附录 H:安全异常检测配置
编辑附录 H:安全异常检测配置
编辑这些异常检测作业会自动检测您主机上的文件系统和网络异常。当您有与其配置匹配的数据时,它们会出现在 Kibana 的 Elastic Security 应用的 异常检测 界面中。有关更多信息,请参阅 使用机器学习进行异常检测。
安全:身份验证
编辑检测与 ECS 兼容的身份验证日志中的异常活动。
在机器学习应用中,这些配置仅当存在与 manifest 文件中指定的查询匹配的数据时才可用。在 Elastic Security 应用中,它会在 securitySolution:defaultIndex 高级设置中指定的数据视图中查找与查询匹配的数据。
默认情况下,当您在 Elastic Security 应用中创建这些作业时,它会使用适用于多个索引的数据视图。如果您使用机器学习应用获得相同的结果,请创建一个类似的 数据视图,然后在作业向导中选择它。
| 名称 | 描述 | 作业 | 数据馈送 |
|---|---|---|---|
auth_high_count_logon_events |
查找成功身份验证事件中异常的大幅峰值。这可能是由于密码喷洒、用户枚举或暴力破解活动导致的。 |
|
|
auth_high_count_logon_events_for_a_source_ip |
查找来自特定源 IP 地址的成功身份验证事件中异常的大幅峰值。这可能是由于密码喷洒、用户枚举或暴力破解活动导致的。 |
|
|
auth_high_count_logon_fails |
查找身份验证失败事件中异常的大幅峰值。这可能是由于密码喷洒、用户枚举或暴力破解活动导致的,并且可能是帐户接管或凭据访问的前兆。 |
|
|
auth_rare_hour_for_a_user |
查找用户在对该用户来说不寻常的时间登录。当用户和威胁行为者处于不同的时区时,这可能是由于通过受损帐户进行的凭据访问所致。此外,未经授权的用户活动通常发生在非工作时间。 |
|
|
auth_rare_source_ip_for_a_user |
查找用户从对该用户来说不寻常的 IP 地址登录。当用户和威胁行为者处于不同的位置时,这可能是由于通过受损帐户进行的凭据访问所致。用户名的不寻常源 IP 地址也可能是由于在受损帐户用于在主机之间转移时发生的横向移动所致。 |
|
|
auth_rare_user |
查找身份验证日志中不寻常的用户名。不寻常的用户名是检测通过新的或休眠的用户帐户进行的凭据访问的一种方法。通常不活动的用户帐户(因为用户已离开组织)变得活动可能是由于使用受损帐户密码进行的凭据访问所致。威胁行为者有时还会创建新用户,以此作为在受损 Web 应用程序中持久存在的一种方式。 |
|
|
suspicious_login_activity |
检测异常高的身份验证尝试次数。 |
|
|
安全:CloudTrail
编辑检测您的 CloudTrail 日志中记录的可疑活动。
在机器学习应用中,这些配置仅当存在与 manifest 文件中指定的查询匹配的数据时才可用。在 Elastic Security 应用中,它会在 securitySolution:defaultIndex 高级设置中指定的数据视图中查找与查询匹配的数据。
| 名称 | 描述 | 作业 | 数据馈送 |
|---|---|---|---|
high_distinct_count_error_message |
查找错误消息速率中的峰值,这可能只是表明即将发生服务故障,但这些也可能是威胁行为者尝试或成功持久化、特权提升、防御规避、发现、横向移动或收集活动的副产品。 |
|
|
rare_error_code |
查找不寻常的错误。罕见和不寻常的错误可能只是表明即将发生服务故障,但它们也可能是威胁行为者尝试或成功持久化、特权提升、防御规避、发现、横向移动或收集活动的副产品。 |
|
|
rare_method_for_a_city |
查找 AWS API 调用,这些调用虽然本身不是可疑或异常的,但来源地(城市)不寻常。这可能是由于凭据或密钥受损所致。 |
|
|
rare_method_for_a_country |
查找 AWS API 调用,这些调用虽然本身不是可疑或异常的,但来源地(国家/地区)不寻常。这可能是由于凭据或密钥受损所致。 |
