Back to hub

Basic Reconnaissance with Native Windows Tools

Detects execution of common Windows reconnaissance commands such as whoami, ipconfig, net user, and systeminfo, frequently used in the initial phase of a Living Off the Land (LOTL) attack

EDRlotlreconnaissancewindowsbeginnerT1082T1016
FDR Beginnerby CQL Hub 1 min read

Query

#repo="base_sensor" #event_simpleName=ProcessRollup2
| event_platform=Win
| FileName=/(?i)(whoami\.exe|ipconfig\.exe|systeminfo\.exe|net\.exe|hostname\.exe)/
| groupBy([ComputerName, UserName, FileName], function=count())
| sort(_count, order=desc, limit=50)

Explanation

PipeDescripción
#repo="base_sensor" #event_simpleName=ProcessRollup2Filtra eventos de creación de procesos del repositorio FDR de sensores
event_platform=WinLimita la búsqueda a endpoints Windows
`FileName=/(?i)(whoami\.exe\ipconfig\.exe\...)/`Busca herramientas nativas de reconocimiento del sistema operativo
groupBy([ComputerName, UserName, FileName], ...)Agrupa resultados por host, usuario y herramienta ejecutada con conteo
sort(_count, order=desc, limit=50)Ordena por frecuencia de ejecución para identificar picos anómalos de reconocimiento

Adjustable Variables

Agregar más binarios de reconocimiento a la regex (arp.exe, nslookup.exe, tasklist.exe, netstat.exe). Ajustar limit=50 según necesidad. Considerar filtrar cuentas de servicio conocidas para reducir ruido operacional.