インシデントの発生前後のプロセスのアクティビティ
同じインシデントに属さない複数のプロセスを解析することが有益な場合があります。インシデント発生前後のプロセスのアクティビティをクエリすると、他の悪意のあるアクティビティを検出したり、損害の程度を把握したりするのに役立ちます。
必要なテーブル
- process_events
入力フィールド
各 Sophos Linux Sensor (SLS) 警告には、インシデントの一部であることを示す incident_id が割り当てられます。提供されるクエリの <INCIDENT ID FROM SLS ALERT> テキストは、このインシデント ID で置き換えてください。
戻りフィールド
| フィールド | 説明 |
|---|---|
| process_events.* | イベントの前後 10分間に発生したプロセスのイベントのすべて |
クエリ
SELECT *
FROM process_events
LEFT JOIN
(SELECT MAX(unix_nano_timestamp) AS max_incident_time,
MIN(unix_nano_timestamp) AS min_incident_time,
process_uuid AS id
FROM process_events
WHERE incident_id='<INCIDENT ID FROM SLS ALERT>'
GROUP BY process_uuid) AS incident ON process_events.process_uuid=incident.id
WHERE process_uuid=incident.id
AND unix_nano_timestamp < incident.max_incident_time + (10*60*1e9)
AND unix_nano_timestamp > incident.min_incident_time - (10*60*1e9)