どのユーザーがどのホストにログインしたか
Sophos Linux Sensor のプロセスのイベントデータを使用して、どのユーザーがどのホストにいつログインしたかの一覧を取得できます。これは、アカウントが侵害されたことを示すこともある、異常な使用パターンを見つけるのに役立ちます。
必要なテーブル
- process_events
- sensors
- アラート
戻りフィールド
| フィールド | 説明 |
|---|---|
| dt | 警告の日時 |
| sensors.hostname | センサーのホスト名 |
| process_events.username | 警告を発したプロセスを所有するユーザー |
クエリ
SELECT FROM_UNIXTIME(alerts.unix_nano_timestamp/1e9) as dt,
sensors.hostname,
process_events.username
FROM alerts
LEFT JOIN sensors ON sensors.sensor_id = alerts.sensor_id
LEFT JOIN (
SELECT
process_uuid,
username
FROM process_events
GROUP BY username, process_uuid
) as process_events ON alerts.process_uuid=process_events.process_uuid
WHERE policy_type = 'InteractiveShell'