ユーザーが入力したコマンド - ホストごと (履歴の回避)
Sophos Linux Sensor のシェルコマンドのデータを使用すると、履歴の回避手法が使用されている場合であっても、ユーザーが実行したすべてのシェルコマンドの一覧を取得できます。
必要なテーブル
- sensors
- shell_commands
- process_events
入力フィールド
クエリ内の <USERNAME> テキストは、監査するユーザー名で置き換えてください。
戻りフィールド
| フィールド | 説明 |
|---|---|
| dt | 警告の日時 |
| shell_commands.program_filename shell_commands.program_arguments | シェルコマンドプログラムの情報 |
| sensors.hostname | コマンドを実行したセンサ-のホスト名 |
| process_events.username | 実行したユーザー |
クエリ
SELECT FROM_UNIXTIME(alerts.unix_nano_timestamp/1e9) as dt,
shell_commands.program_filename,
shell_commands.program_arguments,
sensors.hostname,
process_events.username
FROM alerts
LEFT JOIN sensors
ON sensors.sensor_id = alerts.sensor_id
LEFT JOIN
(SELECT process_uuid,
username
FROM process_events
GROUP BY username, process_uuid) AS process_events
ON alerts.process_uuid=process_events.process_uuid LEFT OUTER
JOIN shell_commands
ON shell_commands.username = process_events.username
WHERE policy_type = 'InteractiveShell'
AND process_events.username = '<USERNAME>'
ORDER BY alerts.unix_nano_timestamp, hostname, username DESC