12.소나 함수

Edit

12.1matchbehavior()matchbehavior()

행위 프로파일을 검색하여 프로파일 된 데이터가 있는 경우 true, 없으면 false를 반환합니다.

문법

matchbehavior(STR_GUID, KEY_EXPR_1[, KEY_EXPR_2, ...])
STR_GUID

행위 프로파일 GUID. GUID 문자열은 유효한 행위 프로파일 식별자이어야 합니다. 유효하지 않은 행위 프로파일 GUID를 지정한 경우 쿼리가 실패합니다.

KEY_EXPR_1[, KEY_EXPR_2, ...]

쉼표(,)를 구분자로 하는 키 표현식. 키 매개변수의 순서는 행위 프로파일에 지정된 키 필드의 순서와 동일해야 합니다. 키 매개변수의 수는 행위 프로파일 설정에 지정된 키 필드의 수와 동일해야 합니다. 키 표현식의 평가 값은 문자열 혹은 IP 주소 타입만 허용됩니다. 허용되지 않는 타입이 인자로 전달된 경우, false 값을 반환합니다.

12.2matchblackip()matchblackip()

IP 블랙리스트에 대상 표현식의 평가 값이 포함되어 있으면 true, 없으면 false를 반환합니다.

문법

matchblackip(STR_GUID, IP_ADDR_EXPR)
STR_GUID

IP 블랙리스트 GUID. GUID 문자열은 유효한 IP 블랙리스트 식별자이어야 합니다. 유효하지 않은 IP 블랙리스트 GUID를 지정한 경우 쿼리가 실패합니다.

IP_ADDR_EXPR

IP 주소 표현식. 대상 표현식은 IPv4 주소 혹은 IPv4 문자열만 허용됩니다. 대상 표현식에서 허용되는 타입이 아닌 경우 false 값을 반환합니다.

12.3matchfeed()matchfeed()

위협 인텔리전스 피드에서 대상 표현식의 평가 값이 검색되면 true, 검색되지 않으면 false를 반환합니다.

문법

matchfeed(STR_FEED, STR_EXPR)
STR_FEED

위협 인텔리전스 피드 문자열. 피드 문자열은 아래의 유형을 사용할 수 있습니다. 유효하지 않은 피드 문자열 상수를 사용한 경우 쿼리가 실패합니다.

표 12-1위협 인텔리전스 피드 문자열

이름

유형

이름

설명

otx

IP 주소

OTX 피드

OTX (Open Threat Exchange) 피드를 이용하여 IP 주소 평판 정보를 실시간 대조합니다.

tor

IP 주소

TOR 프록시

EXIT 라우터 IP 주소를 대조하여 TOR 프록시를 통해 접속하는 IP 주소를 실시간으로 탐지합니다.

mdl_domain

도메인

멀웨어 도메인 목록

랜섬웨어 등 악성코드 도메인 피드를 대조하여 내부에서 C&C 도메인 접속 시 실시간 탐지합니다.

mdl_ip

IP 주소

악성 IP 주소 목록

랜섬웨어 등 악성코드 IP 주소 피드를 대조하여 내부에서 C&C IP 접속 시 실시간 탐지합니다.

abusech

도메인

Abuse.ch

랜섬웨어가 접속하는 도메인을 실시간으로 탐지합니다.

malc0de

MD5

malc0de

malc0de.com 악성코드 MD5 데이터베이스를 대조하여 악성 바이너리를 탐지합니다.

STR_EXPR

피드에서 검색할 문자열

12.4matchnet()matchnet()

네트워크 대역에 IP 주소 표현식의 평가 값이 포함되어 있으면 true, 없으면 false를 반환합니다.

문법

matchnet(STR_GUID, IP_ADDR_EXPR)
STR_GUID

네트워크 대역 GUID. GUID 문자열은 유효한 네트워크 대역 식별자이어야 합니다. 유효하지 않은 네트워크 대역 GUID를 지정한 경우 쿼리가 실패합니다.

IP_ADDR_EXPR

IP 주소 표현식. 대상 표현식은 IPv4 주소 혹은 IPv4 문자열만 허용됩니다. 대상 표현식에서 허용되는 타입이 아닌 경우 false 값을 반환합니다.

12.5matchport()matchport()

지정된 포트 그룹에 포트 및 프로토콜 조합이 포함되어 있으면 true, 없으면 false를 반환합니다.

문법

matchport(STR_GUID, PORT_EXPR, PROTO_EXPR)
STR_GUID

포트 그룹 GUID. GUID 문자열은 유효한 포트 그룹 식별자이어야 합니다. 유효하지 않은 포트 그룹 GUID를 지정한 경우 쿼리가 실패합니다.

PORT_EXPR

포트 번호 표현식. 평가 값은 0 ~ 65535 사이의 정수이어야 합니다. 표현식을 평가할 수 없거나 유효하지 않은 값인 경우 false 를 반환합니다.

PROTO_EXPR

프로토콜 표현식. TCP 혹은 UDP 문자열만 허용됩니다. 표현식을 평가할 수 없거나 유효하지 않은 값인 경우 false를 반환합니다.

12.6matchsig()matchsig()

대상 표현식을 평가한 문자열에서 지정된 패턴 그룹 중 하나 이상의 패턴이 매칭되면 true, 매치되는 패턴이 없으면 false를 반환합니다.

문법

matchsig(STR_GUID, STR_EXPR)
STR_GUID

패턴 그룹 GUID. GUID 문자열은 유효한 패턴 그룹 식별자이어야 합니다. 유효하지 않은 패턴 그룹 GUID를 지정한 경우 쿼리가 실패합니다.

STR_EXPR

검색 대상 문자열 표현식. 평가 값은 문자열이어야 합니다. 표현식을 평가할 수 없거나 유효하지 않은 값인 경우 false 를 반환합니다.

설명

예를 들어, 아래 표와 같이 패턴 그룹에 패턴 "REMOTE_ADDR" and ("fputs" or "fwrite") 검증식 path == "lib.php" 를 "zb now connect"라는 패턴 이름으로 설정한 경우, 대상 표현식 평가 값에서 REMOTE_ADDR 문자열과 fputs 혹은 fwirte 문자열이 동시에 검색되는지 확인하고, 그 후에 path 필드 값이 lib.php 문자열과 일치하는지 확인합니다.

표 12-2패턴 예시

expr (필수)

expr2 (선택)

rule (필수)

키워드 패턴: 1차 고속 탐지

불린 표현식: 2차 필터링

패턴 이름

"addextendedproc" and "xp_cmdshell"


xp_cmdshell

"REMOTE_ADDR" and ("fputs" or "fwrite")

path == "lib.php"

zb now_connect

Count of comments [0]