|
|
rare_method_for_a_username |
查找 AWS API 调用,这些调用虽然本身不是可疑或异常的,但来源于通常不调用该方法的用户上下文。这可能是由于凭据或密钥受损所致,因为有人使用有效帐户来持久化、横向移动或导出数据。 |
|
|
安全:Linux
编辑用于基于 Linux 主机的威胁狩猎和检测的异常检测作业。
在机器学习应用中,这些配置仅当存在与 manifest 文件中指定的查询匹配的数据时才可用。在 Elastic Security 应用中,它会在 securitySolution:defaultIndex 高级设置中指定的数据视图中查找与查询匹配的数据。
| 名称 | 描述 | 作业 | 数据馈送 |
|---|---|---|---|
v3_linux_anomalous_network_activity |
查找使用网络的异常进程,这可能表明命令和控制、横向移动、持久性或数据导出活动。 |
|
|
v3_linux_anomalous_network_port_activity |
查找可能表明命令和控制、持久性机制或数据导出活动的异常目标端口活动。 |
|
|
v3_linux_anomalous_process_all_hosts |
查找对所有 Linux 主机来说不寻常的进程。此类不寻常的进程可能表明未经授权的软件、恶意软件或持久性机制。 |
|
|
v3_linux_anomalous_user_name |
不常活动或不寻常的用户可能表明未经授权的更改或未经授权的用户进行的活动,这可能是凭据访问或横向移动。 |
|
|
v3_linux_network_configuration_discovery |
查找来自不寻常用户上下文的与系统网络配置发现相关的命令。这可能是由于不常见的故障排除活动或由于帐户受损所致。威胁行为者可能会使用受损帐户来参与系统网络配置发现,以提高他们对连接的网络和主机的理解。此信息可能用于形成后续行为,例如横向移动或其他发现。 |
|
|
v3_linux_network_connection_discovery |
查找来自不寻常用户上下文的与系统网络连接发现相关的命令。这可能是由于不常见的故障排除活动或由于帐户受损所致。威胁行为者可能会使用受损帐户来参与系统网络连接发现,以提高他们对连接的服务和系统的理解。此信息可能用于形成后续行为,例如横向移动或其他发现。 |
|
|
v3_linux_rare_metadata_process |
查找由不寻常进程对元数据服务的异常访问。可能会针对元数据服务来收集凭据或包含机密的 userdata 脚本。 |
|
|
v3_linux_rare_metadata_user |
查找由不寻常用户对元数据服务的异常访问。可能会针对元数据服务来收集凭据或包含机密的 userdata 脚本。 |
|
|
v3_linux_rare_sudo_user |
查找来自不寻常用户上下文的 sudo 活动。不寻常的用户上下文更改可能是由于特权提升所致。 |
|
|
v3_linux_rare_user_compiler |
查找通常不运行编译器的用户上下文的编译器活动。这可能是临时软件更改或未经授权的软件部署。这还可能是由于通过本地运行的漏洞利用或恶意软件活动进行的本地特权提升所致。 |
|
|
v3_linux_system_information_discovery |
查找来自不寻常用户上下文的与系统信息发现相关的命令。这可能是由于不常见的故障排除活动或由于帐户受损所致。威胁行为者可能会使用受损帐户来参与系统信息发现,以收集有关系统配置和软件版本的详细信息。这可能是选择持久性机制或特权提升方法的前兆。 |
|
|
v3_linux_system_process_discovery |
查找来自不寻常用户上下文的与系统进程发现相关的命令。这可能是由于不常见的故障排除活动或由于帐户受损所致。威胁行为者可能会使用受损帐户来参与系统进程发现,以提高他们对目标主机或网络上运行的软件应用程序的理解。这可能是选择持久性机制或特权提升方法的前兆。 |
|
|
v3_linux_system_user_discovery |
