警告の発生前後の親プロセスのアクティビティ
インシデント発生の原因となったプロセスを作成した親プロセスを解析することが有益な場合があります。インシデント発生前後の親プロセスのアクティビティをクエリすると、他の悪意のあるアクティビティを検出したり、損害の程度を把握したりするのに役立ちます。
必要なテーブル
- process_events
入力フィールド
各 Sophos Linux Sensor (SLS) 警告には、インシデントの一部であることを示す incident_id が割り当てられます。提供されるクエリの <INCIDENT ID FROM SLS ALERT> テキストは、このインシデント ID で置き換えてください。
戻りフィールド
| フィールド | 説明 |
|---|---|
| process_events.* | イベントの前後 10分間に発生した親プロセスのイベントのすべて |
クエリ
SELECT *
FROM process_events
LEFT JOIN
(SELECT MAX(unix_nano_timestamp) AS max_incident_time,
MIN(unix_nano_timestamp) AS min_incident_time,
parent_process_uuid AS uuid
FROM process_events
WHERE incident_id='<INCIDENT ID FROM SLS ALERT>'
GROUP BY parent_process_uuid) AS incident ON process_events.process_uuid=incident.uuid
WHERE process_uuid=incident.uuid
AND unix_nano_timestamp < incident.max_incident_time + (10*60*1e9)
AND unix_nano_timestamp > incident.min_incident_time - (10*60*1e9)