附录 H:安全异常检测配置
编辑附录 H:安全异常检测配置
编辑这些异常检测作业会自动检测主机上的文件系统和网络异常。当您拥有与其配置匹配的数据时,它们会显示在 Kibana 中 Elastic Security 应用的异常检测界面中。有关更多信息,请参阅使用机器学习进行异常检测。
安全:身份验证
编辑检测与 ECS 兼容的身份验证日志中的异常活动。
在机器学习应用程序中,只有当存在与清单文件中指定的查询匹配的数据时,这些配置才可用。在 Elastic Security 应用程序中,它会在securitySolution:defaultIndex高级设置中指定的数据视图中查找与查询匹配的数据。
默认情况下,当您在 Elastic Security 应用中创建这些作业时,它使用适用于多个索引的数据视图。如果您使用机器学习应用程序,要获得相同的结果,请创建一个类似的数据视图,然后在作业向导中选择它。
| 名称 | 描述 | 作业 | 数据馈送 |
|---|---|---|---|
auth_high_count_logon_events |
查找成功身份验证事件数量异常激增的情况。这可能是由于密码喷洒、用户枚举或暴力破解活动造成的。 |
|
|
auth_high_count_logon_events_for_a_source_ip |
查找来自特定源 IP 地址的成功身份验证事件数量异常激增的情况。这可能是由于密码喷洒、用户枚举或暴力破解活动造成的。 |
|
|
auth_high_count_logon_fails |
查找身份验证失败事件数量异常激增的情况。这可能是由于密码喷洒、用户枚举或暴力破解活动造成的,并且可能是帐户接管或凭据访问的前兆。 |
|
|
auth_rare_hour_for_a_user |
查找用户在对用户来说异常的时间登录的情况。当用户和威胁参与者处于不同的时区时,这可能是由于通过受损帐户进行凭据访问造成的。此外,未经授权的用户活动通常发生在非工作时间。 |
|
|
auth_rare_source_ip_for_a_user |
查找用户从对用户来说异常的 IP 地址登录的情况。当用户和威胁参与者处于不同位置时,这可能是由于通过受损帐户进行凭据访问造成的。用户名异常的源 IP 地址也可能是由于受损帐户用于在主机之间进行横向移动造成的。 |
|
|
auth_rare_user |
查找身份验证日志中异常的用户名。异常用户名是通过新的或休眠的用户帐户检测凭据访问的一种方法。通常不活跃的用户帐户(因为用户已离开组织)变得活跃,这可能是由于使用受损帐户密码进行凭据访问造成的。威胁参与者有时还会创建新用户作为在受损 Web 应用程序中持久存在的一种手段。 |
|
|
suspicious_login_activity |
检测异常高的身份验证尝试次数。 |
|
|
安全:CloudTrail
编辑检测 CloudTrail 日志中记录的可疑活动。
在机器学习应用程序中,只有当存在与清单文件中指定的查询匹配的数据时,这些配置才可用。在 Elastic Security 应用程序中,它会在securitySolution:defaultIndex高级设置中指定的数据视图中查找与查询匹配的数据。
| 名称 | 描述 | 作业 | 数据馈送 |
|---|---|---|---|
high_distinct_count_error_message |
查找错误消息出现率激增的情况,这可能仅仅表示即将发生的服务器故障,但也可能是威胁参与者尝试或成功持久化、权限提升、防御规避、发现、横向移动或收集活动产生的副产品。 |
|
|
rare_error_code |
查找异常错误。罕见和异常的错误可能仅仅表示即将发生的服务器故障,但也可能是威胁参与者尝试或成功持久化、权限提升、防御规避、发现、横向移动或收集活动产生的副产品。 |
|
|
rare_method_for_a_city |
查找虽然本身并不可疑或异常,但源自异常地理位置(城市)的 AWS API 调用。这可能是由于凭据或密钥受损造成的。 |
|
|
rare_method_for_a_country |
查找虽然本身并不可疑或异常,但源自异常地理位置(国家/地区)的 AWS API 调用。这可能是由于凭据或密钥受损造成的。 |
|
|
rare_method_for_a_username |
查找虽然本身并不可疑或异常,但源自通常不会调用该方法的用户上下文的 AWS API 调用。这可能是由于凭据或密钥受损造成的,因为有人使用有效的帐户来持久化、横向移动或导出数据。 |
|
|
安全:Linux
编辑用于 Linux 主机威胁狩猎和检测的异常检测作业。
在机器学习应用程序中,只有当存在与清单文件中指定的查询匹配的数据时,这些配置才可用。在 Elastic Security 应用程序中,它会在securitySolution:defaultIndex高级设置中指定的数据视图中查找与查询匹配的数据。
| 名称 | 描述 | 作业 | 数据馈送 |
|---|---|---|---|
v3_linux_anomalous_network_activity |
查找使用网络的异常进程,这可能表示命令和控制、横向移动、持久化或数据泄露活动。 |
|
|
v3_linux_anomalous_network_port_activity |
