Aurora Focus EQL クエリの例

URL を指定して DNS ルックアップをクエリします。

CODE 
network where dns.questions.question_name == "URL"

WMI の名前空間を指定してクエリします。

CODE 
application where event.subcategory == "wmi" and wmi_trace.namespace == "namespace"

指定した SHA256 値のいずれかを使用してファイルをクエリします。

CODE 
file where file.sha256 in ("value", "value", "value")

プロセス名を指定してプロセスをクエリします。

CODE 
process where process.name == "name"

コマンドラインに指定した文字列を含むプロセスをクエリします。

CODE 
process where process.command_line like "string"

IP アドレスとポートを指定して、そこへのネットワーク接続に関する情報をクエリします。

CODE 
network where network.destination.ip_address == "IP" and network.destination.port == "port"