Формирование текстов SQL-запросов для правил обнаружения сетевых аномалий

Вы можете вручную формировать тексты SQL-запросов при создании или изменении правил обнаружения сетевых аномалий. Запросы предназначены для поиска, извлечения и анализа атрибутов протоколов, полученных в зарегистрированных сетевых сеансах. Атрибуты протоколов хранятся в отдельной базе данных на Сервере Kaspersky Industrial CyberSecurity for Networks. Для обращений к этой базе данных вам нужно формировать запросы на языке структурированных запросов (Structured Query Language, SQL), который поддерживает СУБД ClickHouse. Сведения о поддерживаемых запросах, с помощью которых выполняются действия для извлечения и анализа данных, см. в справке ClickHouse.

Для формирования текста SQL-запроса рекомендуется использовать один из встроенных шаблонов правил. Выбор шаблона можно сделать при создании правила. Вы можете выбрать шаблон, наиболее похожий по своему назначению с той задачей, которую вы хотите выполнить. После выбора встроенного шаблона для формирования другого текста SQL-запроса вам нужно нажать на кнопку Разблокировать все шаблонные значения.

При вводе строк SQL-запроса в окне автоматически выводятся списки подходящих функций, операторов и параметров. Вы можете выбирать нужные вам элементы в этих списках для быстрой вставки в текст SQL-запроса.

Основные функции и операторы, применяемые в SQL-запросах для правил обнаружения сетевых аномалий

Функция	Описание
`SELECT`	Содержит перечисление полей таблицы со сведениями о сетевых сеансах. К перечисленным полям выполняется обращение по SQL-запросу. Результаты выборки из запроса используются частично или полностью для создания временной таблицы с данными для регистрации событий. Поля временной таблицы заполняются значениями через механизм присвоения псевдонимов. Поддерживаются функции агрегации (например, `sum`) и арифметические операторы (например, `+`). Списки полей таблиц см. ниже.
`FROM`	Указывает источник данных. В качестве источника вы можете указать одно из следующих представлений (view), которые предусмотрены для запросов к таблице со сведениями о сетевых сеансах в базе данных для хранения атрибутов протоколов: `{{sessions}}` – для извлечения данных с фильтрацией по определенному интервалу времени; `{{sessions_symmetric}}` – расширенный вариант представления `{{sessions}}`, в котором добавлены симметричные сетевые сеансы (с обратным направлением Отправитель–Получатель).
`WHERE`	Содержит условия фильтрации данных, поступивших из источника. Выражение для фильтрации может содержать операции сравнения, логические операторы, а также специальную функцию `PARAM_EQ`. Функция `PARAM_EQ` позволяет сравнивать значение из таблицы с переменной, заданной в правиле. Если для подстановки значений переменных выбран справочник, функция `PARAM_EQ` обязательна для указания в SQL-запросе. Общий синтаксис для использования функции `PARAM_EQ`: `PARAM_EQ(column_value, {{param_name:param_type}})` где: `column_value` – поле или выражение, которое нужно сравнить; `{{param_name:param_type}}` – переменная и ее тип, заданные в правиле для SQL-запроса.
`GROUP BY`	Переключает запрос в режим агрегации и указывает список полей или псевдонимов, по которым требуется группировать возвращаемые данные.
`HAVING`	Содержит условия фильтрации результатов, полученных с помощью оператора `GROUP BY`.
`ORDER BY`	Содержит список для сортировки возвращаемых данных. Для элементов списка можно указывать модификаторы, определяющие направление сортировки: `DESC` – сортировка по убыванию. `ASC` – сортировка по возрастанию.

Поля таблицы со сведениями о сетевых сеансах

В базе данных для хранения атрибутов протоколов таблица со сведениями о сетевых сеансах содержит строки с блоками данных (chunks), полученных в течение 15-секундных интервалов. Каждый зарегистрированный сетевой сеанс представлен в таблице в виде отдельных блоков данных и в рамках этих блоков данных требуется выполнять обращения в SQL-запросах.

Таблица со сведениями о сетевых сеансах содержит следующие поля, к которым возможны обращения в SQL-запросах:

session_id, тип UInt64 – уникальный идентификатор сетевого сеанса;
chunk_start_time, тип DateTime64(6, 'UTC') – время начала блока данных (chunk), относящихся к сетевому сеансу, с точностью до микросекунды;
partition_id, тип UInt64 – идентификатор партиции в блоке данных (chunk);
start_time, тип DateTime64(6, 'UTC') – время первого пакета в блоке данных (chunk) с точностью до микросекунды;
end_time, тип DateTime64(6, 'UTC') – время последнего пакета в блоке данных (chunk) с точностью до микросекунды;
sip, тип IPv4 – IP-адрес отправителя (Сторона 1);
dip, тип IPv4 – IP-адрес получателя (Сторона 2);
sport, тип UInt16 – порт отправителя (Сторона 1);
dport, тип UInt16 – порт получателя (Сторона 2);
smac, тип FixedString(17) – MAC-адрес отправителя (Сторона 1) в формате XX:XX:XX:XX:XX:XX;
dmac, тип FixedString(17) – MAC-адрес получателя (Сторона 2) в формате XX:XX:XX:XX:XX:XX;
smac_as_id, тип UInt64 – MAC-адрес отправителя (Сторона 1), преобразованный в 64-битное число;
dmac_as_id, тип UInt64 – MAC-адрес получателя (Сторона 2), преобразованный в 64-битное число;
sip_as_id, тип UInt64 – IP-адрес отправителя (Сторона 1), преобразованный в 64-битное число;
dip_as_id, тип UInt64 – IP-адрес получателя (Сторона 2), преобразованный в 64-битное число;
vlanid, тип UInt16 – VLAN-идентификатор;
ether_type, тип UInt16 – тип Ethernet-кадра (например, 2048 для IPv4);
ipv4_type, тип UInt8 – тип IPv4 (8-битное значение);
protocol, тип LowCardinality(String) – название протокола прикладного уровня в таблице (например, GenericDceRpc, Ssh);
transport_protocol, тип LowCardinality(String) – название протокола транспортного уровня в таблице (например, Tcp, Udp);
bytes_sent_delta, тип UInt64 – объем отправленных данных за период блока данных (chunk);
packets_sent_delta, тип UInt64 – количество отправленных пакетов за период блока данных (chunk);
bytes_received_delta, тип UInt64 – объем полученных данных за период блока данных (chunk);
packets_received_delta, тип UInt64 – количество полученных пакетов за период блока данных (chunk);
dpi_dns, тип Array(Map(String, String)) – структурированные данные о сетевых событиях в трафике по протоколу DNS;
dpi_dns_raw, тип Array(String) – данные в JSON-формате о сетевых событиях в трафике по протоколу DNS;
dpi_krb, тип Array(Map(String, String)) – структурированные данные о трафике по протоколу Kerberos;
dpi_krb_raw, тип Array(String) – данные в JSON-формате о трафике по протоколу Kerberos;
dpi_dcerpc, тип Array(Map(String, String)) – структурированные данные о трафике по протоколу DCE/RPC;
dpi_dcerpc_raw, тип Array(String) – данные в JSON-формате о трафике по протоколу DCE/RPC;
dpi_ldap, тип Array(Map(String, String)) – структурированные данные о трафике по протоколу LDAP;
dpi_ldap_raw, тип Array(String) – данные в JSON-формате о трафике по протоколу LDAP;
total_attributes, тип UInt32 MATERIALIZED – общее количество атрибутов в полях dpi_dns_raw, dpi_krb_raw, dpi_dcerpc_raw и dpi_ldap_raw;
dpi_attributes_raw, тип Array(String) MATERIALIZED – объединенный массив данных об атрибутах в JSON-формате.

Поля таблицы с данными для регистрации событий

Таблица с данными для регистрации событий может содержать следующие поля, заполняемые значениями через механизм присвоения псевдонимов в SQL-запросе:

Поля, обязательные для заполнения:
- aggregation_id, тип String – уникальный идентификатор агрегации, идентифицирующий событие;
- session_ids, тип Array(UInt64) – массив идентификаторов сетевых сеансов, связанных с событием;
- timestamp, тип DateTime64(6, 'UTC') – дата и время первого появления события;
- protocol, тип String – название протокола в таблице со сведениями о сетевых сеансах (например, Ssh).
Поля для сохранения в событиях адресной информации и других данных о сетевых взаимодействиях (необязательные для заполнения и указания в SQL-запросе):
- sip, тип IPv4 – IP-адрес отправителя;
- dip, тип IPv4 – IP-адрес получателя;
- sport, тип UInt16 – порт отправителя;
- dport, тип UInt16 – порт получателя;
- smac, тип FixedString(17) – MAC-адрес отправителя в формате XX:XX:XX:XX:XX:XX;
- dmac, тип FixedString(17) – MAC-адрес получателя в формате XX:XX:XX:XX:XX:XX;
- smac_as_id, тип UInt64 – идентификатор адресного пространства для MAC-адреса отправителя;
- dmac_as_id, тип UInt64 – идентификатор адресного пространства для MAC-адреса получателя;
- sip_as_id, тип UInt64 – идентификатор адресного пространства для IP-адреса отправителя;
- dip_as_id, тип UInt64 – идентификатор адресного пространства для IP-адреса получателя;
- vlanid, тип UInt16 – VLAN-идентификатор;
- ether_type, тип UInt16 – тип Ethernet-кадра;
- ipv4_type, тип UInt8 – тип IPv4.
Произвольно названные поля для указания их значений в событиях с помощью переменной $extra.<paramName>.

