SentinelOne Deep Visibility 查询项目教程
1. 项目的目录结构及介绍
sentinelone-queries/
├── queries/
│ ├── windows/
│ ├── linux/
│ ├── macos/
│ └── ...
├── .gitignore
├── LICENSE
├── README.md
└── template.yml
目录结构介绍
- queries/: 该目录包含了按操作系统分类的 SentinelOne Deep Visibility 查询文件。每个子目录(如
windows/,linux/,macos/)中包含特定操作系统的查询文件。 - .gitignore: 用于指定 Git 版本控制系统忽略的文件和目录。
- LICENSE: 项目的开源许可证文件,本项目使用的是 LGPL-2.1 许可证。
- README.md: 项目的说明文件,包含项目的基本信息、使用方法和贡献指南。
- template.yml: 查询文件的模板,包含查询的基本结构和字段说明。
2. 项目的启动文件介绍
本项目没有传统的“启动文件”,因为其主要目的是提供 SentinelOne Deep Visibility 的查询文件。查询文件通常是 YAML 格式的配置文件,用于定义查询的逻辑和参数。
查询文件示例
title: 查询示例
description: 这是一个示例查询,用于演示如何编写 SentinelOne Deep Visibility 查询。
author: 作者名称
date: 2023-10-01
tactic: 查询策略
technique: 查询技术
subtechnique: 子技术
operating_system: windows
query: |
# 查询逻辑
SELECT * FROM events WHERE event_type = 'process_creation' AND process_name = 'malicious.exe';
false_positives:
- 可能的误报情况
tags:
- 查询标签
references:
- 参考文献
3. 项目的配置文件介绍
配置文件类型
-
查询文件 (YAML): 位于
queries/目录下,按操作系统分类。每个文件定义了一个或多个查询,包含查询的标题、描述、作者、日期、策略、技术、子技术、操作系统、查询逻辑、可能的误报情况、标签和参考文献。 -
模板文件 (template.yml): 位于项目根目录,提供了一个查询文件的模板,包含所有必要的字段和示例值,方便用户创建新的查询文件。
配置文件示例
模板文件 (template.yml)
title: -required
description: -required
author: -required
date: -optional
modified: -optional
tactic: -optional
technique: -optional
subtechnique: -optional
operating_system: -required
query: -required
false_positives: -optional
tags: -optional
references: -optional
查询文件 (queries/windows/example_query.yml)
title: Windows 进程创建查询
description: 查询 Windows 系统中特定进程的创建事件。
author: 作者名称
date: 2023-10-01
tactic: 进程监控
technique: 进程创建
operating_system: windows
query: |
SELECT * FROM events WHERE event_type = 'process_creation' AND process_name = 'example.exe';
false_positives:
- 可能的误报情况
tags:
- 进程监控
references:
- 参考文献
通过以上内容,您可以了解如何使用和配置 sentinelone-queries 项目中的查询文件。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
