![画面に表示されている [ラボを開始] ボタン。](https://cdn.qwiklabs.com/m8bGh8IYyYTzRYAJCj2t0DqCOLRDVcr%2BFy5bwhKxwvU%3D)
始める前に
- ラボでは、Google Cloud プロジェクトとリソースを一定の時間利用します
- ラボには時間制限があり、一時停止機能はありません。ラボを終了した場合は、最初からやり直す必要があります。
- 画面左上の [ラボを開始] をクリックして開始します
チェックポイント
Retrieve login attempts after a certain date
/ 1
Retrieve logins in a date range
/ 1
Investigate logins at certain times
/ 1
Investigate logins by event ID
/ 1
模範解答: SQL でさらにフィルタを適用する
ラボの手順とタスク
このコンテンツはまだモバイル デバイス向けに最適化されていません。
快適にご利用いただくには、メールで送信されたリンクを使用して、デスクトップ パソコンでアクセスしてください。
アクティビティの概要
セキュリティ アナリストは、しばしば数値と日時をクエリする必要があります。
たとえば、パッチの日付をフィルタして、更新が必要なマシンを探すことがあります。または、特定の期間内に行われたログイン試行をフィルタして、セキュリティ インシデントを調査することもあります。
数値や日付、時刻のデータを処理する一般的な演算子を使うことで、データを正確にフィルタできます。たとえば、次のような演算子を使用します。
-
=(等しい) -
>(より大きい) -
<(より小さい) -
<>(等しくない) -
>=(次の値以上) -
<=(次の値以下)
このラボのアクティビティでは、これらの演算子を適用して、特定の数値や日付でフィルタリングを正確に行います。
シナリオ
このシナリオでは、最近のセキュリティ インシデントを調査します。
特定の期間や時間帯に行われたログイン試行に関する情報を収集します。これは、セキュリティ インシデントの解決に役立ちます。
方法は次のとおりです。まず、特定の日付より後に行われたログイン イベントのデータを取得します。次に、検索の対象を絞り込み、ログインを期間でフィルタします。さらに、特定の時間帯に行われたログインを調査します。最後に、ログイン試行をイベント ID でフィルタします。
それでは、演算子を使用してテーブル内のデータをフィルタしてみましょう。
このラボは、MariaDB シェルで組織のデータベースがすでに開かれている状態で始まります。つまり、[ラボを開始] ボタンをクリックするとすぐにタスクから始めることができます。
MariaDB シェルで誤って組織のデータベースを閉じた場合は、sudo mysql organization コマンドを実行すると再接続できます。
ラボを開始する
資料にアクセスするには、まずラボを開始する必要があります。ラボを開始するには、画面上部にある緑色の [ラボを開始] ボタンをクリックします。
[ラボを開始] ボタンをクリックするとシェルが表示され、以降の手順はここで進めます。次のようなシェルが表示されます。
タスクをすべて終えたら、ラボの終了に関するセクションを参照し、ラボの終了手順をご確認ください。
タスク 1. 特定の日付より後のログイン試行を取得する
このタスクでは、最近のセキュリティ インシデントを調査します。そこで、特定の日付より後に行われたログイン試行に関する情報を収集します。
-
'2022-05-09'より後に行われたログイン試行のデータを取得する SQL クエリを作成します。Xを適切な演算子に置き換えてください。
このステップに必要な正しいクエリは次のとおりです。
解答: 2022-05-09 より後に行われたログイン試行は 125 回です。
ここで、最初のクエリの検索期間に 2022-05-09 を含める必要があることに気づきました。
- そこで、
'2022-05-09'以降に行われたログイン試行のデータを取得する SQL クエリを作成します。Xを適切な演算子に置き換えてください。
このステップに必要な正しいクエリは次のとおりです。
解答: 2022-05-09 以降に行われたログイン試行は 165 回です。
[進行状況を確認] をクリックして、このタスクが正しく完了したことを確認します。
タスク 2. 期間中に行われたログインのデータを取得する
このタスクでは、検索の対象を絞り込みます。そこで、2022-05-11 より後に行われたログイン試行を除外することにします。BETWEEN 演算子と AND 演算子を使用して、'2022-05-09' から '2022-05-11' までの結果を返します。
- 必要なレコードを取得するクエリを実行します。
XとYに必要な日付を挿入してください。
このステップに必要な正しいクエリは次のとおりです。
解答: 2022-05-09 から 2022-05-11 までに行われたログイン試行は 123 回でした。
[進行状況を確認] をクリックして、このタスクが正しく完了したことを確認します。
タスク 3. 特定の時間帯に行われたログインについて調査する
このタスクでは、特定の時間帯に行われたログインについて調査します。そこで log_in_attempts テーブル内のデータをログイン時刻(login_time)でフィルタします。
前提として、業務時間は通常 07:00:00 に始まるものとします。07:00:00 より前に行われたログイン試行のデータをすべて取得し、通常の業務時間外にログインを行っているユーザーについて調べます。
-
'07:00:00'より前に行われたログイン試行のデータを取得する SQL クエリを作成します。
このステップに必要な正しいクエリは次のとおりです。
解答: このクエリによって、5 番目のレコードのユーザー名が eraab であることがわかります。
前のステップのクエリでは、必要以上に多い結果が返されました。
- クエリを修正して、
'06:00:00'から'07:00:00'までのログインを返すようにします。
このステップに必要な正しいクエリは次のとおりです。
解答: 最も早いログイン試行の時刻は 06:01:31 でした。
[進行状況を確認] をクリックして、このタスクが正しく完了したことを確認します。
タスク 4. イベント ID でログインを調査する
このタスクでは、イベント ID 番号でログイン試行を調査します。このクエリでは、log_in_attempts テーブル内の event_id、username、および login_date フィールドのみを返すようにします。
event_id 列には数値データが含まれます。数値データは引用符で囲まないでください。
-
event_idが100以上のログイン試行を返すクエリを作成します。
このステップに必要な正しいクエリは次のとおりです。
解答: このクエリによって、3 番目の結果のログイン日付が 2022-05-09 であることがわかります。
前のステップのクエリでは、必要以上に多いデータが返されました。
- クエリを修正して、
event_idが100から150までのログイン試行のみを返すようにします。
このステップに必要な正しいクエリは次のとおりです。
解答: このクエリによって、7 番目の結果のユーザー名が tmitchel であることがわかります。
[進行状況を確認] をクリックして、このタスクが正しく完了したことを確認します。
まとめ
おつかれさまでした。
アクティビティはこれで完了です。
-
WHEREキーワード -
BETWEEN演算子とAND演算子 - 数値や日付、時刻のデータを処理する演算子(
=、>、>=など)
これらをクエリに適用して、テーブルのデータをフィルタする方法を学びました。
これで、数値や日付でフィルタして、あらゆる有益なデータを引き出せるようになりました。
ラボを終了する
すべてのタスクが問題なく完了したことを確認してから、以下の手順に沿ってラボを終了してください。
- [ラボを終了] をクリックし、[送信] をクリックします。ラボを終了すると、Bash シェルへのアクセス権が削除され、完了した作業にもう一度アクセスすることはできなくなります。
- ラボを終了するとアンケート ダイアログが表示され、適宜、ラボを評価したり、フィードバック コメントを記入したりできます。
- ラボのブラウザタブを閉じてコースに戻ります。
- 完了してからコースのブラウザタブを更新すると、この項目が完了としてマークされます。
