使用事件查询语言,也称为EQL。您可以基于威胁情报搜索你环境中的恶意活动、
在此视频中,您将学习如何获取威胁情报报告并搜索攻击行为,任何级别的分析师可通过elastic security实现此目标。
使用事件查询语言
也称为EQL
您可以基于威胁情报
搜索你环境中的
恶意活动
任何分析师级别都可通过elastic security实现
整个数据集可在EQLplayung.io上免费获取
所以你今天就可以开始你的狩猎了
我们开始吧
Elastic security
采用分层防御策略
从elastic agent内的端点安全集成开始
使用机器学习恶意软件模型
使用勒索软件保护
防止文件在攻击期间被加密
一旦数据从终端发送到elastic集群
免费开放的检测规则对攻击进行评估和警报
这些步骤降低平平均响应时间并保护你的环境
即使使用这种复杂的、分层的方法和不断开发的模型
复杂的攻击仍然很难自动检测到
这就需要在整个环境中执行威胁搜索
作为弹性哲学的一部分,武装每一位分析师
我们将EQL查询放在我们的帖子和报告中
为社区提供可操作的威胁情报以供使用
你可以很容易地复制这个区块
并将其粘贴到弹性安全中的关联时间线中
并提供可操作的价值
无论您是否接触过此操作
提供对solar winds攻击的分析和探测
然而,
使用EQL进行狩猎并不局限于使用弹性提供的报告。
为了说明这一点
让我们来看看Palo Alto在Sofacy上提供的一份威胁报告
这是关于Unit24的,该组织也称为APT 28
这份报告在概述这次袭击方面做得很出色
感染的细节和每一步都有描述
在阅读了这份报告后
任何级别的安全分析师都可以
通过报告中的详细信息和威胁
搜寻入侵行为
让我们从基本的搜索开始
输入所提供的IOC或妥协指标
从这里,我们可以进入时间线(timeline)
或者,您可以在我正在使用的这个数据集上进行练习
通过访问EQLplayround.io
这表明,这是一个网络事件类别
并向恶意域发送了一个DNS请求
需要注意
可以进一步解释EQL语法
在这段视频中,YouTube上的 'writing your first event correlation rule'
和在Training.elastic.co的免费部分
运行此查询后
呈现的事件将返回结果
显示受感染的主机名
并以时间线格式提供分析器视图以了解更多详细信息
回到威胁情报报告
我们可以看到另一个入侵指标
这次是以恶意BAT文件的形式
此恶意软件名为:CDnver.bat
回到EQL playground
并等待呈现的事件返回结果
将字符串\“cdnver.bat\”
用*表示的通配符括起来
并使用冒号表示不区分大小写
将允许我们跨数据集进行灵活的搜索
就像前面的例子一样
我们可以获得主机名的详细信息
以及创建文件时的时间戳
从事件渲染器上
您可以使用分析器视图进行进一步分析
让我们回到威胁报告
此突出显示的部分说明
进程rundll32.exe
调用恶意的cdnver.dll
附带#1参数
这为狩猎提供了可操作的信息
使用Process.args字段
让我们在EQL playground上实操一把
在此查询中
我们将使用Process Event类别
并使用'and'查询两个字段
查询:Process WHERE进程.名称:rundll32.exe和进程.args:\“*cdnver.dll*\”
并且包含*cdnver.dll*的进程参数
提供搜索灵活性
呈现的事件返回结果
从这里开始
该视图与我们前面的查询类似
其中我们可以获得更多详细信息
并进一步分析这些信息
使用分析器视图
最后一个示例将稍微复杂一些,因为它用到了sequences
EQL中的sequences允许您想象一系列有序的事件
rundll32.exe启动后建立网络连接
并使用cidnmtch字段过滤连接到私有IP地址的那些事件
因为它与威胁情报报告中的行为相匹配
但并不依赖于入侵指标
一旦验证并提交了查询
事件呈现器返回结果
采用与前面示例类似的格式
从这里,您可以通过更深入地研究数据来执行进一步的分析
感谢收看关于使用威胁情报和EQL猎杀APT的本演练
访问EQLplayround.io并测试EQL
或者开始您的14天elastic cloud免费试用
在您自己的数据上尝试EQL
有关EQLplayground.io上此数据集和EQL的详细信息
查看笔记部分
您可以了解有关EQL的更多信息
并在文档中、讨论论坛或社区slack频道
如果您准备更深入地研究elastic security