Названия протоколов в таблице со сведениями о сетевых сеансах

Путь в дереве стека протоколов	Название протокола в таблице
Ethernet I	EthernetI
Ethernet I \ LLC \ Протокол обнаружения Cisco (CDP)	Cdp
Ethernet I \ LLC \ Emerson Ovation - взаимодействия поверх LLC	Emerson_Ovation_OverLlc
Ethernet I \ LLC \ Foxboro FCP280/FCP270 - взаимодействие устройств	`FoxboroHps`
Ethernet I \ LLC \ HiDiscovery	`HiDiscovery`
Ethernet I \ LLC \ IS-IS поверх Ethernet I	`IsIsOverEthernetI`
Ethernet I \ LLC \ ISO 8073 \ Siemens S7comm	`SiemensIndustrialEthernet`
Ethernet I \ LLC \ ВНИИА	`Vniia`
Ethernet II	`EthernetII`
Ethernet II \ ARP	`ARP`
Ethernet II \ IEC 61850: GOOSE	`IEC61850_GOOSE`
Ethernet II \ IEC 61850: Sampled Values	`SAMPLED_VALUES`
Ethernet II \ IP	`IPv4`
Ethernet II \ IP \ 3PC	`ip34`
Ethernet II \ IP \ Active Networks	`ip107`
Ethernet II \ IP \ ARIS	`ip104`
Ethernet II \ IP \ AX.25	`ip93`
Ethernet II \ IP \ BBN RCC Monitoring	`ip10`
Ethernet II \ IP \ BNA	`ip49`
Ethernet II \ IP \ BR-SAT-MON	`ip76`
Ethernet II \ IP \ CBT	`ip7`
Ethernet II \ IP \ CFTP	`ip62`
Ethernet II \ IP \ CHAOS	`ip16`
Ethernet II \ IP \ Compaq-Peer	`ip110`
Ethernet II \ IP \ CPHB	`ip73`
Ethernet II \ IP \ CPNX	`ip72`
Ethernet II \ IP \ CRTP	`ip126`
Ethernet II \ IP \ CRUDP	`ip127`
Ethernet II \ IP \ DCCP	`ip33`
Ethernet II \ IP \ DCN-MEAS	`ip19`
Ethernet II \ IP \ DDP	`ip37`
Ethernet II \ IP \ DDX	`ip116`
Ethernet II \ IP \ DGP	`ip86`
Ethernet II \ IP \ DSR	`ip48`
Ethernet II \ IP \ EGP	`ip8`
Ethernet II \ IP \ EIGRP	`EIGRP`
Ethernet II \ IP \ EMCON	`ip14`
Ethernet II \ IP \ ETHERIP	`ip97`
Ethernet II \ IP \ FCIP	`ip133`
Ethernet II \ IP \ FIRE	`ip125`
Ethernet II \ IP \ GGP	`ip3`
Ethernet II \ IP \ GMTP	`ip100`
Ethernet II \ IP \ GRE	`GRE`
Ethernet II \ IP \ HMP	`ip20`
Ethernet II \ IP \ IATP	`ip117`
Ethernet II \ IP \ ICMP	`Icmp`
Ethernet II \ IP \ IDPR	`ip35`
Ethernet II \ IP \ IDPR-CMTP	`ip38`
Ethernet II \ IP \ IDRP	`ip45`
Ethernet II \ IP \ IFMP	`ip101`
Ethernet II \ IP \ IGMP	`IGMP`
Ethernet II \ IP \ IGP	`ip9`
Ethernet II \ IP \ I-NLSP	`ip52`
Ethernet II \ IP \ Internet Link	`ip40`
Ethernet II \ IP \ IPComp	`ip108`
Ethernet II \ IP \ IPCV	`ip71`
Ethernet II \ IP \ IPIP	`ip94`
Ethernet II \ IP \ IPLT	`ip129`
Ethernet II \ IP \ IPPC	`ip67`
Ethernet II \ IP \ IPv4 Encapsulated	`ip4`
Ethernet II \ IP \ IPv6 Encapsulated	`IPv6encapsulated`
Ethernet II \ IP \ IPX-in-IP	`ip111`
Ethernet II \ IP \ IRTP	`ip28`
Ethernet II \ IP \ IS-IS поверх IPv4	`IsIsOverIp`
Ethernet II \ IP \ ISO-IP	`ip80`
Ethernet II \ IP \ ISO-TP4	`ip29`
Ethernet II \ IP \ Kryptolan	`ip65`
Ethernet II \ IP \ L2TP	`ip115`
Ethernet II \ IP \ LARP	`ip91`
Ethernet II \ IP \ MANET	`ip138`
Ethernet II \ IP \ MERIT-INP	`ip32`
Ethernet II \ IP \ MFE-NSP	`ip31`
Ethernet II \ IP \ MICP	`ip95`