查找来自不寻常用户上下文的与系统用户或所有者发现相关的命令。这可能是由于不常见的故障排除活动或由于帐户被盗用。被盗用的帐户可能被用来进行系统所有者或用户发现,以识别系统当前活跃或主要用户。这可能是其他发现、凭据转储或权限提升活动的前兆。 |
|
|
v3_rare_process_by_host_linux |
查找对于特定 Linux 主机来说不常见的进程。这种不常见的进程可能表示未经授权的软件、恶意软件或持久性机制。 |
|
|
安全:网络
编辑在您与 ECS 兼容的网络日志中检测异常网络活动。
在机器学习应用程序中,仅当存在与 清单文件中指定的查询匹配的数据时,这些配置才可用。在 Elastic Security 应用程序中,它会在 securitySolution:defaultIndex 高级设置中指定的数据视图中查找与查询匹配的数据。
默认情况下,当您在 Elastic Security 应用程序中创建这些作业时,它会使用适用于多个索引的数据视图。如果您使用机器学习应用程序,要获得相同的结果,请创建一个类似的数据视图,然后在作业向导中选择它。
| 名称 | 描述 | 作业 | 数据馈送 |
|---|---|---|---|
high_count_by_destination_country |
在网络日志中查找到一个目标国家的网络活动异常大幅增加的情况。这可能是由于异常大量的侦察或枚举流量所致。数据外泄活动也可能会导致到通常不出现在网络流量或业务工作流程中的目标国家的流量激增。恶意软件实例和持久性机制可能会与其原产国的命令和控制 (C2) 基础设施通信,这对于源网络来说可能是不寻常的目标国家。 |
|
|
high_count_network_denies |
查找被网络 ACL 或防火墙规则拒绝的网络流量异常大幅增加的情况。这种被拒绝的流量爆发通常是 1) 应用程序或防火墙配置错误或 2) 可疑或恶意活动。为了连接到命令和控制 (C2) 或进行数据外泄而进行的网络传输尝试失败可能会导致连接失败的爆发。这也可能是由于异常大量的侦察或枚举流量所致。拒绝服务攻击或流量泛滥也可能会导致这种流量激增。 |
|
|
high_count_network_events |
查找网络流量异常大幅增加的情况。这种流量爆发如果不是由业务活动激增引起的,则可能是由于可疑或恶意活动造成的。大规模数据外泄可能会导致网络流量爆发;这也可能是由于异常大量的侦察或枚举流量所致。拒绝服务攻击或流量泛滥也可能会导致这种流量激增。 |
|
|
rare_destination_country |
在网络日志中查找不寻常的目标国家/地区名称。这可能是由于初始访问、持久性、命令和控制或外泄活动所致。例如,当用户单击网络钓鱼电子邮件中的链接或打开恶意文档时,可能会发送请求以从通常不出现在网络流量或业务工作流程中的国家/地区的服务器下载并运行有效负载。恶意软件实例和持久性机制可能会与其原产国的命令和控制 (C2) 基础设施通信,这对于源网络来说可能是不寻常的目标国家。 |
|
|
安全:Packetbeat
编辑在 Packetbeat 数据中检测可疑网络活动。
在机器学习应用程序中,仅当存在与 清单文件中指定的查询匹配的数据时,这些配置才可用。在 Elastic Security 应用程序中,它会在 securitySolution:defaultIndex 高级设置中指定的数据视图中查找与查询匹配的数据。
| 名称 | 描述 | 作业 | 数据馈送 |
|---|---|---|---|
packetbeat_dns_tunneling |
查找可能表明命令和控制或数据外泄活动的不寻常 DNS 活动。 |
|
|
packetbeat_rare_dns_question |
查找可能表明命令和控制活动的不寻常 DNS 活动。 |
|
|
packetbeat_rare_server_domain |
查找可能表明执行、持久性、命令和控制或数据外泄活动的不寻常 HTTP 或 TLS 目标域活动。 |
|
|
packetbeat_rare_urls |
查找可能表明执行、持久性、命令和控制或数据外泄活动的不寻常 Web 浏览 URL 活动。 |
|
|
packetbeat_rare_user_agent |
查找可能表明执行、持久性、命令和控制或数据外泄活动的不寻常 HTTP 用户代理活动。 |
|
|
安全:Windows
