00:00
接下来我们来学习eql在安全检测当中的使用。首先eql啊,在我们的安全认证当中被广泛使用,尤其是它可以用来检测安全威胁和其他可疑行为。为什么说它可以检测可疑行为呢?是因为啊,在我们某些系统当中啊,它会有一些漏洞,而很多的一些用户呢,可以利用这些漏洞来做一些非法的事情,那这样的话,我们必须要检测出来,做一些预警啊,做一些我们的判断,对吧。那好了,那我们来看看他说了,我们这里呢,有一个我们的可执行文件,是我们内置的命令行使用程序,它用于在Windows当中注册我们动态链接库啊,它是我们的本机的工具,而且是受信任的,但是呢,恰恰我们很多其他的一些我们的程序可以通过它绕过我们正常的这种处理机制来执行一些恶意的脚本,这样的话让我们的系统受到我们的风险的攻击,这样的话就不是很好了,我们要从我们的服务器日志当中去找到这样的我们的行为,对吧?
01:06
所以说我们就可以用eql对我们的事件做出判断,那好了,我们这里来演示演示基本的操作,我们事先啊给大家准备一定量的数据,这个数据呢,是我们给大家事先准备好的,我们打开,打开以后在这个位置打开。那这个地方已经有了,那所以呢,我们首先按照课件一样,我们先来创建我们当前的操作来拷贝。拷贝以后我们放到这里,然后呢,我们创建成功。再来往下往下呢,我们再去往下操作我们的批量我们的导入数据,然后我们把刚才的数据我原封不动,我拷贝过来,我放到后面啊,那这样的话我直接执行就可以了啊,我放到后面,嗯。咱们放到我们的最前面啊来。好了,然后呢,我点击执行,把我们刚才所准备的数据,我们全都给他执行一下,好了,数据导入成功了,那么我们来查询一下我们刚才的数据,我们叫get,然后我们的是吧,它我们来我们的下划线,我们的search啊,我们来查询一下。
02:14
阿询以后大家可以看到我们现在总共是150条数据说明啊,是没有问题的,那咱们继续往下,往下以后他说了,我们要获取我们的这个事件的技术有数量啊,有多少个跟这个进程关联的那个数据的条数,我们需要去把它找到,那么好,我们这里把它拷贝一下,拷贝以后在我们的这里我们回车,哎,我们找一下,这个时候我用到的是个any,这个any表述的含义非常的简单,就是所有的事件我都要匹配一下,看一看我进程的名字是不是叫这个名字。那么说到进程的名字了,我们回过头看一下咱们的数据,咱们的数据当中就有我们的process,然后呢,有一个name,它里面就有的是这个名称,有的不是这个名称,我现在这个地方就想查询有多少个进程的名字是它,所以我们查询,查询以后有143条数据是我们的这个名称,对吧?好,这是我们的一个匹配条件,接着往下。
03:13
往下以后他说了检查命令行的参数,所以要把这个拿到,拿到以后他说了我们进程是传了命令行参数的,它的这个命令行不为空,所以我们去找一下咱们拷贝,拷贝以后把它我们再往下,往下之后我点一下,你会发现我们现在找到了其中的一条数据,这条数据当中我们这个地方就执行了我们当前的程序,并且我们传递了命令行的参数,你看到没有,在这个里面就传递了命令行的参数。好,那么咱们继续往下,往下以后咱们往下他说该查询啊,有一个事件是匹配的,那么说明啊,我们在执行它的过程当中,执行了一些恶意的请求,那么说明这是有风险的,它属于一种恶意攻击的行为,那这样的话,我们以后可以找到这种攻击的这种规律,把它的数据给他查出来,看看它来自于什么地方,对吧,我们可以做一些分析嘛,嗯。
04:13
接下来我们继续检查恶意脚本的加载,它这里说了我们需要检查我们这个可执行文件以后,是否加载了动态链接库的这种风险操作。那么在这种情况下,我们怎么去验证它呢?很简单,他就问你当前的执行过程当中,我的进程名称如果是他,并且动态链接库的名字是他,那么就是有问题的,所以把这样的数据我们给他拿过来啊,好,我们这边给它拿过来,我放到这里,然后我查询一下,找到了这样的内容,我们在当前的处理过程当中,它是一个library的事件,然后呢,它的进程的名字就是这个名字,并且它的动态链接库,它在这里面去加载了,它这是一种恶意攻击的行为,那么我们需要把它检测出来,对不对,哎,就是这样,所以啊,这是一种恶意脚本加载的检测功能啊。还有呢,他又说了,我们检查攻击的成功可能性,我们想知道我们的攻击啊,它到底有没有可能成功呢?那就需要知道我们在执行的过程当中,它执行这个操作之后,有没有在执行,它就是这个意思。
05:21
所以呢,大家可以看到,我们现在就增加了一个sequence叫做序列,它就把我们的数据之间的先后关系就定义好了,第一个先执行的是这个进程,然后呢去加载了这个动态链接库,然后呢再执行网络,你看到没有,这就是他的一个攻击的模式,我们看看我们当前的数据当中有没有这种我们的数据,如果有说明我们曾经被恶意的攻击过,对不对?所以大家可以看到这样的话,就跟我们前面给大家演示的那个sequence的方式就一样了,只要咱们的数据是没有问题的话,那么我们当前的这个操作就可以检测我们的风险。
06:00
啊,这样的话还是非常不错的啊。
我来说两句