QRAdar - AQL 在输入时没有可行的替代方案 SELECT
QRAdar - AQL no viable alternative at input SELECT
我在尝试使用此查询时遇到错误。它在日志 activity 的高级搜索选项卡中工作。但是当我写入到规则向导AQL过滤查询区时,提示AQL no viable alternative at input SELECTwarning。我从 Sigma Translater btw 那里得到了这个查询。
SELECT UTF8(payload) as search_payload from events where (((LOGSOURCETYPENAME(devicetype) ilike 'Microsoft Windows Security Event Log')) and ((("EventID"='1' and search_payload ilike 'C:\Windows\SysWOW64\cmd.exe' and search_payload ilike '%\Windows\Caches\NavShExt.dll %')) or (("EventID"='1' and search_payload ilike '%\AppData\Roaming\MICROS~1\Windows\Caches\NavShExt.dll,Setting'))))
在基于 AQL 的 QRadar 中创建规则时,您只需放置 WHERE
之后的语句
你的情况:
(((LOGSOURCETYPENAME(devicetype) ilike 'Microsoft Windows Security Event Log')) and ((("EventID"='1' and search_payload ilike 'C:\Windows\SysWOW64\cmd.exe' and search_payload ilike '%\Windows\Caches\NavShExt.dll %')) or (("EventID"='1' and search_payload ilike '%\AppData\Roaming\MICROS~1\Windows\Caches\NavShExt.dll,Setting'))))
然后它将 运行 该语句针对日志并触发攻击。
我在尝试使用此查询时遇到错误。它在日志 activity 的高级搜索选项卡中工作。但是当我写入到规则向导AQL过滤查询区时,提示AQL no viable alternative at input SELECTwarning。我从 Sigma Translater btw 那里得到了这个查询。
SELECT UTF8(payload) as search_payload from events where (((LOGSOURCETYPENAME(devicetype) ilike 'Microsoft Windows Security Event Log')) and ((("EventID"='1' and search_payload ilike 'C:\Windows\SysWOW64\cmd.exe' and search_payload ilike '%\Windows\Caches\NavShExt.dll %')) or (("EventID"='1' and search_payload ilike '%\AppData\Roaming\MICROS~1\Windows\Caches\NavShExt.dll,Setting'))))
在基于 AQL 的 QRadar 中创建规则时,您只需放置 WHERE
之后的语句你的情况:
(((LOGSOURCETYPENAME(devicetype) ilike 'Microsoft Windows Security Event Log')) and ((("EventID"='1' and search_payload ilike 'C:\Windows\SysWOW64\cmd.exe' and search_payload ilike '%\Windows\Caches\NavShExt.dll %')) or (("EventID"='1' and search_payload ilike '%\AppData\Roaming\MICROS~1\Windows\Caches\NavShExt.dll,Setting'))))
然后它将 运行 该语句针对日志并触发攻击。