长亭百川云 - 文章详情

复杂之眼EDR 威胁狩猎查询MEQL规则

技可达工作室

68

2024-07-14

MEQL是复杂之眼的专有的查询语言,分享一些MEQL查询规则,通过复杂之眼EDR提供的MEQL威胁狩猎页面,用户可以快速灵活地调查各种行为的详细信息,从而更深入的进行威胁分析和威胁调查。

个人理解评估一台终端的安全状态要看终端上跑了什么软件和用途,如果一台终端产生大量遥测数据说明这台终端是存在很多噪音的威胁指数明显高于一些比较产生少量遥测数据的终端机器。

比如通过MEQL查询, 全量查询终端DNS请求数据。

SimpleName IN Contains ("DNS 请求",)

可以看到全量查询终端DNS请求数据记录。

DNS请求数据详情。

如何查询一些软件exe进程跑了DNS请求数据,可以通过下面MEQL规则查询BarClientView.exe进程DNS请求数据。

ProcessName IN Contains ("BarClientView.exe",) AND SimpleName Contains "DNS 请求" 

MEQL全量查询终端脚本代码块执行记录。

SimpleName Contains "脚本代码块执行记录"

可以看到全量查询终端脚本代码块执行记录。

可以看到什么时间什么软件跑了什么powershell脚本都出来了。

如何查询一些软件exe进程跑了脚本代码块执行记录,可以通过下面MEQL规则查询sdiagnhost.exe进程脚本代码块。

ProcessName IN Contains ("sdiagnhost.exe",) AND SimpleName Contains "脚本代码块执行记录"
相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2