頁面目錄
情境說明:
本文章說明如何使用FortiSIEM的Analytics關聯分析查找出所要呈現的資料內容,並把資料結果整合至報表和事件觸發規則
環境說明:
FortiSIEM版本:After 5.2
Analytics功能版面說明
- Actions功能區:匯出關聯分析結果、產生報表/事件觸發規則與複製查詢器Tab
- 查詢器Tab區:可新增查詢器Tab,支援一次進行多個關聯分析
- 關聯分析區:定義關聯分析搜尋條件、顯示欄位與設定時間區間
- 關聯分析圖表顯示區
- 關聯分析文字顯示區
關聯分析Filter操作說明
- 可使用Event Keyword、Event Attribute查找日誌
- 設定查找特定時間的日誌,即時(Real-time)、相對時間(Relative)、絕對時間(Absolute)
- 儲存/載入/清除搜尋條件
條件式組合說明
使用AND、OR和括號連接多個條件式以便關聯出想要呈現的資料內容設定情境如下:
內建查詢條件資料庫
關鍵字自動關聯
運算式說明
= / != 等於特定值/不等於特定值
Examole
Attribute:Reporting IP = Value:192.168.10.1
Attribute:Reporting IP != Value:192.168.10.1
< / > 小於特定值/大於特定值
Example
Attribute:Destination TCP/UDP Port < Value:80
Attribute:Destination TCP/UDP Port > Value:80
<= / >= 小於等於特定值/大於等於特定值
Example
Attribute:Destination TCP/UDP Port <= Value:443
Attribute:Destination TCP/UDP Port >= Value:443
BETWEEN / NOT BETWEEN 介於特定值之間/不介於特定值之間
Example
Attribute:Source IP BETWEEN Value:192.168.1.1, 192.168.1.254
Attribute:Source IP NOT BETWEEN Value:192.168.1.1, 192.168.1.254
IN / NOT IN 在特定值之中/不在特定值之中
Example
Attribute:Source IP IN Value:192.168.1.1, 192.168.1.254
Attribute:Source User IN Value:Administrator,Andy
Attribute:Source IP NOT IN Value:192.168.1.1, 192.168.1.254
CONTAIN / NOT CONTAIN 包含特定值/不包含特定值,不支援數字格式
Example
Attribute:Source User CONTAIN Value:andy
Attribute:Source User NOT CONTAIN Value:andy
IS / IS NOT 包含空值null/包含空值null
Example
Attribute:Source IP IS Value:null
Attribute:Source IP IS NOT Value:null
REGEXP / NOT REGEXP 符合正規表示式包含的值/不符合正規表示式包含的值
Example
Attribute:Source User REGEXP Value:sm\w{3}
關聯分析Display Field操作說明
表達式生成器
可以依據日誌中數值部份的資料進行加總、計數、平均、求最大/小值等運算條件
表達式範例
COUNT( Matched Events ) 計算Event次數
SUM( Sent Packets64 ) 計算送出流量總計值
AVG( Sent Bytes64 ) 計算送出流量平均值
關聯分析文字顯示區操作說明
關聯分析查詢範例
查詢網域帳號登入成功和失敗
查詢Firewall Top Source IP流量
內建報表查詢
FortiSIEM提供內建報表資料庫,可以直接搜尋取用加快資料查詢流程