Ethernet II \ IP \ MOBILE	`ip55`
Ethernet II \ IP \ MPLS-in-IP	`ip137`
Ethernet II \ IP \ MTP	`ip92`
Ethernet II \ IP \ MUX	`ip18`
Ethernet II \ IP \ NARP	`ip54`
Ethernet II \ IP \ NETBLT	`ip30`
Ethernet II \ IP \ NSFNET-IGP	`ip85`
Ethernet II \ IP \ NVP-II	`ip11`
Ethernet II \ IP \ Open Shortest Path First (OSPF)	`Ospf`
Ethernet II \ IP \ Performance Transparency Protocol	`ip123`
Ethernet II \ IP \ PGM	`ip113`
Ethernet II \ IP \ PIM	`PIM`
Ethernet II \ IP \ PIPE	`ip131`
Ethernet II \ IP \ PNNI	`ip102`
Ethernet II \ IP \ PRM	`ip21`
Ethernet II \ IP \ PUP	`ip12`
Ethernet II \ IP \ PVP	`ip75`
Ethernet II \ IP \ QNX	`ip106`
Ethernet II \ IP \ Reliable Data Protocol	`RDP`
Ethernet II \ IP \ ROHC	`ip142`
Ethernet II \ IP \ RSVP	`ip46`
Ethernet II \ IP \ RSVP-E2E-IGNORE	`ip134`
Ethernet II \ IP \ RVD	`ip66`
Ethernet II \ IP \ SAT-EXPAK	`ip64`
Ethernet II \ IP \ SAT-MON	`ip69`
Ethernet II \ IP \ SCC-SP	`ip96`
Ethernet II \ IP \ SCPS	`ip105`
Ethernet II \ IP \ SCTP	`SCTP`
Ethernet II \ IP \ SDRP	`ip42`
Ethernet II \ IP \ SECURE-VMTP	`ip82`
Ethernet II \ IP \ SMP	`ip121`
Ethernet II \ IP \ SNP	`ip109`
Ethernet II \ IP \ Sprite-RPC	`ip90`
Ethernet II \ IP \ SPS	`ip130`
Ethernet II \ IP \ SRP	`ip119`
Ethernet II \ IP \ SSCOPMCE	`ip128`
Ethernet II \ IP \ STP	`STP`
Ethernet II \ IP \ SUN-ND	`ip77`
Ethernet II \ IP \ TCF	`ip87`
Ethernet II \ IP \ TCP	`Tcp`
Ethernet II \ IP \ TCP \ ABB SPA-Bus	`ABB_SpaBus`
Ethernet II \ IP \ TCP \ AeroAdmin поверх TCP	`AeroAdmin`
Ethernet II \ IP \ TCP \ AFP	`SrvTcp_AFP`
Ethernet II \ IP \ TCP \ Allen-Bradley EtherNet/IP	`AB_EtherNet_IP`
Ethernet II \ IP \ TCP \ Ammyy Admin поверх TCP	`AmmyyAdmin`
Ethernet II \ IP \ TCP \ AnyDesk поверх TCP	`AnyDesk`
Ethernet II \ IP \ TCP \ Протокол контроля АСРК	`AsrkScada`
Ethernet II \ IP \ TCP \ BECKHOFF ADS/AMS	`Beckhoff`
Ethernet II \ IP \ TCP \ Bitcoin поверх TCP	`Bitcoin_OverTcp`
Ethernet II \ IP \ TCP \ BitTorrent поверх TCP	`BittorrentOverTcp`
Ethernet II \ IP \ TCP \ CIMPLICITY-Historian поверх TCP	`CIMPLICITYHistorian`
Ethernet II \ IP \ TCP \ CIMPLICITY-HMI/SCADA поверх TCP	`CIMPLICITYNetwork_OverTcp`
Ethernet II \ IP \ TCP \ CODESYS V2	`CodesysV2`
Ethernet II \ IP \ TCP \ CODESYS V3 Gateway	`CodesysGatewayV3Tcp`
Ethernet II \ IP \ TCP \ COS	`Cos`
Ethernet II \ IP \ TCP \ Dameware MRC	`SrvTcp_DameWare_Mini_Remote_Control`
Ethernet II \ IP \ TCP \ DCE/RPC	`GenericDceRpc`
Ethernet II \ IP \ TCP \ DICOM поверх TCP	`DICOM_over_TCP`
Ethernet II \ IP \ TCP \ DLMS/COSEM	`DlmsCosem`
Ethernet II \ IP \ TCP \ DMS для ABB AC 700F	`ABB_AC700F_DMS`
Ethernet II \ IP \ TCP \ DNP3	`Dnp3`
Ethernet II \ IP \ TCP \ DNS	`SrvTcp_DNS`
Ethernet II \ IP \ TCP \ DNS/LLMNR поверх TCP	`DnsLlmnr_OverTcp`
Ethernet II \ IP \ TCP \ Dogecoin поверх TCP	`Dogecoin`