查找异常的目标端口活动,这可能表示命令和控制、持久化机制或数据泄露活动。 |
|
|
v3_linux_anomalous_process_all_hosts |
查找对所有 Linux 主机来说异常的进程。这种异常进程可能表示未经授权的软件、恶意软件或持久化机制。 |
|
|
v3_linux_anomalous_user_name |
罕见且异常的用户通常不活跃,这可能表示未经授权的用户进行了未经授权的更改或活动,这可能是凭据访问或横向移动。 |
|
|
v3_linux_network_configuration_discovery |
查找与来自异常用户上下文的系统网络配置发现相关的命令。这可能是由于不常见的故障排除活动或由于帐户受损造成的。威胁参与者可能会使用受损帐户进行系统网络配置发现,以增强他们对连接网络和主机的了解。这些信息可用于塑造后续行为,例如横向移动或其他发现。 |
|
|
v3_linux_network_connection_discovery |
查找与来自异常用户上下文的系统网络连接发现相关的命令。这可能是由于不常见的故障排除活动或由于帐户受损造成的。威胁参与者可能会使用受损帐户进行系统网络连接发现,以增强他们对连接服务和系统的了解。这些信息可用于塑造后续行为,例如横向移动或其他发现。 |
|
|
v3_linux_rare_metadata_process |
查找异常进程对元数据服务的异常访问。可能会针对元数据服务以收集凭据或包含密钥的用户数据脚本。 |
|
|
v3_linux_rare_metadata_user |
查找异常用户对元数据服务的异常访问。可能会针对元数据服务以收集凭据或包含密钥的用户数据脚本。 |
|
|
v3_linux_rare_sudo_user |
查找来自异常用户上下文的 sudo 活动。异常的用户上下文更改可能是由于权限提升造成的。 |
|
|
v3_linux_rare_user_compiler |
查找通常不运行编译器的用户上下文进行的编译器活动。这可能是临时软件更改或未经授权的软件部署。这也可能是由于通过本地运行的漏洞利用或恶意软件活动进行本地权限提升造成的。 |
|
|
v3_linux_system_information_discovery |
查找与来自异常用户上下文的系统信息发现相关的命令。这可能是由于不常见的故障排除活动或由于帐户受损造成的。受损帐户可用于进行系统信息发现,以收集有关系统配置和软件版本的详细信息。这可能是选择持久化机制或权限提升方法的前兆。 |
|
|
v3_linux_system_process_discovery |
查找与来自异常用户上下文的系统进程发现相关的命令。这可能是由于不常见的故障排除活动或由于帐户受损造成的。受损帐户可用于进行系统进程发现,以增强他们对目标主机或网络上运行的软件应用程序的了解。这可能是选择持久化机制或权限提升方法的前兆。 |
|
|
v3_linux_system_user_discovery |
查找与来自异常用户上下文的系统用户或所有者发现相关的命令。这可能是由于不常见的故障排除活动或由于帐户受损造成的。受损帐户可用于进行系统所有者或用户发现,以识别系统的当前活动用户或主要用户。这可能是其他发现、凭据转储或权限提升活动的前兆。 |
|
|
v3_rare_process_by_host_linux |
查找对特定 Linux 主机来说异常的进程。这种异常进程可能表示未经授权的软件、恶意软件或持久化机制。 |
|
|
安全:网络
编辑检测与 ECS 兼容的网络日志中的异常网络活动。
在机器学习应用程序中,只有当存在与清单文件中指定的查询匹配的数据时,这些配置才可用。在 Elastic Security 应用程序中,它会在securitySolution:defaultIndex高级设置中指定的数据视图中查找与查询匹配的数据。
默认情况下,当您在 Elastic Security 应用中创建这些作业时,它使用适用于多个索引的数据视图。如果您使用机器学习应用程序,要获得相同的结果,请创建一个类似的数据视图,然后在作业向导中选择它。
| 名称 | 描述 | 作业 | 数据馈送 |
|---|---|---|---|
high_count_by_destination_country |
查找网络日志中对一个目标国家/地区的网络活动异常激增的情况。这可能是由于异常大量的侦察或枚举流量造成的。数据泄露活动也可能会导致对通常不会出现在网络流量或业务工作流程中的目标国家/地区的流量激增。恶意软件实例和持久化机制可能会与其原产国的命令和控制 (C2) 基础设施进行通信,这可能是源网络异常的目标国家/地区。 |
|
|
high_count_network_denies |
查找网络访问控制列表 (ACL) 或防火墙规则拒绝的异常大量的网络流量峰值。这种被拒绝的流量突增通常是 1) 应用程序或防火墙配置错误,或 2) 可疑或恶意活动。为连接到命令和控制 (C2) 或进行数据泄露而未成功的网络传输尝试可能会产生大量失败的连接。这也可能是由于异常大量的侦察或枚举流量造成的。拒绝服务攻击或流量泛滥也可能导致这种流量激增。 |
|
|
high_count_network_events |
