コンテンツにスキップ

一般的なレポートクエリ🔗

以下の詳細検索クエリは、よくリクエストされるレポートの結果を取得します。これらのクエリは、クエリ言語またはビルダーのいずれかを使用して作成できます。

アウトバウンドトラフィックにおけるSSHアクティビティを特定し、特定のIPアドレス(例:10.0.0.121)を除外するNetflowイベント

FROM netflow WHERE destination_port=22 AND direction='OUTBOUND' AND source_address != 10.0.0.121

特定のIPアドレス(例:10.0.0.121)からのアウトバウンドトラフィックにおけるSSHアクティビティを特定するNetflowイベント

FROM netflow WHERE destination_port=22 AND direction='OUTBOUND' AND destination_address = 10.0.0.121

特定のIPアドレス(例:10.0.0.121)に関連するNetflow および Authイベント

FROM netflow, auth @ip='10.0.0.121'

ユーザーがセキュリティ有効なグローバルグループ(例:domain admins)に追加されたWindowsイベント

FROM auth WHERE (target_user_name CONTAINS 'domain admins' AND win_event_id = '4728')

検知タイプに関係なく、特定のユーザーID(例:admin)を含むすべてのイベント

@user CONTAINS 'admin'

複数の検知タイプにまたがる、スケジュールされたタスクの作成を含むすべてのコマンドラインイベント

@command CONTAINS 'SCHTASK /Create'

コマンドラインにスケジュールタスクが含まれるProcessイベント

FROM process WHERE commandline CONTAINS 'schtasks'

'whoami' または 他の特定の値(例:ATOMIC)を含むProcessイベント

FROM process WHERE original_data CONTAINS 'whoami' OR original_data CONTAINS 'ATOMIC'

指定したセンサー(例:Zeek)からのGenericイベント

FROM generic WHERE sensor_type = 'zeek'

過去2時間以内のGenericイベント

FROM generic WHERE original_data CONTAINS 'secureworks' EARLIEST =  -2h

過去7日間の特定データ 'lsass' に関するInspector および Processイベント

FROM inspector_process, process WHERE original_data CONTAINS 'lsass' EARLIEST = -7d

特定データ 'secureworks' および 'windows update' を含まないすべてのDNSクエリエベント

FROM dnsquery WHERE query_name !CONTAINS 'secureworks' AND query_name !CONTAINS 'windowsupdate'

'*.secureworks.com' に一致するDNSクエリエベントをquery_nameでアルファベット順にソート

FROM dnsquery where query_name MATCHES '*.secureworks.com' | sort query_name desc

Red Cloak™ Endpoint Agent および CrowdStrikeからのProcessイベント

FROM process sensor_type IN ('ENDPOINT_REDCLOAK', 'ENDPOINT_CROWD_STRIKE')

source user name または target user nameに特定の値(例:admin)が含まれるAuthイベント

FROM auth WHERE source_user_name CONTAINS 'admin' OR target_user_name CONTAINS 'admin'

source user name および target_user_nameに特定の値(例:admin)が 含まれない Authイベント

FROM auth WHERE source_user_name !CONTAINS 'admin' AND target_user_name !CONTAINS 'admin'

source user name および target_user_nameに特定の値(例:admin)が 含まれない が、win_summaryフィールドに'special'を含む値があるAuthイベント

FROM auth WHERE source_user_name !CONTAINS 'admin' AND target_user_name !CONTAINS 'admin' AND win_summary CONTAINS 'special'