ElasticSearch事件查询语言EQL操作
更新时间:2022年09月29日 16:39:06 作者:吃猫的鱼_
这篇文章主要为大家介绍了ElasticSearch事件查询语言EQL操作,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪
前述
EQL 的全名是 Event Query Language (EQL)。事件查询语言(EQL)是一种用于基于事件的时间序列数据(例如日志,指标和跟踪)的查询语言。在 Elastic Security 平台上,当输入有效的 EQL 时,查询会在数据节点上编译,执行查询并返回结果。这一切都快速、并行地发生,让用户立即看到结果。
EQL优点
- EQL 使你可以表达事件之间的关系:许多查询语言允许您匹配单个事件。EQL 使你可以匹配不同事件类别和时间跨度的一系列事件
- EQL 的学习曲线很低:EQL 语法看起来像其他常见查询语言,例如 SQL。 EQL 使你可以直观地编写和读取查 询,从而可以进行快速,迭代的搜索。
- EQL 设计用于安全用例:尽管你可以将其用于任何基于事件的数据,但我们创建了 EQL 来进行威胁搜寻。 EQL 不仅支持危害指标(IOC)搜索,而且可以描述超出 IOC 范围的活动
基础语法
数据准备
要运行 EQL 搜索,搜索到的数据流或索引必须包含时间戳和事件类别字段。默认情况下,EQL 使用 Elastic 通用模式(ECS)中的 @timestamp 和 event.category 字段。 @timestamp 表示时间戳,event.category 表示事件分类。
# 创建索引
PUT /gmall
# 批量增加数据
PUT _bulk
{"index":{"_index":"gmall"}}
{
"@timestamp":"2022-08-10T15:00:00.00+08:00",
"event":{
"category":"page"
},
"page":{
"session_id":"42FC7E13-CB3E-5C05-0000-0010A0125101",
"last_page_id":"",
"page_id":"login",
"user_id":""
}
}
{"index":{"_index":"gmall"}}
{
"@timestamp":"2022-08-10T15:02:00.00+08:00",
"event":{
"category":"page"
},
"page":{
"session_id":"42FC7E13-CB3E-5C05-0000-0010A0125101",
"last_page_id":"login",
"page_id":"good_list",
"user_id":"1"
}
}
{"index":{"_index":"gmall"}}
{
"@timestamp":"2022-08-10T15:05:00.00+08:00",
"event":{
"category":"page"
},
"page":{
"session_id":"42FC7E13-CB3E-5C05-0000-0010A0125101",
"last_page_id":"good_list",
"page_id":"good_detail",
"user_id":"1"
}
}
{"index":{"_index":"gmall"}}
{
"@timestamp":"2022-08-10T15:07:00.00+08:00",
"event":{
"category":"page"
},
"page":{
"session_id":"42FC7E13-CB3E-5C05-0000-0010A0125101",
"last_page_id":"good_detail",
"page_id":"order",
"user_id":"1"
}
}
{"index":{"_index":"gmall"}}
{
"@timestamp":"2022-08-10T15:08:00.00+08:00",
"event":{
"category":"page"
},
"page":{
"session_id":"42FC7E13-CB3E-5C05-0000-0010A0125101",
"last_page_id":"order",
"page_id":"payment",
"user_id":"1"
}
}
{"index":{"_index":"gmall"}}
{
"@timestamp":"2022-08-10T15:08:00.00+08:00",
"event":{
"category":"page"
},
"page":{
"session_id":"42FC7E13-CB3E-5C05-0000-0010A0125102",
"last_page_id":"",
"page_id":"login",
"user_id":"2"
}
}
{"index":{"_index":"gmall"}}
{
"@timestamp":"2022-08-10T15:08:00.00+08:00",
"event":{
"category":"page"
},
"page":{
"session_id":"42FC7E13-CB3E-5C05-0000-0010A0125102",
"last_page_id":"login",
"page_id":"payment",
"user_id":"2"
}
}
数据窗口搜索
在事件响应过程中,有很多时候,了解特定时间发生的所有事件是很有用的。使用一种名为any的特殊事件类型,针对所有事件进行匹配,如果想要匹配特定事件,就需要指明事件分类名称
#
GET /gmall/_eql/search
{
"query" : """
any where page.user_id == "1"
"""
}
统计符合条件的事件
GET /gmall/_eql/search
{
"query" : """
any where true
""",
"filter": {
"range": {
"@timestamp": {
"gte": "1654056000000",
"lt": "1654056005000"
}
}
}
}
事件序列
- 页面先访问 login,后面又访问了 good_detail的页面
GET /gmall/_eql/search
{
"query" : """
sequence by page.session_id
[page where page.page_id=="login"]
[page where page.page_id=="good_detail"]
"""
}
安全检测
EQL在 Elastic Securit 中被广泛使用。实际应用时,我们可以使用 EQL 语言来进行检测安全威胁和其他可疑行为。
数据准备
regsvr32.exe 是一个内置的命令行实用程序,用于在Windows中注册.dll库。作为本机工具,regsvr32.exe 具有受信任的状态,从而使它可以绕过大多数允许列表软件和脚本阻止 程序。有权访问用户命令行的攻击者可以使用 regsvr32.exe 通过.dll库运行恶意脚本,即使在其他情况下也不允许这些脚本运行。
regsvr32 滥用的一种常见变体是Squfullydoo攻击。在 Squfullydoo 攻击中,regsvr32.exe 命令使用 scrobj.dll 库注册并运行远程脚本。
测试数据来自 Atomic Red Team 的测试数据集,其中包括模仿Squibledoo攻击的事件。 数据已映射到Elastic通用架构(ECS)字段:normalized-T1117-AtomicRed-regsvr32.json 将文件内容导入到ES软件中:
# 创建索引
PUT my-eql-index
# 导入数据
POST my-eql-index/_bulk?pretty&refresh
{"index":{}}
{
......
