search
LinkedinTryHackme

Endpoint Log Searching / CQL

É a linguagem que você usa para pesquisar logs brutos (raw logs) dos endpoints dentro do Falcon

“SIEM > Advanced Event Search = Raw Logs”

Ou seja:

  • Você está vendo logs crus do endpoint

  • Igual um mini-SIEM dentro do Falcon

Campos MAIS importantes

  • event_simpleName

  • @timestamp

  • CommandLine

  • UserName

  • ComputerName

  • FileName

  • ImageFileName

  • SHA256HashData

  • DomainName

  • LocalIP / RemoteIP

O que você procura

CommandLine

Campo mais importante

Procure:

  • powershell -enc

  • cmd /c

  • downloads:

    • Invoke-WebRequest

    • curl

  • comandos longos/obfuscados

UserName

Procure:

  • Admin executando coisa estranha

  • Conta de serviço rodando script

  • Usuário comum fazendo ação avançada

ImageFileName / FileName

Procure:

  • LOLBins:

    • powershell.exe

    • cmd.exe

    • rundll32.exe

  • Arquivos em:

    • AppData

    • Temp

IP / Domain

Procure:

  • Conexões externas

  • IP desconhecido

  • Domínio recente

Hash (SHA256)

Joga no:

  • VirusTotal

hashtag
Queries úteis

  • Buscar PowerShell suspeito

  • Buscar comandos com base64

  • Buscar execução em Temp

  • Buscar conexões de rede

Base Search

Esse aqui é ESSENCIAL:

Isso transforma log cru em algo legível.

Agrupamento (descobrir padrões)

Serve para:

  • Ver domínio mais acessado

  • Detectar beaconing ou C2

Wildcard search

Busca flexível

Caminhos estranhos

“\Device\HarddiskVolume# → C:\”

Sempre converte mentalmente

Tempo

  • Sempre usar @timestamp

  • Converter para UTC

hashtag
Como usar isso na triagem

Fluxo real:

  1. Você vê um alerta

  2. Vai no CQL

  3. Procura:

    • Mesmo processo

    • Mesmo usuário

    • Mesmo hash

  4. Expande:

    • Outros hosts?

    • Mesmo domínio/IP?

PreviousOSINT Tools to LeverageNextReal Time Response

Last updated