- Elastic 集成
- 集成快速参考
- 1Password
- Abnormal Security
- ActiveMQ
- Active Directory 实体分析
- Airflow
- Akamai
- Apache
- API(自定义)
- Arbor Peakflow SP 日志
- Arista NG 防火墙
- Atlassian
- Auditd
- Auth0
- authentik
- AWS
- Amazon CloudFront
- Amazon DynamoDB
- Amazon EBS
- Amazon EC2
- Amazon ECS
- Amazon EMR
- AWS API 网关
- Amazon GuardDuty
- AWS Health
- Amazon Kinesis Data Firehose
- Amazon Kinesis Data Stream
- Amazon Managed Streaming for Apache Kafka (MSK)
- Amazon NAT 网关
- Amazon RDS
- Amazon Redshift
- Amazon S3
- Amazon S3 Storage Lens
- Amazon Security Lake
- Amazon SNS
- Amazon SQS
- Amazon VPC
- Amazon VPN
- AWS Bedrock
- AWS 账单
- AWS CloudTrail
- AWS CloudWatch
- AWS ELB
- AWS Fargate
- AWS Inspector
- AWS Lambda
- AWS 日志(自定义)
- AWS 网络防火墙
- AWS Route 53
- AWS Security Hub
- AWS Transit Gateway
- AWS 使用情况
- AWS WAF
- Azure
- Barracuda
- BitDefender
- Bitwarden
- blacklens.io
- Blue Coat Director 日志
- BBOT (Bighuge BLS OSINT 工具)
- Box 事件
- Bravura Monitor
- Broadcom ProxySG
- Canva
- Cassandra
- CEL 自定义 API
- Ceph
- Check Point
- Cilium Tetragon
- CISA 已知被利用的漏洞
- Cisco
- Cisco Meraki 指标
- Citrix
- Claroty CTD
- Cloudflare
- 云资产清单
- CockroachDB 指标
- 通用事件格式 (CEF)
- Containerd
- CoreDNS
- Corelight
- Couchbase
- CouchDB
- Cribl
- CrowdStrike
- Cyberark
- Cybereason
- CylanceProtect 日志
- 自定义 Websocket 日志
- Darktrace
- 数据泄露检测
- DGA
- Digital Guardian
- Docker
- Elastic APM
- Elastic Fleet Server
- Elastic Security
- Elastic Stack 监控
- ESET PROTECT
- ESET 威胁情报
- etcd
- Falco
- F5
- 文件完整性监控
- FireEye 网络安全
- First EPSS
- Forcepoint Web Security
- ForgeRock
- Fortinet
- Gigamon
- GitHub
- GitLab
- Golang
- Google Cloud
- GoFlow2 日志
- Hadoop
- HAProxy
- Hashicorp Vault
- HTTP 端点日志(自定义)
- IBM MQ
- IIS
- Imperva
- InfluxDb
- Infoblox
- Iptables
- Istio
- Jamf Compliance Reporter
- Jamf Pro
- Jamf Protect
- Jolokia 输入
- Journald 日志(自定义)
- JumpCloud
- Kafka
- Keycloak
- Kubernetes
- LastPass
- 横向移动检测
- Linux 指标
- 利用现有工具进行攻击检测
- 日志(自定义)
- Lumos
- Lyve Cloud
- Mattermost
- Memcached
- Menlo Security
- Microsoft
- Mimecast
- ModSecurity 审核
- MongoDB
- MongoDB Atlas
- MySQL
- Nagios XI
- NATS
- NetFlow 记录
- Netskope
- 网络信标识别
- 网络数据包捕获
- Nginx
- Okta
- Oracle
- OpenCanary
- Osquery
- Palo Alto
- pfSense
- PHP-FPM
- PingOne
- Pleasant Password Server
- PostgreSQL
- Prometheus
- Proofpoint TAP
- Proofpoint On Demand
- Pulse Connect Secure
- Qualys VMDR
- QNAP NAS
- RabbitMQ 日志
- Radware DefensePro 日志
- Rapid7
- Redis
- Salesforce
- SentinelOne
- ServiceNow
- Slack 日志
- Snort
- Snyk
- SonicWall 防火墙
- Sophos
- Spring Boot
- SpyCloud Enterprise Protection
- SQL 输入
- Squid 日志
- SRX
- STAN
- Statsd 输入
- Sublime Security
- Suricata
- StormShield SNS
- Symantec
- Symantec Endpoint Security
- Linux 版 Sysmon
- Sysdig
- 系统
