本文介绍了复杂之眼EDR平台的MEQL查询语言，通过分享一些MEQL查询规则，帮助用户快速、灵活地调查终端行为的详细信息，进行更深入的威胁分析和调查。文章以终端DNS请求和脚本代码块执行记录为例，展示了如何使用MEQL查询语言获取终端安全状态的详细信息，例如查询所有终端的DNS请求数据、特定软件进程的DNS请求数据、所有终端的脚本代码块执行记录以及特定软件进程的脚本代码块执行记录等。

🎯 **MEQL查询终端DNS请求数据:** 通过MEQL查询，可以全量查询终端DNS请求数据，例如使用`SimpleName IN Contains ("DNS 请求",)`可以查看所有终端的DNS请求数据记录。还可以根据特定软件进程名称进行查询，例如`ProcessName IN Contains ("BarClientView.exe",) AND SimpleName Contains "DNS 请求"`可以查询BarClientView.exe进程的DNS请求数据。

🎯 **MEQL查询终端脚本代码块执行记录:** MEQL可以帮助用户查询终端脚本代码块执行记录，例如使用`SimpleName Contains "脚本代码块执行记录"`可以查看所有终端的脚本代码块执行记录，并获取执行时间、软件名称、脚本内容等信息。还可以根据特定软件进程名称进行查询，例如`ProcessName IN Contains ("sdiagnhost.exe",) AND SimpleName Contains "脚本代码块执行记录"`可以查询sdiagnhost.exe进程的脚本代码块执行记录。

🎯 **MEQL查询应用场景:** MEQL查询语言可以用于多种场景，例如调查可疑行为、追踪恶意软件活动、分析终端安全状态等。通过MEQL查询，用户可以快速获取所需信息，提高安全分析效率。

2024-07-03 20:13 广东

MEQL是复杂之眼的专有的查询语言，分享一些MEQL查询规则，通过复杂之眼EDR提供的MEQL威胁狩猎页面，用

MEQL是复杂之眼的专有的查询语言，分享一些MEQL查询规则，通过复杂之眼EDR提供的MEQL威胁狩猎页面，用户可以快速灵活地调查各种行为的详细信息，从而更深入的进行威胁分析和威胁调查。

个人理解评估一台终端的安全状态要看终端上跑了什么软件和用途，如果一台终端产生大量遥测数据说明这台终端是存在很多噪音的威胁指数明显高于一些比较产生少量遥测数据的终端机器。

比如通过MEQL查询， 全量查询终端DNS请求数据。

SimpleName IN Contains ("DNS 请求",)

可以看到全量查询终端DNS请求数据记录。

DNS请求数据详情。

如何查询一些软件exe进程跑了DNS请求数据，可以通过下面MEQL规则查询BarClientView.exe进程DNS请求数据。

ProcessName IN Contains ("BarClientView.exe",) AND SimpleName Contains "DNS 请求" 

MEQL全量查询终端脚本代码块执行记录。

SimpleName Contains "脚本代码块执行记录"

可以看到全量查询终端脚本代码块执行记录。

可以看到什么时间什么软件跑了什么powershell脚本都出来了。

如何查询一些软件exe进程跑了脚本代码块执行记录，可以通过下面MEQL规则查询sdiagnhost.exe进程脚本代码块。

ProcessName IN Contains ("sdiagnhost.exe",) AND SimpleName Contains "脚本代码块执行记录"