当客户已知或从外部获取新威胁情报时，可通过简易的条件组合检索相关情报信息（如IP、域名、行为等），即可在全网发起所有终端的威胁狩猎，定位潜在威胁的主机、进程等相关信息，助力客户发现新威胁或排查全网潜在风险。

3.2.3.1.单条件检索

单条件检测包括域名访问检索、网络连接检索、可执行文件hash检索和文件名检索。

域名访问检索

输入单个或多个域名，通过","（英文逗号）区分，将检索与相关域名通信的设备和行为信息。域名支持使用"*"通配符进行模糊查询。

示例：已知Emotet病毒相关域名情报，查询可能感染Emotet病毒的终端和与Emotet病毒域名通信的对应进程信息

写法：vidriodecoracion.com,varivoda.com,wakan-tanka.com,white-on-rice.com

查询结果如下图。

网络连接检索

输入单个或多个IP地址，通过","（英文逗号）区分，检索源IP或目的IP中包含所检索地址的网络连接行为的终端和对应进程信息。

示例：已知Emotet病毒相关IP情报，查询可能感染Emotet病毒的终端，以及与Emotet病毒IP地址通信的进程信息

写法：216.10.40.16,91.121.54.71,209.236.123.42,77.55.211.77

查询结果如下图。

可执行文件Hash检索

输入单个或多个待查询的可疑程序文件的MD5或SHA256值，通过","（英文逗号）区分，可检索进程操作事件和模块加载事件中，与输入的文件Hash匹配的终端和对应的进程信息。

示例：已知Emotet病毒相关文件SHA256情报，查询可能感染Emotet病毒的终端

写法：a7f38b8959c668d02ced78306917fe8f7740cb199129db5f9408fb728a66cc5f

查询结果如下图。

文件名检索

输入单个或多个待查询的可疑文件的文件名，通过","（英文逗号）区分，检索与所输入文件名相关的终端和事件。文件名支持"*"通配符进行模糊查询。

示例：获取到Emotet恶意文件的名称，查询可能感染Emotet病毒的终端

写法：setupcln*,4256cd.dll

查询结果如下图。

3.2.3.2.组合条件检索

多行为组合搜索语句构成

搜索语句由“搜索对象”、“字段名”、“值”、“比较运算符”、“逻辑运算符”组成，如下图所示。

对象1.字段1 比较运算符 值1 逻辑运算符 对象2.字段2 比较运算符 值2

示例：挖矿病毒检测

写法：(DNSEvents.domain = "*xmr*" AND DNSEvents.domain = "*pool*") OR (NetworkEvents.dst_port = "4444" OR NetworkEvents.dst_port = "5555" OR NetworkEvents.dst_port = "6666") OR (ProcessEvents.process_commandline = "stratum://" OR ProcessEvents.process_commandline = "cpu-priority")

备注：整个搜索语句的元素不区分大小写。

查询结果如下图。

对象和字段说明

可检索对象包含域名访问、网络连接、进程操作、文件操作、模块加载、设备信息。具体对象和对应的字段如下。

域名访问表检测字段：

网络连接表检测字段：

文件操作表检测字段：

进程操作表检测字段：

模块加载检测字段:

设备信息表检测字段:

值说明

值输入时需加双引号。支持通配符搜索，支持在一个值内的单个和多个字符的通配符搜索，使用"*"号表示多个字符的通配符搜索，匹配零个或多个字符。通配符"*"只支持与比较符"="（等于）、"!="（不等于）配合使用。

示例：搜索单词 mongodb 或 mondodb，可使用写法为： mon*

比较运算符

逻辑运算符说明

日志检索系统支持AND、OR、NOT三种运算符

1、AND 运算符

AND 运算符关联两字段内容，代表两字段内容必须同时满足。

2、OR 运算符

OR 运算符关联两个字段对应的值，满足任意一项即可。

3、NOT 运算符

NOT 运算符排除含有 NOT 运算符后面的单独项或短语的记录。相当于非运算符。