- 系统审核
- Tanium
- TCP 日志(自定义)
- Teleport
- Tenable
- 威胁情报
- ThreatConnect
- 威胁地图
- Thycotic Secret Server
- Tines
- Traefik
- Trellix
- Trend Micro
- TYCHON 无代理
- UDP 日志(自定义)
- 通用分析
- Vectra Detect
- VMware
- WatchGuard Firebox
- WebSphere 应用程序服务器
- Windows
- Wiz
- Zeek
- ZeroFox
- Zero Networks
- ZooKeeper 指标
- Zoom
- Zscaler
网络信标识别
编辑网络信标识别
编辑网络信标识别包包含一个框架,用于识别您环境中的信标活动。该框架为威胁猎手和分析师提供了重要的入侵指标 (IoC),作为调查的起点,并帮助他们监控网络流量中的信标活动。此软件包根据 Elastic License 2.0 获得许可。
有关更多详细信息,请参阅以下博客
安装
编辑- 添加集成包:通过 管理 > 集成 > 网络信标识别 安装该软件包。配置集成名称和代理策略。单击“保存并继续”。
-
检查转换的运行状况:计划每小时运行一次转换。此转换创建索引
ml_beaconing-<VERSION>。要检查转换的运行状况,请转到“管理” > “堆栈管理” > “数据” >logs-beaconing.pivot_transform-default-<VERSION>下的“转换”。 -
仪表板的数据视图配置:为了使仪表板按预期工作,需要在 Kibana 中配置以下设置
- 确保已安装并运行透视转换。
-
转到 管理 > 堆栈管理 > Kibana > 数据视图。单击 创建数据视图,并使用以下设置
- 名称:
ml_beaconing - 索引模式:
ml_beaconing.all - 选择 显示高级设置 并启用 允许隐藏和系统索引
- 自定义数据视图 ID:
ml_beaconing
- 名称:
在“安全”>“规则”中,使用“使用案例:C2 信标检测”标记进行筛选
转换
编辑要检查已安装的资产,您可以导航到 堆栈管理 > 数据 > 转换。
| 转换名称 | 用途 | 源索引 | 目标索引 | 别名 |
|---|---|---|---|---|
beaconing.pivot_transform |
标记您环境中的信标活动 |
logs-* |
ml_beaconing-[版本] |
ml_beaconing.all |
在查询目标索引以了解有关信标活动的信息时,我们建议使用目标索引的别名 (ml_beaconing.all)。如果底层软件包升级,别名将有助于维护先前的发现。
如果要修改任何软件包组件,可以按照 这些步骤手动安装软件包。
仪表板
编辑网络信标识别有三个仪表板
- 网络信标:用于监控信标活动的主仪表板
- 信标向下钻取:向下钻取相关的事件日志以及与信标活动相关的一些统计信息
- 按进程名称随时间推移受到影响的主机:监控信标进程在您环境中的主机上的传播
功能详细信息
编辑此功能使用 转换按主机和进程名称对网络数据进行分类,然后在主机-进程名称对上运行脚本度量聚合。对于给定的时间窗口,脚本度量聚合检查每对的以下内容
- 以规则间隔重复的信号,并考虑这些间隔中的微小变化。
- 从源到目标发送的字节的低变化。
- 从目标到源发送的字节的低变化。
每小时运行一次的转换还会筛选掉常见的已知应用程序和 IP,以减少误报。转换输出有关检测、进程和主机指标的信息,例如
上面突出显示的值是信标行为的典型值,可以帮助您进行调查。
例外列表自定义
编辑您可以在两个位置自定义此检测的例外列表中的进程。第一个位置是在转换中:这些转换包含常见的进程,因此将某些进程保留在此处有利于转换的性能和数据处理。您可以在下一节中阅读有关如何自定义转换的更多信息。
我们还在规则中提供默认的例外列表,您可以在 UI 中检查和自定义。可以在此处查看源。
进一步自定义
编辑高级用户还可以调整脚本度量聚合的参数,例如抖动百分比或时间窗口。导航到 Elastic 集群上的“转换”并找到此软件包安装的转换(搜索 beaconing)。您可以通过单击 .json 选项卡来浏览该处的转换源;也可以在此处查看最新版本的源代码。
要覆盖默认参数:停止软件包安装的转换,克隆转换,更改克隆的转换的参数,然后启动克隆的转换。可配置的参数是
-
number_buckets_in_range:时间窗口分割成的时段存储桶数。使用更多存储桶可以提高各种统计信息的估计值,但也增加了资源使用量。 -
time_bucket_length:每个时间存储桶的长度。更高的值表示更长的时间窗口。将此值设置为更高的值可以检查极低频率的信标。 -
number_destination_ips:要在结果中收集的目标 IP 数。将此值设置为更高的值会增加资源使用量。 -
max_beaconing_bytes_cov:低源和目标字节方差测试中有效负载字节的最大变异系数。较高的值会增加将流量标记为信标的可能性,从而提高 召回率,同时降低 精确率。 -
max_beaconing_count_rv:高频率信标测试中存储桶计数的最大相对方差。与max_beaconing_bytes_cov一样,调整此参数需要在召回率和精确率之间进行权衡。 -
truncate_at:在计算max_beaconing_bytes_cov和max_beaconing_count_rv时丢弃的存储桶值的下限和上限。这允许您忽略流量模式中的偶尔变化。但是,如果您保留的数据分数太小,这些测试将不可靠。 -
min_beaconing_count_autocovariance:低频率信标测试中信号的最小自相关。降低此值通常会增加恶意命令和控制信标的召回率,同时降低精确率。 -
max_jitter:假设周期性信标可能的最大 抖动量,以其周期的分数表示。
您还可以更改转换查询。默认查询会在 6 小时的时间范围内查找信标活动,但您可以更改它。
信标并非恶意软件独有。许多合法的良性进程也表现出类似信标的活动。为了减少误报,转换查询中的默认筛选器会排除属于两组的已知信标进程和 IP
- 源 IP 是本地的,目标是远程的。
- 目标 IP 在已知的 Microsoft IP 地址块中。
您可以在转换中创建其他筛选器,以满足您的环境需求。