既知の悪意のあるホスト

悪意のあるホストとポートを識別したら、Sophos Linux Sensor のデータに対してクエリを実行して、既知の悪意のあるホストに接続されているホストを特定できます。ホストのリストはさらに調査して、被害状況を判断する必要があります。

必要なテーブル

• sensors
• process_events
• connections

入力フィールド

クエリ内の <KNOWN IP> および <KNOWN PORT> テキストは、それぞれ疑わしい「IP」および「ポート」で置き換えてください。

戻りフィールド

クエリ

SELECT
    sensors.hostname
FROM connections
LEFT JOIN process_events USING(process_uuid)
LEFT JOIN sensors USING(sensor_id)
WHERE dst_addr = '<KNOWN IP>' AND dst_port = <KNOWN PORT>