欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

ElasticSearch事件查詢語言EQL操作

 更新時間:2022年09月29日 16:39:06   作者:吃貓的魚_  
這篇文章主要為大家介紹了ElasticSearch事件查詢語言EQL操作,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進步,早日升職加薪

前述

EQL 的全名是 Event Query Language (EQL)。事件查詢語言(EQL)是一種用于基于事件的時間序列數(shù)據(jù)(例如日志,指標和跟蹤)的查詢語言。在 Elastic Security 平臺上,當輸入有效的 EQL 時,查詢會在數(shù)據(jù)節(jié)點上編譯,執(zhí)行查詢并返回結(jié)果。這一切都快速、并行地發(fā)生,讓用戶立即看到結(jié)果。

EQL優(yōu)點

  • EQL 使你可以表達事件之間的關(guān)系:許多查詢語言允許您匹配單個事件。EQL 使你可以匹配不同事件類別和時間跨度的一系列事件
  • EQL 的學(xué)習曲線很低:EQL 語法看起來像其他常見查詢語言,例如 SQL。 EQL 使你可以直觀地編寫和讀取查 詢,從而可以進行快速,迭代的搜索。
  • EQL 設(shè)計用于安全用例:盡管你可以將其用于任何基于事件的數(shù)據(jù),但我們創(chuàng)建了 EQL 來進行威脅搜尋。 EQL 不僅支持危害指標(IOC)搜索,而且可以描述超出 IOC 范圍的活動

基礎(chǔ)語法

數(shù)據(jù)準備

要運行 EQL 搜索,搜索到的數(shù)據(jù)流或索引必須包含時間戳和事件類別字段。默認情況下,EQL 使用 Elastic 通用模式(ECS)中的 @timestampevent.category 字段。 @timestamp 表示時間戳,event.category 表示事件分類。

# 創(chuàng)建索引
PUT /gmall
# 批量增加數(shù)據(jù)
PUT _bulk
{"index":{"_index":"gmall"}}
{
    "@timestamp":"2022-08-10T15:00:00.00+08:00",
    "event":{
        "category":"page"
    },
    "page":{
        "session_id":"42FC7E13-CB3E-5C05-0000-0010A0125101",
        "last_page_id":"",
        "page_id":"login",
        "user_id":""
    }
}
{"index":{"_index":"gmall"}}
{
    "@timestamp":"2022-08-10T15:02:00.00+08:00",
    "event":{
        "category":"page"
    },
    "page":{
        "session_id":"42FC7E13-CB3E-5C05-0000-0010A0125101",
        "last_page_id":"login",
        "page_id":"good_list",
        "user_id":"1"
    }
}
{"index":{"_index":"gmall"}}
{
    "@timestamp":"2022-08-10T15:05:00.00+08:00",
    "event":{
        "category":"page"
    },
    "page":{
        "session_id":"42FC7E13-CB3E-5C05-0000-0010A0125101",
        "last_page_id":"good_list",
        "page_id":"good_detail",
        "user_id":"1"
    }
}
{"index":{"_index":"gmall"}}
{
    "@timestamp":"2022-08-10T15:07:00.00+08:00",
    "event":{
        "category":"page"
    },
    "page":{
        "session_id":"42FC7E13-CB3E-5C05-0000-0010A0125101",
        "last_page_id":"good_detail",
        "page_id":"order",
        "user_id":"1"
    }
}
{"index":{"_index":"gmall"}}
{
    "@timestamp":"2022-08-10T15:08:00.00+08:00",
    "event":{
        "category":"page"
    },
    "page":{
        "session_id":"42FC7E13-CB3E-5C05-0000-0010A0125101",
        "last_page_id":"order",
        "page_id":"payment",
        "user_id":"1"
    }
}
{"index":{"_index":"gmall"}}
{
    "@timestamp":"2022-08-10T15:08:00.00+08:00",
    "event":{
        "category":"page"
    },
    "page":{
        "session_id":"42FC7E13-CB3E-5C05-0000-0010A0125102",
        "last_page_id":"",
        "page_id":"login",
        "user_id":"2"
    }
}
{"index":{"_index":"gmall"}}
{
    "@timestamp":"2022-08-10T15:08:00.00+08:00",
    "event":{
        "category":"page"
    },
    "page":{
        "session_id":"42FC7E13-CB3E-5C05-0000-0010A0125102",
        "last_page_id":"login",
        "page_id":"payment",
        "user_id":"2"
    }
}

數(shù)據(jù)窗口搜索

在事件響應(yīng)過程中,有很多時候,了解特定時間發(fā)生的所有事件是很有用的。使用一種名為any的特殊事件類型,針對所有事件進行匹配,如果想要匹配特定事件,就需要指明事件分類名稱

