グラフDB：イベントでトリガーする方法は？

Question

Windowsのプロセスツリー情報をグラフデータベースに保存しようとしています。

私たちには、プロセスの作成と削除の情報を収集するエンドポイント検出ツールがあります。たとえば、プロセスID、プロセスを開始したコマンド、親プロセスなどがあります。

データはリアルタイムでグラフデータベースにロードされます。

「powershell.exe」や「cmd.exe」などのプロセスの親として「iexplore.exe」が表示されると、いつでもNeo4jがイベントをトリガーする方法はありますか？場合によっては、iexploreとpowershell/cmdの間にいくつかのプロセスがあるかもしれません。

たとえば、攻撃者はIEの脆弱性を悪用し、ディスク上のファイルを削除して実行し、powershell.exeを使用します。

グラフデータベースでは、より複雑なイベントをキャプチャするためのルールを作成できますか？

Answer 1

設定トリガーにはapoc triggers、外部API呼び出しにはapoc.es.postRawを使用できます。たとえば、

CALL apoc.trigger.add(
     'iexplorer', 
     'MATCH (P:Process {name:"iexplore.exe"})-[:parent_of*]->(C:Process) 
      WHERE C.name IN ["powershell.exe", "cmd.exe"] 
     WITH collect(distinct id(P)) as ids 
     CALL apoc.es.postRaw("http://localhost", "neo4jevent", ids) yield value 
     RETURN value', 
     '{phase:'after'}' 
)