复杂之眼EDR 威胁狩猎查询MEQL规则

预览

MEQL是复杂之眼的专有的查询语言，分享一些MEQL查询规则，通过复杂之眼EDR提供的MEQL威胁狩猎页面，用户可以快速灵活地调查各种行为的详细信息，从而更深入的进行威胁分析和威胁调查。

个人理解评估一台终端的安全状态要看终端上跑了什么软件和用途，如果一台终端产生大量遥测数据说明这台终端是存在很多噪音的威胁指数明显高于一些比较产生少量遥测数据的终端机器。

比如通过MEQL查询， 全量查询终端DNS请求数据。

SimpleName IN Contains ("DNS 请求",)

可以看到全量查询终端DNS请求数据记录。

DNS请求数据详情。

如何查询一些软件exe进程跑了DNS请求数据，可以通过下面MEQL规则查询BarClientView.exe进程DNS请求数据。

ProcessName IN Contains ("BarClientView.exe",) AND SimpleName Contains "DNS 请求" 

MEQL全量查询终端脚本代码块执行记录。

SimpleName Contains "脚本代码块执行记录"

可以看到全量查询终端脚本代码块执行记录。

可以看到什么时间什么软件跑了什么powershell脚本都出来了。

如何查询一些软件exe进程跑了脚本代码块执行记录，可以通过下面MEQL规则查询sdiagnhost.exe进程脚本代码块。

ProcessName IN Contains ("sdiagnhost.exe",) AND SimpleName Contains "脚本代码块执行记录"