}
- 查看数据导入情况
GET /_cat/indices/my-eql-index?v=true&h=health,status,index,docs.count
获取regsvr32事件的计数
- 获取与
regsvr32.exe进程关联的事件数
# 查询数据
# ?filter_path=-hits.events 从响应中排除hits.events 属性。此搜索仅用于获取事件计数,而不是匹配事件的列表
# query : 匹配任何进程名称为regsvr32.exe的事件
# size : 最多返回200个匹配事件的匹配,实际查询结果为143个
GET my-eql-index/_eql/search?filter_path=-hits.events
{
"query": """
any where process.name == "regsvr32.exe"
""",
"size": 200
}
检查命令行参数
该查询将一个事件与创建的event.type相匹配,指示regsvr32.exe进程的开始。根据事件的 process.command_line值,regsvr32.exe 使用 scrobj.dll 注册了脚本 RegSvr32.sct.这符合Squibledoo攻击的行为
# 增加过滤条件查询数据
GET my-eql-index/_eql/search
{
"query": """
process where process.name == "regsvr32.exe" and process.command_line.keyword != null
"""
}
检查恶意脚本加载
- 检查
regsvr32.exe以后是否加载scrobj.dll库
# 增加过滤条件查询数据
GET my-eql-index/_eql/search
{
"query": """
library where process.name == "regsvr32.exe" and dll.name == "scrobj.dll"
"""
}
检查攻击成功可能性
在许多情况下,攻击者使用恶意脚本连接到远程服务器或下载其他文件。 使用EQL序列查询来检查以下一系列事件:
regsvr32.exe进程- 通过相同的进程加载
scrobj.dll库 - 同一过程中的任何网络事件
# 增加过滤条件查询数据
GET my-eql-index/_eql/search
{
"query": """
sequence by process.pid
[process where process.name == "regsvr32.exe"]
[library where dll.name == "scrobj.dll"]
[network where true]
"""
}以上就是ElasticSearch事件查询语言EQL操作的详细内容,更多关于ElasticSearch EQL操作的资料请关注脚本之家其它相关文章!
相关文章
生产服务器突然无法访问自己本机IP地址的端口,通过localhost或者127.0.0.1都可以正常访问,本文给大家分享生产服务器突然本机无法访问本机IP的端口的问题及解决方法,感兴趣的朋友一起看看吧2023-11-11
这篇文章主要介绍了部署VSCODE SERVER的详细过程,本文指导利用微软官方的vscode server部署个人开发环境,并通过网页端或vscode 客户端访问该环境,需要的朋友可以参考下2023-04-04
这篇文章主要介绍了从windows转到Mac下,如何安装phpredis扩展,首先大家要先下载phpredis扩展,然后用命令进入文件夹,有需要的朋友可以来参考下。2015-07-07
本文详细讲解了Make命令基础用法,文中通过示例代码介绍的非常详细。对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下2022-01-01
这篇文章主要介绍了windows系统搭建zookeeper服务器的教程,本文图文并茂给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下2019-10-10
Ansible是基于Python开发的,采用YAML语言编写自动化脚本playbook, 可以在Linux、Unix等系统上运行, 本文主要介绍了如何利用Ansible实现批量服务器自动化管理,需要的可以参考下2024-01-01
做网站选择独立IP还是共享IP?相信很多站长都在此纠结过,自己不使用服务器的时候从来没有关心过独立IP和共享IP的究竟有什么具体的差别。但当自己真正用到的时候,才发现:同样都是IP,差别不是一般的大,独立IP的强悍,不用的人是没有办法体会的2015-12-12![imail8.22安装激活实例[图文]](//img.jbzj.com/images/xgimg/bcimg7.png)
今天制作此实例的目的是因为前几天我提供了IMAIL8.22中文模板和算号器,这几天问我怎么注册的人还挺多,一句话又讲不清,不讲吧,又觉得对不起朋友们,所以花了点时间,做了此实例,方便朋友们使用,高手就不用看了2011-09-09
这篇文章主要介绍了Ubuntu搭建DNS服务器,本例是在ubuntu18.04上进行的,其他版本的ubuntu同样类似,重点讲解了/etc/bind/named.conf.options配置文件,需要的朋友可以参考下2022-09-09
这篇文章主要介绍了银河麒麟V10服务器版安装达梦DM8数据库的详细过程,本文通过图文并茂的形式给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下2024-03-03
![imail8.22安装激活实例[图文]](http://img.jbzj.com/images/xgimg/bcimg7.png)
最新评论