首页 > 其他分享 >asd

asd

时间:2023-08-26 23:44:48浏览次数:28  
标签:透過 介面 destination 解決 EQL asd where

Endgame 簡介

Endgame 本來就是一家提供端點安全服務解決方案的產品,搭配分析 Elastic Stack SIEM 中統一格式的 ECS (Elastic Common Schema) 把原來 Elastic Stack 的功能可以說是完全提升了一個層次,強化了端點安全的預防、偵測、回應 (EPP + EDR) 功能,此外也開發了一些厲害的功能,這次實際上用起來覺得蠻神奇的。

提供 EQL(Event Query Language) 支援: 事件版本的 SQL 的語言
    能夠更方便的找出有相依性的相關資訊
Artemis: 可以看成是資安版本的 Siri 或是 Google assistant
    透過直觀自然的指令像是 Find the process wmic.exe 就可以找到相關資料
    透過 Chatbot + 人工智慧解決傳統搜尋介面較比較不友善的問題

透過 Chatbot + 人工智慧解決傳統搜尋介面較比較不友善的問題


EQL

EQL 可以執行簡單的條件判斷和範圍指定

process where sha256=="551d62be381a429bb594c263fc01e8cc9f80bda97ac3787244ef16e3b0c05589"
any where timestamp_utc >= "2018-04-01 12:00:0Z" and timestamp_utc <= "2018-04-01 12:05:0Z"

也可以將條件組合成複雜的指令

network where
event_subtype_full == "ipv4_connection_attempt_event" and
process_name == "svchost.exe" and
destination_port == 1337 and
(destination_address == "192.168.*" or destination_address == "172.16.*")
| unique destination_address destination_port

使用 Endgame

透過介面建立並下載 Senser Profile


透過下面的指令,使用剛才建立並下載的 Profile 配置我們的 Sensor:

SensorWindowsInstaller-<profile_name>.exe -c SensorWindowsInstaller-<profile_name>..cfg -k <api_key> -d false -l install.log
    <profile_name>: 就是剛才建立的名稱
    <api_key> 在建立後產生的 API key

透過剛剛下載的 Profile 配置並啟動 Senser 後會出現在列表

打開偽裝的 IE,會發現開啟 CMD 後跑了很多指令

從 Alert 中查看影響路徑與範圍

這時候就要設定遇到 Malware 的反應機制,設定阻擋並跳通知

從新的 Alert 可以發現影響路徑與範圍變小

标签:透過,介面,destination,解決,EQL,asd,where
From: https://www.cnblogs.com/J0ck3r/p/17659704.html

相关文章

  • ASD
    packagecom.cicc.irp.riskmgmt.service.impl;importcn.hutool.core.collection.CollUtil;importjava.util.ArrayList;importjava.util.Arrays;importjava.util.HashMap;importjava.util.List;importjava.util.Map;importjava.util.Stack;publicclassExpress......
  • 台达伺服电机(Delta ASDA - B3 - E)报错解决方式
    一硬件设备三台台达伺服驱动器(DeltaASDA-B3-E)树莓派4B伺服电机型号(ECM-B3M-CA0604RS1),输入2.4A110V,输出0.4KW1.27N.M3000r/min 二DeltaASDA-B3-E常见报错解决方式1恢复出厂设置(绝大部分报错都可以用以下方式处理)  P2.008修改数值为10断电重启2AL......
  • WinUI(WASDK)使用MediaPipe检查人体姿态关键点
    前言之前有用这个MediaPipe.NET.NET包装库搞了手势识别,丰富了稚晖君的ElectronBot机器人的第三方上位机软件的功能,MediaPipe作为谷歌开源的机器视觉库,功能很丰富了,于是就开始整活了,来体验了一把人体姿态关键点检测。所用框架介绍1.WASDK这个框架是微软最新的应用开发框架,我......
  • 昆仑通态MCGS与台达伺服ASD-B2 通讯控制案例功能:通过昆仑通态MCGS触摸屏实现与台达AS
    昆仑通态MCGS与台达伺服ASD-B2 通讯控制案例功能:通过昆仑通态MCGS触摸屏实现与台达ASDB2通讯控制,全通讯控制台达B2驱动器速度设置,速度选择,速度启动,带扭矩限制速度控制,扭矩限制通讯设置。配件:昆仑通态MCGS触摸屏,台达ASDB2伺服驱动器+伺服电机。CN1接线端子,CN3伺服驱动器通讯......
  • 航空航天结构动力学国际研讨会(ICASD 2023)
    航空航天结构动力学国际研讨会(ICASD2023) 将于2023年9月15-17日在中国西安举行,首届航空航天结构动力学国际研讨会将由西北工业大学主办。为了更好地适应新经济的黄金时代,大力发展高新技术航天并推广应用是十分必要的, ISSDA2023 会议旨在为航空航天先进结构动力学相关领域的学......
  • asd
    #include<iostream>#include<string>#include<Windows.h>#include"minecraft.h"usingnamespacestd;TxMinecraftmc;intmain(intargc,char**argv){boolcon=mc.ConnectMinecraft("zk.makeblock.net.cn",&q......
  • 昆仑通态MCGS与台达伺服ASD-B2 通讯控制案例功能:通过昆仑通态MCGS触摸屏实现与台达AS
    昆仑通态MCGS与台达伺服ASD-B2通讯控制案例功能:通过昆仑通态MCGS触摸屏实现与台达ASDB2通讯控制,全通讯控制台达B2驱动器速度设置,速度选择,速度启动,带扭矩限制速度控制,扭矩限制通讯设置。配件:昆仑通态MCGS触摸屏,台达ASDB2伺服驱动器+伺服电机。CN1接线端子,CN3伺服驱动器通讯接......
  • 关于报错:Error adding module to project: setSdk: sdk '1.8' type 'JavaSDK' is not
    问题描述:Erroraddingmoduletoproject:setSdk:sdk'1.8'type'JavaSDK'isnotregisteredinProjectJdkTable(图片来自贴吧,看到有一个人问这个问题,然后自己碰到了但是忘了截图)说明当前项目在“ProjectJdkTable”里面是没有配置sdk1.8的。百度翻译过来就是:未在Project......
  • 昆仑通态MCGS与台达伺服ASD-B2 通讯控制案例
    昆仑通态MCGS与台达伺服ASD-B2 通讯控制案例功能:通过昆仑通态MCGS触摸屏实现与台达ASDB2通讯控制,全通讯控制台达B2驱动器速度设置,速度选择,速度启动,带扭矩限制速度控制,扭矩限制通讯设置。配件:昆仑通态MCGS触摸屏,台达ASDB2伺服驱动器+伺服电机。CN1接线端子,CN3伺服驱动器通讯......
  • ' asdf-vm ' 多版本管理器 Linux Mint安装
    前言asdf是一个工具版本管理器。所有的工具版本定义都包含在一个文件(.tool-versions)中,你可以将配置文件放在项目的Git存储库中以便于和团队其他成员共享,从而确保每个人......

赞助商

阅读排行

网站主页关于我们联系我们网站地图

本网站内容转载自其他媒体,侵权联系[admin##ips99.com]。

Copyright © 2020-2023 IPS99 版权所有 IPS99