复杂之眼EDR 威胁狩猎查询MEQL规则

文章预览

ME QL 是复杂之眼的 专有的查询语言， 分享一些MEQL查询规则，通过复杂之眼EDR提供的MEQL威胁狩猎页面，用户可以快速灵活地调查各种行为的详细信息，从而更深入的进行威胁分析和威胁调查。 个人理解评估一台终端的安全状态要看终端上跑了什么软件和用途，如果一台终端产生大量 遥 测 数据 说明这台终端是存在很多噪音的威胁指数明显高于一些比较产生少量遥测数据的终端机器。 比如通过MEQL查询， 全量查询终端DNS请求数据。 SimpleName IN Contains ( "DNS 请求" ,) 可以看到 全量查询终端DNS请求数据记录 。 DNS请求数据详情。 如何查询一些软件exe进程跑了DNS请求数据，可以通过下面MEQL规则 查询BarClientView.exe进程DNS请求数据 。 ProcessName  IN Contains ( "BarClientView.exe" ,) AND SimpleName Contains  "DNS 请求"   MEQL 全量查询终端脚本代码块执行记录。 SimpleName C ………………………………