Elastic 5分钟教程：使用EQL获取威胁情报并搜索攻击行为

使用事件查询语言，也称为EQL。您可以基于威胁情报搜索你环境中的恶意活动、

在此视频中，您将学习如何获取威胁情报报告并搜索攻击行为，任何级别的分析师可通过elastic security实现此目标。

使用事件查询语言

也称为EQL

您可以基于威胁情报

搜索你环境中的

恶意活动

在此视频中，您将学习如何获取威胁情报报告并搜索攻击行为

任何分析师级别都可通过elastic security实现

整个数据集可在EQLplayung.io上免费获取

所以你今天就可以开始你的狩猎了

我们开始吧

Elastic security

采用分层防御策略

从elastic agent内的端点安全集成开始

使用机器学习恶意软件模型

对恶意文件警报进行分类

使用勒索软件保护

防止文件在攻击期间被加密

一旦数据从终端发送到elastic集群

免费开放的检测规则对攻击进行评估和警报

这些步骤降低平平均响应时间并保护你的环境

即使使用这种复杂的、分层的方法和不断开发的模型

复杂的攻击仍然很难自动检测到

这就需要在整个环境中执行威胁搜索

作为弹性哲学的一部分，武装每一位分析师

我们将EQL查询放在我们的帖子和报告中

为社区提供可操作的威胁情报以供使用

你可以很容易地复制这个区块

并将其粘贴到弹性安全中的关联时间线中

并提供可操作的价值

无论您是否接触过此操作

我们在这里深入研究的例子来自我们的博客文章

提供对solar winds攻击的分析和探测

然而，

使用EQL进行狩猎并不局限于使用弹性提供的报告。

为了说明这一点

让我们来看看Palo Alto在Sofacy上提供的一份威胁报告

这是关于Unit24的，该组织也称为APT 28

这份报告在概述这次袭击方面做得很出色

感染的细节和每一步都有描述

在阅读了这份报告后

任何级别的安全分析师都可以

通过报告中的详细信息和威胁

搜寻入侵行为

让我们从基本的搜索开始

输入所提供的IOC或妥协指标

第一个是这里突出显示的CDNverify.net域

从这里，我们可以进入时间线（timeline）

中的correlations页面并开始编写查询

或者，您可以在我正在使用的这个数据集上进行练习

通过访问EQLplayround.io

我们可以用来搜索此域的查询是

这表明，这是一个网络事件类别

并向恶意域发送了一个DNS请求

需要注意

可以进一步解释EQL语法

在这段视频中，YouTube上的 'writing your first event correlation rule'

和在Training.elastic.co的免费部分

运行此查询后

呈现的事件将返回结果

显示受感染的主机名

用户、事件的时间戳、进行调用的进程

并以时间线格式提供分析器视图以了解更多详细信息

回到威胁情报报告

我们可以看到另一个入侵指标

这次是以恶意BAT文件的形式

此恶意软件名为：CDnver.bat

回到EQL playground

让我们根据文件事件类别输入下一个查询

在这里，您可以输入查询：

并等待呈现的事件返回结果

将字符串\“cdnver.bat\”

用*表示的通配符括起来

并使用冒号表示不区分大小写

将允许我们跨数据集进行灵活的搜索

就像前面的例子一样

我们可以获得主机名的详细信息

和此文件中存在的用户

以及创建文件时的时间戳

从事件渲染器上

您可以使用分析器视图进行进一步分析

现在，让我们来看一个稍微复杂一点的查询

让我们回到威胁报告

此突出显示的部分说明

进程rundll32.exe

调用恶意的cdnver.dll

附带#1参数

这为狩猎提供了可操作的信息

使用Process.args字段

让我们在EQL playground上实操一把

在此查询中

我们将使用Process Event类别

并使用'and'查询两个字段

查询：Process WHERE进程.名称：rundll32.exe和进程.args：\“*cdnver.dll*\”

正在查找进程名称为rundll32.exe的事件

并且包含*cdnver.dll*的进程参数

提供搜索灵活性

呈现的事件返回结果

从这里开始

该视图与我们前面的查询类似

其中我们可以获得更多详细信息

并进一步分析这些信息

使用分析器视图

最后一个示例将稍微复杂一些，因为它用到了sequences

EQL中的sequences允许您想象一系列有序的事件

在此查询中，我们要搜索

Rundll32.exe启动后建立网络连接

并使用cidnmtch字段过滤连接到私有IP地址的那些事件

此查询功能强大

因为它与威胁情报报告中的行为相匹配

但并不依赖于入侵指标

一旦验证并提交了查询

事件呈现器返回结果

采用与前面示例类似的格式

从这里，您可以通过更深入地研究数据来执行进一步的分析

感谢收看关于使用威胁情报和EQL猎杀APT的本演练

访问EQLplayround.io并测试EQL

或者开始您的14天elastic cloud免费试用

在您自己的数据上尝试EQL

有关EQLplayground.io上此数据集和EQL的详细信息

查看笔记部分

您可以了解有关EQL的更多信息

并在文档中、讨论论坛或社区slack频道

获取有关您的查询的帮助

如果您准备更深入地研究elastic security

立即启动您的elastic security快速入门