Ethernet II \ IP \ TCP \ Emerson ControlWave Designer	`EmersonControlWaveDesigner`
Ethernet II \ IP \ TCP \ Emerson DeltaV - обновление прошивки	`EmersonDeltaVFirmware`
Ethernet II \ IP \ TCP \ EtherNet/IP \ OMRON FINS	`OmronFinsEthernetIp`
Ethernet II \ IP \ TCP \ Ether-S-IO поверх TCP	`Esio_OverTcp`
Ethernet II \ IP \ TCP \ Finger	`SrvTcp_FINGER_PROTOCOL`
Ethernet II \ IP \ TCP \ Flash Media Server	`SrvTcp_Flash_Media_Server`
Ethernet II \ IP \ TCP \ FTP	`Ftp`
Ethernet II \ IP \ TCP \ FTP Data	`SrvTcp_FTP_DATA`
Ethernet II \ IP \ TCP \ General Electric SRTP	`Srtp`
Ethernet II \ IP \ TCP \ HL7 v2 поверх TCP	`HL7_ver2_over_TCP`
Ethernet II \ IP \ TCP \ HL7 v3 поверх TCP	`HL7_ver3_over_TCP`
Ethernet II \ IP \ TCP \ Honeywell ControlEDGE 900 - взаимодействие устройств	`HoneywellControlEdge`
Ethernet II \ IP \ TCP \ Honeywell Experion CDA	`HoneywellExperionCdaComm`
Ethernet II \ IP \ TCP \ Honeywell Experion EpicMo	`HoneywellExperionEpicMo`
Ethernet II \ IP \ TCP \ HTTP	`SrvTcp_HTTP`
Ethernet II \ IP \ TCP \ HTTP/2	`HTTP2`
Ethernet II \ IP \ TCP \ HTTPS	`SrvTcp_HTTPS`
Ethernet II \ IP \ TCP \ IBM DB2	`SrvTcp_IBM_DB2`
Ethernet II \ IP \ TCP \ Ident	`SrvTcp_Ident`
Ethernet II \ IP \ TCP \ IEC 60870-5-101	`IEC_60870_5_101`
Ethernet II \ IP \ TCP \ IEC 60870-5-104	`IEC_60870_5_104`
Ethernet II \ IP \ TCP \ IMAP	`SrvTcp_IMAP`
Ethernet II \ IP \ TCP \ IPU-FEU - взаимодействие устройств	`Feu`
Ethernet II \ IP \ TCP \ IRC	`Irc`
Ethernet II \ IP \ TCP \ ISaGRAF IXL	`IsagrafIxl`
Ethernet II \ IP \ TCP \ ISaGRAF SNCP	`IsagrafSncp`
Ethernet II \ IP \ TCP \ ISO TSAP	`SrvTcp_Iso8072`
Ethernet II \ IP \ TCP \ ISO TSAP \ ISO 8073 \ IEC 61850: MMS	`IEC61850_MMS`
Ethernet II \ IP \ TCP \ ISO TSAP \ ISO 8073 \ MMS для ABB AC 800M	`ABB_AC800M_MMS`
Ethernet II \ IP \ TCP \ ISO TSAP \ ISO 8073 \ Siemens S7comm	`SiemensS7Comm`
Ethernet II \ IP \ TCP \ ISO TSAP \ ISO 8073 \ Siemens S7comm-plus	`SiemensS7CommPlus`
Ethernet II \ IP \ TCP \ ISO TSAP \ ISO 8073 \ TASE.2	`Tase2`
Ethernet II \ IP \ TCP \ Jabber XMPP поверх TCP	`Jabber`
Ethernet II \ IP \ TCP \ Kerberos поверх TCP	`SrvTcp_Kerberos`
Ethernet II \ IP \ TCP \ LDAP(S) поверх TCP	`SrvTcp_LDAP_S_`
Ethernet II \ IP \ TCP \ Litecoin поверх TCP	`Litecoin`
Ethernet II \ IP \ TCP \ Mitsubishi MELSEC System Q	`MitsubishiMelsecSystemQProtocol`
Ethernet II \ IP \ TCP \ MMS (ISO 9506-2)	`MmsBase`
Ethernet II \ IP \ TCP \ Modbus	`ModbusTcp`
Ethernet II \ IP \ TCP \ Modbus TCP для ЭКРА серии 200	`Ekra243Modbus`
Ethernet II \ IP \ TCP \ Moxa NPort - настройка устройств	`MoxaNportFirmware`
Ethernet II \ IP \ TCP \ Moxa NPort - взаимодействие устройств	`MoxaNportIa5000aSystem`
Ethernet II \ IP \ TCP \ MQTT поверх TCP	`MQTT`
Ethernet II \ IP \ TCP \ MSNP	`SrvTcp_MSNP`
