首次发现 NewCredentials 登录进程

编辑

首次发现 NewCredentials 登录进程编辑

识别由异常进程执行的新凭据登录类型。这可能表明存在访问令牌伪造功能，该功能经常被滥用以绕过访问控制限制。

规则类型：new_terms

规则索引:

winlogbeat-*
logs-system.*
logs-windows.*

严重性：中等

风险评分: 47

运行频率：5 分钟

搜索索引范围：now-9m（日期数学格式，另请参阅 其他回溯时间）

每次执行的最大警报数: 100

参考:

https://elastic.ac.cn/pt/blog/how-attackers-abuse-access-token-manipulation

标签:

域：端点
操作系统：Windows
用例：威胁检测
战术：权限提升

版本: 2

规则作者:

Elastic

规则许可证：Elastic License v2

规则查询编辑

event.category:"authentication" and host.os.type:"windows" and winlog.logon.type:"NewCredentials" and winlog.event_data.LogonProcessName:(Advapi* or "Advapi  ") and not winlog.event_data.SubjectUserName:*$ and not process.executable :???\\Program?Files*

框架：MITRE ATT&CK^TM

战术
- 名称：权限提升
- ID：TA0004
- 参考 URL：https://attack.mitre.org/tactics/TA0004/
技术
- 名称：访问令牌操纵
- ID：T1134
- 参考 URL：https://attack.mitre.org/techniques/T1134/
子技术
- 名称：令牌模拟/盗窃
- ID：T1134.001
- 参考 URL：https://attack.mitre.org/techniques/T1134/001/