查找异常大量的网络流量峰值。如果这种流量突增不是由业务活动激增引起的,则可能是由于可疑或恶意活动造成的。大规模数据泄露可能会产生网络流量突增;这也可能是由于异常大量的侦察或枚举流量造成的。拒绝服务攻击或流量泛滥也可能导致这种流量激增。 |
|
|
rare_destination_country |
在网络日志中查找异常的目标国家/地区名称。这可能是由于初始访问、持久性、命令和控制或数据泄露活动造成的。例如,当用户单击网络钓鱼电子邮件中的链接或打开恶意文档时,可能会发送请求以从通常不会出现在网络流量或业务流程中的国家/地区的服务器下载并运行有效负载。恶意软件实例和持久性机制可能会与其来源国的命令和控制 (C2) 基础设施通信,这对于源网络来说可能是一个异常的目标国家/地区。 |
|
|
安全:Packetbeat
编辑检测 Packetbeat 数据中的可疑网络活动。
在机器学习应用程序中,只有当存在与清单文件中指定的查询匹配的数据时,这些配置才可用。在 Elastic Security 应用程序中,它会在securitySolution:defaultIndex高级设置中指定的数据视图中查找与查询匹配的数据。
| 名称 | 描述 | 作业 | 数据馈送 |
|---|---|---|---|
packetbeat_dns_tunneling |
查找可能指示命令和控制或数据泄露活动的异常 DNS 活动。 |
|
|
packetbeat_rare_dns_question |
查找可能指示命令和控制活动的异常 DNS 活动。 |
|
|
packetbeat_rare_server_domain |
查找可能指示执行、持久性、命令和控制或数据泄露活动的异常 HTTP 或 TLS 目标域活动。 |
|
|
packetbeat_rare_urls |
查找可能指示执行、持久性、命令和控制或数据泄露活动的异常网页浏览 URL 活动。 |
|
|
packetbeat_rare_user_agent |
查找可能指示执行、持久性、命令和控制或数据泄露活动的异常 HTTP 用户代理活动。 |
|
|
安全:Windows
编辑用于 Windows 主机威胁追踪和检测的异常检测作业。
在机器学习应用程序中,只有当存在与清单文件中指定的查询匹配的数据时,这些配置才可用。在 Elastic Security 应用程序中,它会在securitySolution:defaultIndex高级设置中指定的数据视图中查找与查询匹配的数据。
如果还有其他要求,例如安装 Windows 系统监视器 (Sysmon) 或审核 Windows 安全事件日志中的进程创建,则会在每个作业中列出这些要求。
| 名称 | 描述 | 作业 | 数据馈送 |
|---|---|---|---|
v3_rare_process_by_host_windows |
查找对特定 Windows 主机来说异常的进程。这种异常进程可能表示未经授权的软件、恶意软件或持久性机制。 |
|
|
v3_windows_anomalous_network_activity |
查找使用网络的异常进程,这可能表示命令和控制、横向移动、持久化或数据泄露活动。 |
|
|
v3_windows_anomalous_path_activity |
查找异常路径中的活动,这些活动可能表示恶意软件的执行或持久性机制。Windows 有效负载通常从用户配置文件路径执行。 |
|
|
v3_windows_anomalous_process_all_hosts |
查找对所有 Windows 主机来说异常的进程。这种异常进程可能表示未经授权的软件、恶意软件或持久性机制的执行。 |
|
|
v3_windows_anomalous_process_creation |
查找异常的进程关系,这些关系可能表示恶意软件的执行或持久性机制。 |
|
|
v3_windows_anomalous_script |
查找异常的 powershell 脚本,这些脚本可能表示恶意软件的执行或持久性机制。 |
|
|
v3_windows_anomalous_service |
查找罕见且异常的 Windows 服务名称,这些名称可能表示未经授权的服务、恶意软件或持久性机制的执行。 |
|
|
v3_windows_anomalous_user_name |
罕见且异常的用户通常不活跃,这可能表示未经授权的用户进行了未经授权的更改或活动,这可能是凭据访问或横向移动。 |
|
|
v3_windows_rare_metadata_process |
查找异常进程对元数据服务的异常访问。可能会针对元数据服务以收集凭据或包含密钥的用户数据脚本。 |
|
|
v3_windows_rare_metadata_user |
查找异常用户对元数据服务的异常访问。可能会针对元数据服务以收集凭据或包含密钥的用户数据脚本。 |
|
|
v3_windows_rare_user_runas_event |
异常的用户上下文切换可能是由于权限提升造成的。 |
|
|
v3_windows_rare_user_type10_remote_login |
异常的 RDP(远程桌面协议)用户登录可能表示帐户接管或凭据访问。 |
|
|
安全:Elastic 集成
编辑Elastic 集成 是一种简化的方法,可将 Elastic 资源(例如数据摄取、转换以及此处的安全机器学习功能)添加到您的环境中。