Ethernet II \ IP \ TCP \ MS SQL Server	`SrvTcp_MS_SQL_Server`
Ethernet II \ IP \ TCP \ MySQL	`SrvTcp_MySQL`
Ethernet II \ IP \ TCP \ Napster	`SrvTcp_Napster`
Ethernet II \ IP \ TCP \ NetBIOS	`SrvTcp_NetBIOS`
Ethernet II \ IP \ TCP \ NFS	`SrvTcp_NFS`
Ethernet II \ IP \ TCP \ OMRON FINS	`OmronFinsTcp`
Ethernet II \ IP \ TCP \ ONVIF поверх TCP	`ONVIF_over_TCP`
Ethernet II \ IP \ TCP \ OPC DA	`OpcDa`
Ethernet II \ IP \ TCP \ OPC UA Binary	`OpcUaBinary`
Ethernet II \ IP \ TCP \ Oracle DB	`SrvTcp_Oracle`
Ethernet II \ IP \ TCP \ POP3	`SrvTcp_POP3`
Ethernet II \ IP \ TCP \ PPTP	`SrvTcp_PPTP`
Ethernet II \ IP \ TCP \ Протокол приложения Radmin поверх TCP	`Radmin_OverTcp`
Ethernet II \ IP \ TCP \ RDP	`SrvTcp_RDP`
Ethernet II \ IP \ TCP \ Релематика BDUBus	`BDUBus`
Ethernet II \ IP \ TCP \ Remote Utilities поверх TCP	`RemoteUtilities`
Ethernet II \ IP \ TCP \ Rlogin	`SrvTcp_RLOGIN`
Ethernet II \ IP \ TCP \ RSH	`SrvTcp_RSH`
Ethernet II \ IP \ TCP \ RTSP поверх TCP	`RTSP_over_TCP`
Ethernet II \ IP \ TCP \ SAIA S-Bus поверх TCP	`Saia_OverTcp`
Ethernet II \ IP \ TCP \ Schneider Electric UMAS	`Umas`
Ethernet II \ IP \ TCP \ SFTP	`SrvTcp_SFTP`
Ethernet II \ IP \ TCP \ Siemens SICAM SCC - взаимодействие с SICAM PAS	`NwChannel`
Ethernet II \ IP \ TCP \ SMB	`SrvTcp_SMB`
Ethernet II \ IP \ TCP \ SMB v2 поверх TCP	`Smb2_OverTcp`
Ethernet II \ IP \ TCP \ SMB v3 поверх TCP	`Smb3_OverTcp`
Ethernet II \ IP \ TCP \ SMTP	`SrvTcp_SMTP`
Ethernet II \ IP \ TCP \ SNMP	`SrvTcp_SNMP`
Ethernet II \ IP \ TCP \ SSH	`Ssh`
Ethernet II \ IP \ TCP \ SSL/TLS	`SslTls`
Ethernet II \ IP \ TCP \ SSL v2	`SslV2`
Ethernet II \ IP \ TCP \ SSL v3	`SslV3`
Ethernet II \ IP \ TCP \ SuiteLink поверх TCP	`SuiteLink`
Ethernet II \ IP \ TCP \ Syslog	`SrvTcp_Syslog`
Ethernet II \ IP \ TCP \ TeamViewer	`SrvTcp_TeamViewer`
Ethernet II \ IP \ TCP \ Telegram MTProto поверх TCP	`Telegram`
Ethernet II \ IP \ TCP \ Telnet	`Telnet`
Ethernet II \ IP \ TCP \ TFTP поверх TCP	`Tftp_OverTcp`
Ethernet II \ IP \ TCP \ TLS v1.0	`TlsV10`
Ethernet II \ IP \ TCP \ TLS v1.1	`TlsV11`
Ethernet II \ IP \ TCP \ TLS v1.2	`TlsV12`
Ethernet II \ IP \ TCP \ TLS v1.3	`TlsV13`
Ethernet II \ IP \ TCP \ TNS поверх TCP	`Tns_OverTcp`
Ethernet II \ IP \ TCP \ Tor поверх TCP	`Tor_OverTcp`
Ethernet II \ IP \ TCP \ VNC	`SrvTcp_VNC`
Ethernet II \ IP \ TCP \ WebSocket	`WebSocket_OverTcp`
Ethernet II \ IP \ TCP \ WMI-технология - взаимодействие устройств	`Wmi`
Ethernet II \ IP \ TLSP	`ip56`
Ethernet II \ IP \ TP++	`ip39`
Ethernet II \ IP \ UDP	`UDP`
Ethernet II \ IP \ UDP \ BACnet	`Bacnet`
Ethernet II \ IP \ UDP \ BECKHOFF ADS/AMS	`BeckhoffUdp`
Ethernet II \ IP \ UDP \ BitTorrent поверх UDP	`BittorrentOverUdp`
Ethernet II \ IP \ UDP \ BSAP	`Bsap`
Ethernet II \ IP \ UDP \ CHINT MAS400 - взаимодействие устройств	`ChintMas400`
