统一端点安全 SaaS-aES

统一端点安全 SaaS-aES,围绕端点资产安全生命周期,通过预防、防御、检测、响应赋予端点更为有效的安全能力。在应对APT高级威胁、变种勒索的同时,通过多层级检测响应机制、云网端协同联动、威胁情报共享,帮助用户快速发现并精准处置端点安全问题,构建有效的终端安全防护体系。
点击可切换产品版本
知道了
不再提醒
6.0.2R1
{{sendMatomoQuery("统一端点安全 SaaS-aES","威胁狩猎")}}

威胁狩猎

更新时间:2024-06-03

当客户已知或从外部获取新威胁情报时,可通过简易的条件组合检索相关情报信息(如IP、域名、行为等),即可在全网发起所有终端的威胁狩猎,定位潜在威胁的主机、进程等相关信息,助力客户发现新威胁或排查全网潜在风险。

3.2.3.1.单条件检索

单条件检测包括域名访问检索、网络连接检索、可执行文件hash检索和文件名检索。

域名访问检索

输入单个或多个域名,通过","(英文逗号)区分,将检索与相关域名通信的设备和行为信息。域名支持使用"*"通配符进行模糊查询。

示例:已知Emotet病毒相关域名情报,查询可能感染Emotet病毒的终端和与Emotet病毒域名通信的对应进程信息

写法:vidriodecoracion.com,varivoda.com,wakan-tanka.com,white-on-rice.com

查询结果如下图。

网络连接检索

输入单个或多个IP地址,通过","(英文逗号)区分,检索源IP或目的IP中包含所检索地址的网络连接行为的终端和对应进程信息。

示例:已知Emotet病毒相关IP情报,查询可能感染Emotet病毒的终端,以及与Emotet病毒IP地址通信的进程信息

写法:216.10.40.16,91.121.54.71,209.236.123.42,77.55.211.77

查询结果如下图。

可执行文件Hash检索

输入单个或多个待查询的可疑程序文件的MD5SHA256值,通过","(英文逗号)区分,可检索进程操作事件和模块加载事件中,与输入的文件Hash匹配的终端和对应的进程信息。

示例:已知Emotet病毒相关文件SHA256情报,查询可能感染Emotet病毒的终端

写法:a7f38b8959c668d02ced78306917fe8f7740cb199129db5f9408fb728a66cc5f

查询结果如下图。

文件名检索

输入单个或多个待查询的可疑文件的文件名,通过","(英文逗号)区分,检索与所输入文件名相关的终端和事件。文件名支持"*"通配符进行模糊查询。

示例:获取到Emotet恶意文件的名称,查询可能感染Emotet病毒的终端

写法:setupcln*,4256cd.dll

查询结果如下图。

3.2.3.2.组合条件检索

多行为组合搜索语句构成

搜索语句由“搜索对象”、“字段名”、“值”、“比较运算符”、“逻辑运算符”组成,如下图所示。

对象1.字段1 比较运算符 值1 逻辑运算符 对象2.字段2 比较运算符 值2

示例:挖矿病毒检测

写法:(DNSEvents.domain = "*xmr*" AND DNSEvents.domain = "*pool*") OR (NetworkEvents.dst_port = "4444" OR NetworkEvents.dst_port = "5555" OR NetworkEvents.dst_port = "6666") OR (ProcessEvents.process_commandline = "stratum://" OR ProcessEvents.process_commandline = "cpu-priority")

备注:整个搜索语句的元素不区分大小写。

查询结果如下图。

对象和字段说明

可检索对象包含域名访问、网络连接、进程操作、文件操作、模块加载、设备信息。具体对象和对应的字段如下。

域名访问表检测字段:

网络连接表检测字段:

文件操作表检测字段:

进程操作表检测字段:

模块加载检测字段:

设备信息表检测字段:

值说明

值输入时需加双引号。支持通配符搜索,支持在一个值内的单个和多个字符的通配符搜索,使用"*"号表示多个字符的通配符搜索,匹配零个或多个字符。通配符"*"只支持与比较符"="(等于)、"!="(不等于)配合使用。

示例:搜索单词 mongodb mondodb,可使用写法为: mon*

比较运算符

逻辑运算符说明

日志检索系统支持ANDORNOT三种运算符

1AND 运算符

AND 运算符关联两字段内容,代表两字段内容必须同时满足。

2OR 运算符

OR 运算符关联两个字段对应的值,满足任意一项即可。

3NOT 运算符

NOT 运算符排除含有 NOT 运算符后面的单独项或短语的记录。相当于非运算符。