更新时间:2024-06-03
当客户已知或从外部获取新威胁情报时,可通过简易的条件组合检索相关情报信息(如IP、域名、行为等),即可在全网发起所有终端的威胁狩猎,定位潜在威胁的主机、进程等相关信息,助力客户发现新威胁或排查全网潜在风险。
3.2.3.1.单条件检索
单条件检测包括域名访问检索、网络连接检索、可执行文件hash检索和文件名检索。
域名访问检索
输入单个或多个域名,通过","(英文逗号)区分,将检索与相关域名通信的设备和行为信息。域名支持使用"*"通配符进行模糊查询。
示例:已知Emotet病毒相关域名情报,查询可能感染Emotet病毒的终端和与Emotet病毒域名通信的对应进程信息
写法:vidriodecoracion.com,varivoda.com,wakan-tanka.com,white-on-rice.com
查询结果如下图。
网络连接检索
输入单个或多个IP地址,通过","(英文逗号)区分,检索源IP或目的IP中包含所检索地址的网络连接行为的终端和对应进程信息。
示例:已知Emotet病毒相关IP情报,查询可能感染Emotet病毒的终端,以及与Emotet病毒IP地址通信的进程信息
写法:216.10.40.16,91.121.54.71,209.236.123.42,77.55.211.77
查询结果如下图。
可执行文件Hash检索
输入单个或多个待查询的可疑程序文件的MD5或SHA256值,通过","(英文逗号)区分,可检索进程操作事件和模块加载事件中,与输入的文件Hash匹配的终端和对应的进程信息。
示例:已知Emotet病毒相关文件SHA256情报,查询可能感染Emotet病毒的终端
写法:a7f38b8959c668d02ced78306917fe8f7740cb199129db5f9408fb728a66cc5f
查询结果如下图。
文件名检索
输入单个或多个待查询的可疑文件的文件名,通过","(英文逗号)区分,检索与所输入文件名相关的终端和事件。文件名支持"*"通配符进行模糊查询。
示例:获取到Emotet恶意文件的名称,查询可能感染Emotet病毒的终端
写法:setupcln*,4256cd.dll
查询结果如下图。
3.2.3.2.组合条件检索
多行为组合搜索语句构成
搜索语句由“搜索对象”、“字段名”、“值”、“比较运算符”、“逻辑运算符”组成,如下图所示。
对象1.字段1 比较运算符 值1 逻辑运算符 对象2.字段2 比较运算符 值2
示例:挖矿病毒检测
写法:(DNSEvents.domain = "*xmr*" AND DNSEvents.domain = "*pool*") OR (NetworkEvents.dst_port = "4444" OR NetworkEvents.dst_port = "5555" OR NetworkEvents.dst_port = "6666") OR (ProcessEvents.process_commandline = "stratum://" OR ProcessEvents.process_commandline = "cpu-priority")
备注:整个搜索语句的元素不区分大小写。
查询结果如下图。
对象和字段说明
可检索对象包含域名访问、网络连接、进程操作、文件操作、模块加载、设备信息。具体对象和对应的字段如下。
域名访问表检测字段:
网络连接表检测字段:
文件操作表检测字段:
进程操作表检测字段:
模块加载检测字段:
设备信息表检测字段:
值说明
值输入时需加双引号。支持通配符搜索,支持在一个值内的单个和多个字符的通配符搜索,使用"*"号表示多个字符的通配符搜索,匹配零个或多个字符。通配符"*"只支持与比较符"="(等于)、"!="(不等于)配合使用。
示例:搜索单词 mongodb 或 mondodb,可使用写法为: mon*
比较运算符
逻辑运算符说明
日志检索系统支持AND、OR、NOT三种运算符
1、AND 运算符
AND 运算符关联两字段内容,代表两字段内容必须同时满足。
2、OR 运算符
OR 运算符关联两个字段对应的值,满足任意一项即可。
3、NOT 运算符
NOT 运算符排除含有 NOT 运算符后面的单独项或短语的记录。相当于非运算符。