Volver al hub

Detect locally disabled RTR

This query identifies hosts with locally disabled RTR.

EDRmonitoring
FDR intermediatepor CrowdStrike (cql-hub.com) 1 min read

Query

#event_simpleName=SensorHeartbeat
| groupBy([aid], function=selectLast([@timestamp, ComputerName, SensorStateBitMap]), limit=max)
| bitfield:extractFlags(
field=SensorStateBitMap,
 output=[
   [2, RTR_Locally_Disabled]
])
| RTR_Locally_Disabled="true"

Explicación

Importado desde cql-hub.com. Agrega explicación de pipes aquí.

Variables a ajustar

Revisa y ajusta los valores según tu entorno.