# 
GET /gmall/_eql/search 
{ 
    "query" : """ 
        any where page.user_id == "1" 
    """ 
}

統(tǒng)計符合條件的事件

GET /gmall/_eql/search 
{ 
    "query" : """ 
        any where true 
    """,
    "filter": { 
        "range": { 
            "@timestamp": { 
                "gte": "1654056000000",
                "lt": "1654056005000" 
            } 
        } 
    }
}

事件序列

  • 頁面先訪問 login,后面又訪問了 good_detail的頁面
GET /gmall/_eql/search 
{ 
    "query" : """ 
      sequence by page.session_id 
        [page where page.page_id=="login"] 
        [page where page.page_id=="good_detail"] 
    """ 
}

安全檢測

EQLElastic Securit 中被廣泛使用。實際應(yīng)用時,我們可以使用 EQL 語言來進行檢測安全威脅和其他可疑行為。

數(shù)據(jù)準備

regsvr32.exe 是一個內(nèi)置的命令行實用程序,用于在Windows中注冊.dll庫。作為本機工具,regsvr32.exe 具有受信任的狀態(tài),從而使它可以繞過大多數(shù)允許列表軟件和腳本阻止 程序。有權(quán)訪問用戶命令行的攻擊者可以使用 regsvr32.exe 通過.dll庫運行惡意腳本,即使在其他情況下也不允許這些腳本運行。

regsvr32 濫用的一種常見變體是Squfullydoo攻擊。在 Squfullydoo 攻擊中,regsvr32.exe 命令使用 scrobj.dll 庫注冊并運行遠程腳本。

測試數(shù)據(jù)來自 Atomic Red Team 的測試數(shù)據(jù)集,其中包括模仿Squibledoo攻擊的事件。 數(shù)據(jù)已映射到Elastic通用架構(gòu)(ECS)字段:normalized-T1117-AtomicRed-regsvr32.json 將文件內(nèi)容導(dǎo)入到ES軟件中:

# 創(chuàng)建索引 
PUT my-eql-index 
# 導(dǎo)入數(shù)據(jù) 
POST my-eql-index/_bulk?pretty&refresh
{"index":{}}
{
    ......
}
  • 查看數(shù)據(jù)導(dǎo)入情況
GET /_cat/indices/my-eql-index?v=true&h=health,status,index,docs.count

獲取regsvr32事件的計數(shù)

  • 獲取與regsvr32.exe進程關(guān)聯(lián)的事件數(shù)
# 查詢數(shù)據(jù) 
# ?filter_path=-hits.events 從響應(yīng)中排除hits.events 屬性。此搜索僅用于獲取事件計數(shù),而不是匹配事件的列表 
# query : 匹配任何進程名稱為regsvr32.exe的事件 
# size : 最多返回200個匹配事件的匹配,實際查詢結(jié)果為143個 
GET my-eql-index/_eql/search?filter_path=-hits.events 
{ 
    "query": """ 
      any where process.name == "regsvr32.exe"              
    """, 
    "size": 200                                             
}

檢查命令行參數(shù)

該查詢將一個事件與創(chuàng)建的event.type相匹配,指示regsvr32.exe進程的開始。根據(jù)事件的 process.command_line值,regsvr32.exe 使用 scrobj.dll 注冊了腳本 RegSvr32.sct.這符合Squibledoo攻擊的行為

# 增加過濾條件查詢數(shù)據(jù) 
GET my-eql-index/_eql/search 
{ 
    "query": """ 
       process where process.name == "regsvr32.exe" and process.command_line.keyword != null              
    """  
}

檢查惡意腳本加載

  • 檢查regsvr32.exe以后是否加載scrobj.dll
# 增加過濾條件查詢數(shù)據(jù) 
GET my-eql-index/_eql/search 
{ 
    "query": """ 
        library where process.name == "regsvr32.exe" and dll.name == "scrobj.dll"
    """                                           
}

檢查攻擊成功可能性

在許多情況下,攻擊者使用惡意腳本連接到遠程服務(wù)器或下載其他文件。 使用EQL序列查詢來檢查以下一系列事件:

  • regsvr32.exe進程
  • 通過相同的進程加載scrobj.dll
  • 同一過程中的任何網(wǎng)絡(luò)事件
# 增加過濾條件查詢數(shù)據(jù) 
GET my-eql-index/_eql/search 
{ 
    "query": """ 
        sequence by process.pid 
            [process where process.name == "regsvr32.exe"] 
            [library where dll.name == "scrobj.dll"] 
            [network where true]              
    """                                       
}

以上就是ElasticSearch事件查詢語言EQL操作的詳細內(nèi)容,更多關(guān)于ElasticSearch EQL操作的資料請關(guān)注腳本之家其它相關(guān)文章!

相關(guān)文章

最新評論