Beispiel: Aurora Focus-EQL-Abfragen

DNS-Lookup-Abfrage für eine angegebene URL:

CODE
network where dns.questions.question_name == "<URL>"

Abfrage eines angegebenen WMI-Namespace:

CODE
application where event.subcategory == "wmi" and wmi_trace.namespace == "<namespace>"

Abfrage von Dateien mit einem der angegebenen SHA256-Werte:

CODE
file where file.sha256 in ("<value>", "<value>", "<value>")

Abfrage von Prozessen mit dem angegebenen Prozessnamen:

CODE
process where process.name == "<name>"

Abfrage von Prozessen, bei denen die Befehlszeile eine bestimmte Zeichenfolge enthält:

CODE
process where process.command_line like "<string>"

Abfrage von Informationen zu Netzwerkverbindungen zu einer angegebenen IP-Adresse und einem angegebenen Port:

CODE
network where network.destination.ip_address == "<IP>" and network.destination.port == "<port>"