以下集成使用机器学习来分析用户和实体行为模式,并帮助检测和告警环境中是否存在相关的可疑活动。
域名生成算法 (DGA) 检测
机器学习解决方案包,用于检测网络数据中的域名生成算法 (DGA) 活动。请参阅订阅页面,了解有关所需订阅的更多信息。
要下载,请参阅文档。
| 名称 | 描述 |
|---|---|
dga_high_sum_probability |
检测网络数据中的域名生成算法 (DGA) 活动。 |
作业配置和数据馈送可在此处找到此处。
利用合法工具的攻击 (LotL) 检测
机器学习解决方案包,用于检测环境中的利用合法工具的攻击 (LotL)。请参阅订阅页面,了解有关所需订阅的更多信息。(也称为 ProblemChild)。
要下载,请参阅文档。
| 名称 | 描述 |
|---|---|
problem_child_rare_process_by_host |
查找在主机上被分类为恶意的进程,该主机通常不会表现出恶意的进程活动。 |
problem_child_high_sum_by_host |
查找单个主机上的一组一个或多个恶意子进程。 |
problem_child_rare_process_by_user |
查找被分类为恶意的进程,其中用户上下文异常,并且通常不会表现出恶意的进程活动。 |
problem_child_rare_process_by_parent |
查找由父进程生成的罕见的恶意子进程。 |
problem_child_high_sum_by_user |
查找由同一用户启动的一组一个或多个恶意进程。 |
problem_child_high_sum_by_parent |
查找由同一父进程生成的的一组一个或多个恶意子进程。 |
作业配置和数据馈送可在此处找到此处。
数据泄露检测 (DED)
机器学习包,用于检测网络和文件数据中的数据泄露。请参阅订阅页面,了解有关所需订阅的更多信息。
要下载,请参阅文档。
| 名称 | 描述 |
|---|---|
ded_high_sent_bytes_destination_geo_country_iso_code |
检测向异常地理位置(按国家/地区 ISO 代码)的数据泄露。 |
ded_high_sent_bytes_destination_ip |
检测向异常地理位置(按 IP 地址)的数据泄露。 |
ded_high_sent_bytes_destination_port |
检测向异常目标端口的数据泄露。 |
ded_high_sent_bytes_destination_region_name |
检测向异常地理位置(按区域名称)的数据泄露。 |
ded_high_bytes_written_to_external_device |
通过识别写入外部设备的大量字节来检测数据泄露活动。 |
ded_rare_process_writing_to_external_device |
通过识别由罕见进程启动的文件写入到外部设备来检测数据泄露活动。 |
ded_high_bytes_written_to_external_device_airdrop |
通过识别通过 AirDrop 写入外部设备的大量字节来检测数据泄露活动。 |
作业配置和数据馈送可在此处找到此处。
横向移动检测 (LMD)
机器学习包,用于根据文件传输活动和 Windows RDP 事件检测横向移动。请参阅订阅页面,了解有关所需订阅的更多信息。
要下载,请参阅文档。
| 名称 | 描述 |
|---|---|
lmd_high_count_remote_file_transfer |
检测到网络中异常高的文件传输到远程主机。 |
lmd_high_file_size_remote_file_transfer |
检测到与网络中的远程主机共享的文件大小异常高。 |
lmd_rare_file_extension_remote_transfer |
检测向异常目标端口的数据泄露。 |
lmd_rare_file_path_remote_transfer |
检测传输文件的异常文件夹和目录。 |
lmd_high_mean_rdp_session_duration |
检测到 RDP 会话持续时间的平均值异常高。 |
lmd_high_var_rdp_session_duration |
检测到 RDP 会话持续时间的方差异常高。 |
lmd_high_sum_rdp_number_of_processes |
检测到单个 RDP 会话中启动的进程数量异常高。 |
lmd_unusual_time_weekday_rdp_session_start |
检测到在异常时间或工作日启动的 RDP 会话。 |
lmd_high_rdp_distinct_count_source_ip_for_destination |
检测到大量源 IP 与单个目标 IP 建立 RDP 连接。 |
lmd_high_rdp_distinct_count_destination_ip_for_source |
检测到大量目标 IP 与单个源 IP 建立 RDP 连接。 |
lmd_high_mean_rdp_process_args |
检测到 RDP 会话中进程参数的数量异常高。 |
作业配置和数据馈送可在此处找到此处。