Ethernet II \ IP \ UDP \ CHINT MAS9600 - взаимодействие устройств	`ChintMas9600`
Ethernet II \ IP \ UDP \ CIMPLICITY-HMI/SCADA поверх UDP	`CIMPLICITYNetwork_OverUdp`
Ethernet II \ IP \ UDP \ CODESYS V3 Gateway	`CodesysGatewayV3Udp`
Ethernet II \ IP \ UDP \ Протокол передачи данных (ППД/DTS)	`Dts`
Ethernet II \ IP \ UDP \ DHCP	`Dhcp`
Ethernet II \ IP \ UDP \ DirectLOGIC - взаимодействие устройств	`DirectLogicEcom`
Ethernet II \ IP \ UDP \ DNS	`SrvUdp_DNS`
Ethernet II \ IP \ UDP \ DNS/LLMNR поверх UDP	`DnsLlmnr_OverUdp`
Ethernet II \ IP \ UDP \ Dropbox LAN Sync поверх UDP	`DropBox_sync_OverUdp`
Ethernet II \ IP \ UDP \ Emerson DeltaV	`EmersonDeltaV`
Ethernet II \ IP \ UDP \ Emerson Ovation - многоадресная передача поверх UDP	`Emerson_Ovation_OverUdp_Mcast`
Ethernet II \ IP \ UDP \ Emerson Ovation - взаимодействия поверх UDP	`Emerson_Ovation_OverUdp`
Ethernet II \ IP \ UDP \ Ether-S-IO поверх UDP	`Esio_OverUdp`
Ethernet II \ IP \ UDP \ General Electric EGD	`Egd`
Ethernet II \ IP \ UDP \ GLBP поверх UDP	`GLBP_OverUdp`
Ethernet II \ IP \ UDP \ Honeywell ControlEDGE 900 - обнаружение устройств	`HoneywellControlEdgeDiscovery`
Ethernet II \ IP \ UDP \ Honeywell Experion - обнаружение устройств	`HoneywellExperionDiscovery`
Ethernet II \ IP \ UDP \ Honeywell Experion - получение сетевых конфигураций устройств	`HoneywellExperionNameServer`
Ethernet II \ IP \ UDP \ HSRP поверх UDP	`HSRP_OverUdp`
Ethernet II \ IP \ UDP \ INA2000	`Ina2000`
Ethernet II \ IP \ UDP \ Kerberos поверх UDP	`SrvUdp_Kerberos`
Ethernet II \ IP \ UDP \ KNXnet/IP	`Knx`
Ethernet II \ IP \ UDP \ LDAP(S) поверх UDP	`SrvUdp_LDAP_S_`
Ethernet II \ IP \ UDP \ LDP	`SrvUdp_LDP`
Ethernet II \ IP \ UDP \ mDNS поверх UDP	`mDNS_OverUdp`
Ethernet II \ IP \ UDP \ MikroTik Neighbor Discovery Protocol (MNDP)	`Mndp`
Ethernet II \ IP \ UDP \ Moxa NPort - обнаружение устройств	`MoxaNportDiscovery`
Ethernet II \ IP \ UDP \ MSNP	`SrvUdp_MSNP`
Ethernet II \ IP \ UDP \ NBNS поверх UDP	`NBNS_OverUdp`
Ethernet II \ IP \ UDP \ NetBIOS	`SrvUdp_NetBIOS`
Ethernet II \ IP \ UDP \ NFS	`SrvUdp_NFS`
Ethernet II \ IP \ UDP \ NTP	`SrvUdp_NTP`
Ethernet II \ IP \ UDP \ OMRON FINS	`OmronFins`
Ethernet II \ IP \ UDP \ ПК4	`Pk4`
Ethernet II \ IP \ UDP \ ПНУ20	`Pnu20`
Ethernet II \ IP \ UDP \ QTP	`SrvUdp_QTP`
Ethernet II \ IP \ UDP \ RADIUS поверх UDP	`RadiusUdp`
Ethernet II \ IP \ UDP \ RDP	`SrvUdp_RDP`
Ethernet II \ IP \ UDP \ RIP	`RIP`
Ethernet II \ IP \ UDP \ SAIA S-Bus поверх UDP	`Saia_OverUdp`
Ethernet II \ IP \ UDP \ SCIYON default поверх UDP	`Sciyon`
Ethernet II \ IP \ UDP \ Siemens DIGSI 4	`SiemensDigsi4`
Ethernet II \ IP \ UDP \ SIP поверх UDP	`Sip`
Ethernet II \ IP \ UDP \ SMB поверх UDP	`Smb_OverUdp`
Ethernet II \ IP \ UDP \ SMB v2 поверх UDP	`Smb2_OverUdp`
