QRAdar - AQL在输入选择上没有可行的替代方案

Question

当我尝试使用这个查询时，我会得到一个错误。它在日志活动中的高级搜索选项卡中工作。但是，当我将它写入规则向导AQL过滤器查询区域时，它会提示AQL no viable alternative at input SELECT 警告。我从西格玛翻译公司得到了这个查询。

SELECT UTF8(payload) as search_payload from events where (((LOGSOURCETYPENAME(devicetype) ilike 'Microsoft Windows Security Event Log')) and ((("EventID"='1' and search_payload ilike 'C:\Windows\SysWOW64\cmd.exe' and search_payload ilike '%\Windows\Caches\NavShExt.dll %')) or (("EventID"='1' and search_payload ilike '%\AppData\Roaming\MICROS~1\Windows\Caches\NavShExt.dll,Setting'))))

Answer 1

在基于AQL的QRadar中创建规则时，只需将语句放在WHERE后面

就你而言：

​

(((LOGSOURCETYPENAME(devicetype) ilike 'Microsoft Windows Security Event Log')) and ((("EventID"='1' and search_payload ilike 'C:\Windows\SysWOW64\cmd.exe' and search_payload ilike '%\Windows\Caches\NavShExt.dll %')) or (("EventID"='1' and search_payload ilike '%\AppData\Roaming\MICROS~1\Windows\Caches\NavShExt.dll,Setting'))))

​

然后，它将对日志运行该语句，并触发攻击。