编辑用于 Windows 基于主机的威胁搜寻和检测的异常检测作业。
在机器学习应用程序中,仅当存在与 清单文件中指定的查询匹配的数据时,这些配置才可用。在 Elastic Security 应用程序中,它会在 securitySolution:defaultIndex 高级设置中指定的数据视图中查找与查询匹配的数据。
如果还有其他要求,例如安装 Windows 系统监视器 (Sysmon) 或审核 Windows 安全事件日志中的进程创建,则会列出每个作业的要求。
| 名称 | 描述 | 作业 | 数据馈送 |
|---|---|---|---|
v3_rare_process_by_host_windows |
查找对于特定 Windows 主机来说不常见的进程。这种不常见的进程可能表示未经授权的软件、恶意软件或持久性机制。 |
|
|
v3_windows_anomalous_network_activity |
查找使用网络的异常进程,这可能表明命令和控制、横向移动、持久性或数据导出活动。 |
|
|
v3_windows_anomalous_path_activity |
查找可能表明执行恶意软件或持久性机制的不寻常路径中的活动。Windows 有效负载通常从用户配置文件路径执行。 |
|
|
v3_windows_anomalous_process_all_hosts |
查找对于所有 Windows 主机来说不常见的进程。这种不常见的进程可能表示执行未经授权的软件、恶意软件或持久性机制。 |
|
|
v3_windows_anomalous_process_creation |
查找可能表明执行恶意软件或持久性机制的不寻常进程关系。 |
|
|
v3_windows_anomalous_script |
查找可能表明执行恶意软件或持久性机制的不寻常 powershell 脚本。 |
|
|
v3_windows_anomalous_service |
查找可能表明执行未经授权的服务、恶意软件或持久性机制的罕见且不寻常的 Windows 服务名称。 |
|
|
v3_windows_anomalous_user_name |
不常活动或不寻常的用户可能表明未经授权的更改或未经授权的用户进行的活动,这可能是凭据访问或横向移动。 |
|
|
v3_windows_rare_metadata_process |
查找由不寻常进程对元数据服务的异常访问。可能会针对元数据服务来收集凭据或包含机密的 userdata 脚本。 |
|
|
v3_windows_rare_metadata_user |
查找由不寻常用户对元数据服务的异常访问。可能会针对元数据服务来收集凭据或包含机密的 userdata 脚本。 |
|
|
v3_windows_rare_user_runas_event |
不寻常的用户上下文切换可能是由于权限提升所致。 |
|
|
v3_windows_rare_user_type10_remote_login |
不寻常的 RDP(远程桌面协议)用户登录可能表明帐户被盗用或凭证访问。 |
|
|
安全:Elastic 集成
编辑Elastic 集成是一种简化的方式,可将 Elastic 资产添加到您的环境中,例如数据摄取、转换,在这种情况下,还包括用于安全的机器学习功能。
以下集成使用机器学习来分析用户和实体行为模式,并帮助检测和提醒环境中是否存在相关的可疑活动。
域名生成算法 (DGA) 检测
用于检测网络数据中域名生成算法 (DGA) 活动的机器学习解决方案包。请参阅订阅页面,以了解有关所需订阅的更多信息。
要下载,请参阅文档。
| 名称 | 描述 |
|---|---|
dga_high_sum_probability |
检测网络数据中的域名生成算法 (DGA) 活动。 |
作业配置和数据馈送可以在此处找到。
借刀杀人攻击 (LotL) 检测
用于检测环境中借刀杀人攻击 (LotL) 的机器学习解决方案包。请参阅订阅页面,以了解有关所需订阅的更多信息。(也称为 ProblemChild)。
要下载,请参阅文档。
| 名称 | 描述 |
|---|---|
problem_child_rare_process_by_host |
查找在通常不显示恶意进程活动的主机上被归类为恶意的进程。 |
problem_child_high_sum_by_host |
