分析中心常见的协议字段以及语法

布尔运算符

分析中心常见的协议字段以及语法_第1张图片

 基本语法分析中心常见的协议字段以及语法_第2张图片

 图中以及描述得很详细了。

日志检索高级查询语法

通配符查询:在一项内的单个字符用?去查,多个字符用*去查询,例如想查mysql和mssql就可以使用db_type:m?sql 去查询,而要查sql结尾就用 *sql  去查询,

范围查询:运用到方括号和to,例如查询192.168.0.0到192.168.255.255之间的所以ip就可以用

["192.168.0.0"]to["192.168.255.255"]   这个语句来查询,

例如下用这个+,需要写为/+,才能匹配到这个+。

分析中心常见的协议字段以及语法_第3张图片 #威胁高级检索字段分析中心常见的协议字段以及语法_第4张图片

is-web0attack,用于判断是web报警还是外联报警,就是它是命中ioc的还是命中规则的。

#网络协议的字段分析中心常见的协议字段以及语法_第5张图片

 网络五元组:源IP地址,源端口,目的IP地址,目的端口和传输层协议

时间戳,是在入库的时间,就是日志采集器生成的时间。

#tcp协议和udp协议

分析中心常见的协议字段以及语法_第6张图片

三次握手,四次挥手分析中心常见的协议字段以及语法_第7张图片 

 必须是三次握手完整的皮卡包才能还原流量。

#udp分析中心常见的协议字段以及语法_第8张图片

#tcp&udp协议字段

分析中心常见的协议字段以及语法_第9张图片 比如想检索上下前一百字节,就用下面那两个字段去检索。

tcp不是全包,只有上下行的部分详细,如果数据包特步大就检索不到了。

##http协议分析中心常见的协议字段以及语法_第10张图片

 

重点,get,post,put,delete也有但比较少

#http协议字段分析中心常见的协议字段以及语法_第11张图片 在分析中心进行检索的时候,用到这些字段

#http状态码分析中心常见的协议字段以及语法_第12张图片

 #http-xff头部分析中心常见的协议字段以及语法_第13张图片

#http-referer分析中心常见的协议字段以及语法_第14张图片 ##dns

#dns-域名分析中心常见的协议字段以及语法_第15张图片

#dns-递归查询分析中心常见的协议字段以及语法_第16张图片 

我们请求域名的时候先通过本地域名查询,没有之后再去根域名查询,没有之后再去顶级域名查询,没有之后再去权限域名查询服务,有的话就返回。 

 #dns-递代查询分析中心常见的协议字段以及语法_第17张图片

 请求域名先去本地域名服务器查询,没有之后再去根域名,根域名没有就返回个结果,再去顶级域名查询,没有返回一个结果一个一个去查询。

通常,主机服务器都是向本地服务器查询,一般都采用递归。 向根域名查询一般都是递代查询,通过dns服务器拿到对方服务器ip地址才能建立会话。

#dns-字段分析中心常见的协议字段以及语法_第18张图片

 ##ssl协议

#ssl-字段分析中心常见的协议字段以及语法_第19张图片

 ##文件传输协议字段分析中心常见的协议字段以及语法_第20张图片

 ##登陆协议字段

分析中心常见的协议字段以及语法_第21张图片

 ##邮件查询字段分析中心常见的协议字段以及语法_第22张图片

假如有一个钓鱼文件,让你升级系统,可以用附件名称去检索。

在别的设备上发现了恶意md5指,就可以去天眼上检索一下看看从哪里进来的

在邮件正文里面的内容也可检索 

##数据库查询字段分析中心常见的协议字段以及语法_第23张图片

 

你可能感兴趣的:(安全)