Beispiel: Aurora Focus-EQL-Abfragen
DNS-Lookup-Abfrage für eine angegebene URL:
CODE
network where dns.questions.question_name == "<URL>"
Abfrage eines angegebenen WMI-Namespace:
CODE
application where event.subcategory == "wmi" and wmi_trace.namespace == "<namespace>"
Abfrage von Dateien mit einem der angegebenen SHA256-Werte:
CODE
file where file.sha256 in ("<value>", "<value>", "<value>")
Abfrage von Prozessen mit dem angegebenen Prozessnamen:
CODE
process where process.name == "<name>"
Abfrage von Prozessen, bei denen die Befehlszeile eine bestimmte Zeichenfolge enthält:
CODE
process where process.command_line like "<string>"
Abfrage von Informationen zu Netzwerkverbindungen zu einer angegebenen IP-Adresse und einem angegebenen Port:
CODE
network where network.destination.ip_address == "<IP>" and network.destination.port == "<port>"