4.행위 프로파일

Edit

4.1behaviorbehavior

행위 프로파일 설정에 따라 생성된 최신 데이터를 조회합니다.

문법

behavior guid=PROFILE_GUID [from=yyyyMMddHHmmss] [to=yyyyMMddHHmmss]
guid=PROFILE_GUID

행위 프로파일 GUID 식별자

from

yyyyMMddHHmmss 형식으로 검색할 기간의 시작 날짜와 시각을 지정합니다. 입력한 시각부터 검색을 시작합니다. 앞부분만 입력하면 나머지 자리는 0으로 인식합니다. 예를 들어 20130605를 입력하면 20130605000000(2013년 6월 5일 0시 0분 0초)으로 인식합니다.

to

yyyyMMddHHmmss 형식으로 검색을 종료할 날짜와 시각을 지정합니다. 입력 방식은 from과 같습니다.

설명

behavior 명령어는 행위 프로파일 설정에 따라 생성된 최신 데이터를 조회합니다. 애드혹 분석이나 배치 시나리오 탐지 시 조인하여 연관 분석하는 용도로 사용할 수 있습니다. 명령어가 실행되는 동안 GUID로 지정된 행위 프로파일은 읽기 잠금이 설정됩니다. 이 명령어는 행위 프로파일 데이터가 위치한 분석 노드에서만 사용할 수 있습니다.

4.2matchbehavior matchbehavior

행위 프로파일에 설정된 키 필드를 기준으로 행위 프로파일을 검색하여 검색된 레코드의 값 필드를 출력 레코드에 추가합니다.

문법

matchbehavior guid=PROFILE_GUID [invert=t] [verify=f]
guid=PROFILE_GUID

행위 프로파일 GUID 식별자

invert=t

t로 설정하면 기본 모드와 달리 행위 프로파일에 기준 키가 포함되지 않아야 출력으로 내보냅니다. 기본값은 f로, 기준 키가 포함되어 있어야 출력으로 내보냅니다.

verify=f

f로 설정하면 쿼리 파싱 단계에서 행위 프로파일 개체의 유효성을 검증하지 않습니다. 이 옵션은 시스템이 정책 동기화 단계에서 문법 오류를 내지 않기 위해 설정합니다. 기본값은 활성화(t)입니다.

설명

matchbehavior 명령어는 행위 프로파일에 설정된 키 필드를 기준으로 행위 프로파일을 검색하여 검색된 레코드의 값 필드를 출력 레코드에 추가합니다. 행위 프로파일의 키 필드는 문자열 혹은 IP 주소 타입만 허용됩니다. 그 외의 타입은 검색 실패로 간주됩니다. invert 옵션이 활성화된 경우, 키 필드 기준으로 행위 프로파일 검색에 실패한 경우에만 출력을 내보냅니다. 출력 필드는 다음 표를 참조하세요.

표 4-1출력 필드

필드 이름

타입

설명

behavior_guid

문자열

행위 프로파일 GUID 식별자

behavior_invert

불리언

invert 옵션 값

4.3node-behaviornode-behavior

node-behavior 커맨드는 SNR #1118 2019-08-01_18-34 일자 버전부터 사용 가능합니다.

수집 노드에서 분석 노드와 동기화된 행위 프로파일 데이터를 조회합니다.

문법

node-behavior [guid=PROFILE_GUID]
guid=PROFILE_GUID

행위 프로파일 GUID 식별자. 식별자를 지정하지 않으면 동기화된 행위 프로파일의 목록을 조회합니다.

설명

node-behavior 명령어는 수집 노드에서만 사용 가능합니다. 식별자를 지정하면 분석 노드와 동기화된 행위 프로파일의 필드를 조회합니다. 식별자를 지정하지 않으면 동기화된 행위 프로파일의 목록을 조회합니다.

행위 프로파일 GUID를 지정하지 않으면 다음 표와 같은 값을 보여줍니다.

표 4-2GUID를 생략했을 때 출력되는 필드

필드 이름

타입

설명

id

정수

정수 식별자

guid

문자열

행위 프로파일 GUID 식별자

name

문자열

행위 프로파일 이름

description

문자열

행위 프로파일 설명

row

정수

행위 프로파일 데이터 건수

curr_ver

정수

현재 버전 번호

company_guid

문자열

회사 GUID 식별자

company_name

문자열

회사 이름

schedule

문자열

행위 프로파일 데이터 생성 주기 (CRON 형식)

key_fields

배열

행위 프로파일 키 필드 목록 (이름, 타입)

query

문자열

행위 프로파일 재생성 쿼리

created

문자열

행위 프로파일 생성 일시

updated

문자열

행위 프로파일 마지막 수정 일시

사용 예

1) 수집 서버에서 동기화된 행위 프로파일 목록 조회

node-behavior

2) 수집 서버에서 동기화된 특정 행위 프로파일 데이터 조회

node-behavior guid=c0a8c07f-34e3-48ca-a91c-5bb35684ae79
Count of comments [0]