文章分享了复杂之眼EDR的MEQL查询规则，用户可通过MEQL威胁狩猎页面深入分析终端安全状态，了解软件行为及遥测数据，有效识别潜在威胁。

🔍 MEQL是复杂之眼的专有查询语言，通过MEQL威胁狩猎页面，用户可以灵活地调查终端行为，进行深入的威胁分析和调查。文章详细介绍了如何使用MEQL查询终端DNS请求数据，以及如何针对特定软件进程进行数据查询，从而评估终端的安全状态。

📊 文章指出，终端产生的遥测数据量可以作为威胁指数的一个参考。例如，产生大量遥测数据的终端可能存在更多的噪音和威胁。通过MEQL查询，用户可以快速获取终端DNS请求数据，以及脚本代码块执行记录，从而对终端的安全状况有更全面的了解。

💡 文章还提供了具体的MEQL查询规则示例，如查询特定进程（如BarClientView.exe）的DNS请求数据，以及查询特定进程（如sdiagnhost.exe）执行的脚本代码块。这些规则帮助用户精准定位潜在的安全威胁，提高威胁狩猎的效率。

MEQL是复杂之眼的专有的查询语言，分享一些MEQL查询规则，通过复杂之眼EDR提供的MEQL威胁狩猎页面，用户可以快速灵活地调查各种行为的详细信息，从而更深入的进行威胁分析和威胁调查。

个人理解评估一台终端的安全状态要看终端上跑了什么软件和用途，如果一台终端产生大量遥测数据说明这台终端是存在很多噪音的威胁指数明显高于一些比较产生少量遥测数据的终端机器。

比如通过MEQL查询， 全量查询终端DNS请求数据。

SimpleName IN Contains ("DNS 请求",)

可以看到全量查询终端DNS请求数据记录。

DNS请求数据详情。

如何查询一些软件exe进程跑了DNS请求数据，可以通过下面MEQL规则查询BarClientView.exe进程DNS请求数据。

ProcessName IN Contains ("BarClientView.exe",) AND SimpleName Contains "DNS 请求" 

MEQL全量查询终端脚本代码块执行记录。

SimpleName Contains "脚本代码块执行记录"

可以看到全量查询终端脚本代码块执行记录。

可以看到什么时间什么软件跑了什么powershell脚本都出来了。

如何查询一些软件exe进程跑了脚本代码块执行记录，可以通过下面MEQL规则查询sdiagnhost.exe进程脚本代码块。

ProcessName IN Contains ("sdiagnhost.exe",) AND SimpleName Contains "脚本代码块执行记录"

?发表于：中国 广东