8.패턴 그룹

Edit

8.1matchsigmatchsig

필드의 문자열 값이 지정된 패턴 그룹에 포함되는지 확인하고 결과를 출력합니다.

문법

matchsig guid=SIG_GUID field=TARGET_FIELD [invert=t] [verify=f]
guid=SIG_GUID

패턴 그룹 GUID 식별자

field=TARGET_FIELD

대상 필드 이름. 대상 필드의 값은 문자열 타입이어야 하며, 그 외의 키 값은 검색 실패로 간주합니다.

[invert=t]

t로 설정하면 대상 필드의 값이 패턴 그룹에 포함되지 않는 경우에만 출력을 내보냅니다. 기본값은 f로, 대상 필드의 문자열 값이 지정된 패턴 그룹의 패턴 중 1개 이상 일치하는 경우 출력으로 내보냅니다.

[verify=f]

f로 설정하면 쿼리 파싱 단계에서 패턴 그룹 개체의 유효성을 검증하지 않습니다. 이 옵션은 시스템이 정책 동기화 단계에서 문법 오류를 내지 않기 위해 설정합니다. 기본값은 활성화(t)입니다.

설명

패턴 그룹은 네트워크 침입탐지 장비처럼 수천 개 이상의 키워드를 동시에 테스트할 수 있도록 아호 코라식(Aho-Corasick) 알고리즘을 사용합니다. 먼저 입력 문자열에 대해 패턴 그룹에 속한 모든 키워드를 한 번에 매칭하고, 그 후에 키워드로 선별된 패턴들의 검증식을 순차적으로 실행하여 최종적으로 패턴과 일치하는 룰 이름을 출력합니다.

표 8-1패턴 예시

expr (필수)

expr2 (선택)

rule (필수)

키워드 패턴: 1차 고속 탐지

불린 표현식: 2차 필터링

패턴 이름

"addextendedproc" and "xp_cmdshell"


xp_cmdshell

"REMOTE_ADDR" and ("fputs" or "fwrite")

path == "lib.php"

zb now_connect

예를 들어, 패턴 "REMOTE_ADDR" and ("fputs" or "fwrite") 검증식 path == "lib.php" 룰 zb now connect 로 설정한 경우, 대상 필드 값에서 REMOTE_ADDR 문자열과 fputs 혹은 fwirte 문자열이 동시에 검색되는지 확인하고, 그 후에 path 필드 값이 lib.php 문자열과 일치하는지 확인합니다.

8.2node-pattern-groupnode-pattern-group

node-pattern-group 커맨드는 SNR #1118 2019-08-01_18-34 일자 버전부터 사용 가능합니다.

수집 노드에서 분석 노드와 동기화된 패턴 그룹 항목을 조회합니다. 이 명령어는 수집 노드에서만 사용할 수 있습니다.

문법

node-pattern-group [guid=SIG_GUID]
guid=SIG_GUID

패턴 그룹 GUID 식별자

출력 필드

GUID를 지정하면 지정된 GUID에 해당하는 패턴 그룹정보를 보여줍니다. GUID를 지정하지 않으면 수집 노드에 동기화된 모든 패턴 그룹 목록을 보여줍니다.

표 8-2패턴 그룹 GUI를 지정했을 때 보여주는 필드

필드 이름

타입

설명

expr

문자열

aho-corasick 멀티 패턴 검색용 키워드 불린 조합

expr2

문자열

expr 매칭 후 2차 검사 표현식

rule

문자열

패턴 명칭 (매칭 시 출력에 태깅되는 이름)

표 8-3패턴 그룹 GUI를 지정하지 않았을 때 보여주는 필드

필드 이름

타입

설명

id

정수

정수 식별자

guid

문자열

패턴 그룹 GUID 식별자

name

문자열

패턴 그룹 이름

description

문자열

패턴 그룹 설명

pattern_count

정수

패턴 항목 갯수

company_guid

문자열

회사 GUID 식별자

company_name

문자열

회사 이름

user_name

문자열

계정 이름

user_guid

문자열

계정 GUID 식별자

사용 예

1) 수집 서버에서 동기화된 패턴 그룹 목록 조회

node-pattern-group

2) 수집 서버에서 동기화된 특정 패턴 그룹 항목 조회

node-pattern-group guid=b5ce2e95-67b9-4d64-8f6e-2746264a58d2
Count of comments [0]