sonar-ip-addresses

자산으로 등록된 IP 주소 목록을 조회합니다. 옵션 없이 실행하면 등록된 모든 자산 IP를 반환하고, cve 옵션을 사용하면 특정 CVE 취약점이 등록된 자산 IP만 반환합니다.

명령어 속성

항목설명
명령어 유형드라이버 쿼리
필요 권한없음
라이선스 사용량집계 안 함
병렬 실행미지원
분산 실행미지원

문법

sonar-ip-addresses [cve=STR]

옵션

cve=STR
해당 CVE ID가 취약점으로 등록된 자산 IP만 반환합니다. CVE-YYYY-NNNNN 형식으로 지정합니다.

출력 필드

필드타입설명
guid문자열자산 IP GUID
ip문자열IP 주소
category_name문자열자산 분류 이름
category_guid문자열자산 분류 GUID
hostname문자열호스트명
workgroup문자열워크그룹 또는 도메인
description문자열자산 설명
priority32비트 정수자산 우선순위
emp_name문자열1차 담당자 이름
emp_name2문자열2차 담당자 이름
emp_guid문자열1차 담당자 GUID
emp_guid2문자열2차 담당자 GUID
emp_key문자열1차 담당자 키
emp_key2문자열2차 담당자 키
dept_name문자열1차 담당자 부서명
dept_name2문자열2차 담당자 부서명
os_name문자열운영체제 이름
os_ver문자열운영체제 버전
confidentiality32비트 정수기밀성 등급 (CIA 트라이어드)
integrity32비트 정수무결성 등급 (CIA 트라이어드)
availability32비트 정수가용성 등급 (CIA 트라이어드)
created날짜자산 등록 시각
updated날짜자산 최종 수정 시각
mac문자열MAC 주소
location문자열자산 위치
installed날짜설치 일자
site_name문자열사이트 이름
site_guid문자열사이트 GUID
ext0 ~ ext9문자열사용자 정의 확장 필드 0~9

오류 코드

파싱 오류
오류 코드메시지설명
300101Invalid sonar session.유효하지 않은 세션에서 실행
300142Invalid CVE ID format.cve 옵션 값이 올바른 CVE ID 형식이 아님
런타임 오류

해당 사항 없음

설명

sonar-ip-addresses는 소나에 자산 IP로 등록된 정보를 조회합니다. 내부적으로 1,000건씩 페이지 단위로 조회하여 전체 자산 IP를 순차적으로 반환합니다.

cve 옵션을 사용하면 지정한 CVE 취약점이 등록된 자산 IP만 반환합니다. CVE ID는 대소문자를 구분하지 않으며, 내부적으로 대문자로 변환합니다.

결과를 다른 이벤트 데이터와 join하거나 iplookup과 함께 활용하면 이벤트 발생 자산의 상세 정보를 조회할 수 있습니다.

사용 예

  1. 등록된 모든 자산 IP 조회

    sonar-ip-addresses

  2. 특정 CVE 취약점이 등록된 자산 IP만 조회

    sonar-ip-addresses cve="CVE-2024-12345"
| fields ip, hostname, os_name, os_ver, dept_name

  3. 자산 IP 목록과 이벤트를 조인하여 이벤트 발생 자산 정보 조회

    table duration=1h sonar_events
| join dst_ip [ sonar-ip-addresses | rename ip as dst_ip ]
| fields _time, src_ip, dst_ip, hostname, dept_name

  4. 운영체제별 자산 IP 수 집계

    sonar-ip-addresses
| stats count by os_name
| sort -count

호환성

sonar-ip-addresses 명령어는 소나 5.0.2603.0 버전부터 사용 가능합니다.