查找单个主机上的一组或多个恶意子进程。 |
problem_child_rare_process_by_user |
查找用户上下文不寻常且通常不显示恶意进程活动的被归类为恶意的进程。 |
problem_child_rare_process_by_parent |
查找由父进程生成的罕见恶意子进程。 |
problem_child_high_sum_by_user |
查找由同一用户启动的一组或多个恶意进程。 |
problem_child_high_sum_by_parent |
查找由同一父进程生成的一组或多个恶意子进程。 |
作业配置和数据馈送可以在此处找到。
数据外泄检测 (DED)
用于检测网络和文件数据中的数据外泄的机器学习包。请参阅订阅页面,以了解有关所需订阅的更多信息。
要下载,请参阅文档。
| 名称 | 描述 |
|---|---|
ded_high_sent_bytes_destination_geo_country_iso_code |
检测到不寻常的地理位置(按国家/地区 ISO 代码)的数据外泄。 |
ded_high_sent_bytes_destination_ip |
检测到不寻常的地理位置(按 IP 地址)的数据外泄。 |
ded_high_sent_bytes_destination_port |
检测到不寻常的目标端口的数据外泄。 |
ded_high_sent_bytes_destination_region_name |
检测到不寻常的地理位置(按地区名称)的数据外泄。 |
ded_high_bytes_written_to_external_device |
通过识别写入到外部设备的大量字节来检测数据外泄活动。 |
ded_rare_process_writing_to_external_device |
通过识别由罕见进程启动的对外部设备的文件写入来检测数据外泄活动。 |
ded_high_bytes_written_to_external_device_airdrop |
通过识别通过 Airdrop 写入到外部设备的大量字节来检测数据外泄活动。 |
可以在这里找到作业配置和数据源。
横向移动检测 (LMD)
基于文件传输活动和 Windows RDP 事件检测横向移动的机器学习包。请参阅订阅页面以了解有关所需订阅的更多信息。
要下载,请参阅文档。
| 名称 | 描述 |
|---|---|
lmd_high_count_remote_file_transfer |
检测到网络中向远程主机传输文件数量异常偏高的情况。 |
lmd_high_file_size_remote_file_transfer |
检测到网络中与远程主机共享的文件大小异常偏高的情况。 |
lmd_rare_file_extension_remote_transfer |
检测到不寻常的目标端口的数据外泄。 |
lmd_rare_file_path_remote_transfer |
检测到文件传输时使用的文件夹和目录异常。 |
lmd_high_mean_rdp_session_duration |
检测到 RDP 会话持续时间的平均值异常偏高的情况。 |
lmd_high_var_rdp_session_duration |
检测到 RDP 会话持续时间的变化幅度异常偏高的情况。 |
lmd_high_sum_rdp_number_of_processes |
检测到单个 RDP 会话中启动的进程数量异常偏高的情况。 |
lmd_unusual_time_weekday_rdp_session_start |
检测到在不寻常的时间或工作日启动的 RDP 会话。 |
lmd_high_rdp_distinct_count_source_ip_for_destination |
检测到大量源 IP 与单个目标 IP 建立 RDP 连接的情况。 |
lmd_high_rdp_distinct_count_destination_ip_for_source |
检测到大量目标 IP 与单个源 IP 建立 RDP 连接的情况。 |
lmd_high_mean_rdp_process_args |
检测到 RDP 会话中的进程参数数量异常偏高的情况。 |
可以在这里找到作业配置和数据源。