Ethernet II \ IP \ UDP \ SMB v3 поверх UDP	`Smb3_OverUdp`
Ethernet II \ IP \ UDP \ SNMP	`SrvUdp_SNMP`
Ethernet II \ IP \ UDP \ SNMP v1 поверх UDP	`Snmpv1_OverUdp`
Ethernet II \ IP \ UDP \ SNMP v2 поверх UDP	`Snmpv2_OverUdp`
Ethernet II \ IP \ UDP \ SNMP v3 поверх UDP	`Snmpv3_OverUdp`
Ethernet II \ IP \ UDP \ SSDP	`SrvUdp_SSDP`
Ethernet II \ IP \ UDP \ Syslog поверх UDP	`Syslog_OverUdp`
Ethernet II \ IP \ UDP \ TeamViewer	`SrvUdp_TeamViewer`
Ethernet II \ IP \ UDP \ TFTP поверх UDP	`Tftp_OverUdp`
Ethernet II \ IP \ UDP \ TNS поверх UDP	`Tns_OverUdp`
Ethernet II \ IP \ UDP \ Tor поверх UDP	`Tor_OverUdp`
Ethernet II \ IP \ UDP \ Valmet DNA - взаимодействие устройств	`Valmet`
Ethernet II \ IP \ UDP \ YARD	`Yard`
Ethernet II \ IP \ UDP \ Yokogawa Vnet/IP	`VnetIp`
Ethernet II \ IP \ UDPLite	`ip136`
Ethernet II \ IP \ UTI	`ip120`
Ethernet II \ IP \ VINES	`ip83`
Ethernet II \ IP \ VISA	`ip70`
Ethernet II \ IP \ VMTP	`ip81`
Ethernet II \ IP \ VRRP	`ip112`
Ethernet II \ IP \ VRRP поверх IPv4	`VRRP_OverIpv4`
Ethernet II \ IP \ WB-EXPAK	`ip79`
Ethernet II \ IP \ WB-MON	`ip78`
Ethernet II \ IP \ WESP	`ip141`
Ethernet II \ IP \ WSN	`ip74`
Ethernet II \ IP \ XNET	`ip15`
Ethernet II \ IP \ XNS-IDP	`ip22`
Ethernet II \ IP \ XTP	`ip36`
Ethernet II \ IPv6	`IPv6`
Ethernet II \ IPX	`IPX`
Ethernet II \ IS-IS поверх Ethernet II	`IsIsOverEthernetII`
Ethernet II \ Link Layer Discovery Protocol (LLDP)	`Lldp`
Ethernet II \ Loopback	`Loopback`
Ethernet II \ MiCOM C264	`MicomC264`
Ethernet II \ MPLS	`MPLS`
Ethernet II \ MPLS multicast	`MPLS_multi`
Ethernet II \ Precision Time Protocol	`PTP`
Ethernet II \ PROFINET IO	`ProfinetIo`
Ethernet II \ Прософт-Системы - начальная настройка устройств	`ProsoftSystemsDeviceDiscovery`
Ethernet II \ PRP	`PRP`
Ethernet II \ RARP	`RARP`
Ethernet II \ RPC для PROFINET IO	`ProfinetRpc`

Использование переменных

В текст SQL-запроса вы можете добавлять переменные следующих типов:

string – текстовая строка;
date – дата в формате ГГГГ-ММ-ДД;
time – время в формате чч:мм;
weekday – номер дня недели (1–7, где 1 это понедельник);
ip – адрес IPv4 в формате XXX.XXX.XXX.XXX;
port – номер порта (0-65535);
int – целое 64-битное число.

Для указания переменной и ее типа используйте запись вида {{param_name:param_type}}. Если тип переменной не указан (в записи вида {{param_name}}), по умолчанию применяется тип string. Добавленные переменные отображаются под текстом SQL-запроса в блоке параметров Используемые переменные. В этом блоке можно задать значение переменной или выбрать для нее справочник со значениями.

При добавлении переменных в SQL-запрос учитывайте, что максимальное количество переменных в SQL-запросе – 30.

См. также:

Создание правила обнаружения сетевых аномалий

Изменение правила обнаружения сетевых аномалий

В начало