更新时间:2022-12-20
安全告警专家模式帮助你更快捷查找遗漏的攻击者或者恶意软件发起的恶意行为。常用的SPL语句有以下分类
1.端(E)侧告警挖掘
| ❕Tips |
|
filter NOT (告警名称 like "*访问*蠕虫*") | filter NOT (告警名称 like "*通过powershell执行混淆命令*") | filter NOT (告警名称 like "*访问*挖矿*") | filter NOT (告警名称 like "*通过永恒之蓝漏洞对外进行攻击*") | filter NOT (告警名称 like "*访问*病毒*") | filter NOT (告警名称 like "*访问*软件*") | filter NOT (告警名称 like "*访问*木马*") | filter not ( 告警名称 like "*检测到主机存在*病毒*" ) | filter 告警等级 in { "中危" , "高危" , "严重" } | filter 数据源 in { "EDR", "CWPP" }
|
2.端(E)侧IOA告警挖掘
| ❕Tips |
| filter 数据源 in { "EDR", "CWPP" } | filter NOT (告警等级 in { "低危" ,"信息" }) | filter 检测引擎 in { "IOA引擎" } |
3.主机失陷告警调查场景
| ❕Tips |
| filter 攻击结果 in { "失陷" } | filter NOT (攻击子类型 in { "DNS隧道" , "木马" , "僵尸网络" , "挖矿" , "蠕虫" , "其他流量异常" , "Socks流量异常" , "勒索" , "HTTP隧道" , "流氓推广软件" , "恶意网站" , "后门软件" } OR 攻击子类型 like "*病毒*") | filter NOT (目的IP = "0.0.0.0") | filter not 告警名称 like "*访问Tor2Web域名*" |
4.网(N)侧异常外联场景
| ❕Tips |
| filter NOT (数据源 = "EDR" OR 数据源 = "CWPP") | filter 攻击结果 in { "未知" } | filter NOT (检测引擎 in { "IOC引擎" , "IPS引擎" , "WAF引擎" , "pvs引擎" , "IOC库引擎" }) | filter NOT (攻击子类型 in { "ARP扫描" , "木马" , "僵尸网络" , "挖矿" , "蠕虫" , "感染型病毒" , "端口转发" , "代理工具" , "Rootkit病毒" , "Socks流量异常" , "流氓推广软件" , "恶意网站" } OR 攻击子类型 like "*未授权*") | filter NOT (告警名称 like "*快速暴力破解*" OR 告警名称 like "*弱口令*" OR 告警名称 like "*动态脚本上传成功*" OR 告警名称 like "*服务器频繁发送可疑DNS请求*" OR 告警名称 like "*Chisel工具通信*" OR 告警名称 like "*Meterpreter工具通信*" OR 告警名称 like "*内部设备从多个罕见的外部来源下载了多个可执行程序*" OR 告警名称 like "*从罕见地址下载多个可执行程序*" OR 告警名称 like "*感染dnslog家族黑客工具*" OR 告警名称 like "*使用错误的响应头从罕见地址下载exe程序*") |
5.网(N)侧非WAF、IPS引擎告警
| ❕Tips |
| filter not ( 数据源 = "NDR" and 检测引擎 in { "WAF引擎" , "IPS引擎" } ) |
建议使用Chrome浏览器访问!
