Basic Reconnaissance with Native Windows Tools
Detects execution of common Windows reconnaissance commands such as whoami, ipconfig, net user, and systeminfo, frequently used in the initial phase of a Living Off the Land (LOTL) attack
EDRlotlreconnaissancewindowsbeginnerT1082T1016
FDR Beginnerby CQL Hub 1 min read
Query
#repo="base_sensor" #event_simpleName=ProcessRollup2
| event_platform=Win
| FileName=/(?i)(whoami\.exe|ipconfig\.exe|systeminfo\.exe|net\.exe|hostname\.exe)/
| groupBy([ComputerName, UserName, FileName], function=count())
| sort(_count, order=desc, limit=50)Explanation
| Pipe | Descripción | ||
|---|---|---|---|
#repo="base_sensor" #event_simpleName=ProcessRollup2 | Filtra eventos de creación de procesos del repositorio FDR de sensores | ||
event_platform=Win | Limita la búsqueda a endpoints Windows | ||
| `FileName=/(?i)(whoami\.exe\ | ipconfig\.exe\ | ...)/` | Busca herramientas nativas de reconocimiento del sistema operativo |
groupBy([ComputerName, UserName, FileName], ...) | Agrupa resultados por host, usuario y herramienta ejecutada con conteo | ||
sort(_count, order=desc, limit=50) | Ordena por frecuencia de ejecución para identificar picos anómalos de reconocimiento |
Adjustable Variables
Agregar más binarios de reconocimiento a la regex (arp.exe, nslookup.exe, tasklist.exe, netstat.exe). Ajustar limit=50 según necesidad. Considerar filtrar cuentas de servicio conocidas para reducir ruido operacional.