이 null인 경우

   json "{'src_ip': null}"
   | eval result = matchfeed("logpresso_cti_ip", null)
   | # result: false
   

호환성

matchfeed() 함수는 소나 4.0 이전 버전부터 제공되었습니다.