› › ›

使用内置工具查询注册表

编辑

使用内置工具查询注册表编辑

此规则识别可用于查询 Windows 注册表的命令执行。攻击者可能会查询注册表以了解主机的情况，例如已安装的安全软件、程序和设置。

规则类型: new_terms

规则索引:

logs-endpoint.events.process-*

严重性: 低

风险评分: 21

每隔: 24 小时运行

从以下时间开始搜索索引: now-24h (日期数学格式，另请参见 附加回溯时间)

每次执行的最大警报数: 100

参考: 无

标签:

域：端点
操作系统：Windows
用例：威胁检测
策略：发现
规则类型：BBR
数据源：Elastic Defend

版本: 105

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询编辑

host.os.type:windows and event.category:process and event.type:start and
  (
    (process.name.caseless:"reg.exe" and process.args:"query") or
    (process.name.caseless:("powershell.exe" or "powershell_ise.exe" or "pwsh.exe") and
     process.args:(
       ("get-childitem" or "Get-ChildItem" or "gci" or "dir" or "ls" or
        "get-item" or "Get-Item" or "gi" or
        "get-itemproperty" or "Get-ItemProperty" or "gp") and
       ("hkcu" or "HKCU" or "hkey_current_user" or "HKEY_CURRENT_USER" or
        "hkey_local_machine" or "HKEY_LOCAL_MACHINE" or
        "hklm" or "HKLM" or registry\:\:*)
      )
    )
  ) and
  not process.command_line : (
    "C:\\Windows\\system32\\reg.exe  query hklm\\software\\microsoft\\windows\\softwareinventorylogging /v collectionstate /reg:64" or
    "reg  query \"HKLM\\Software\\WOW6432Node\\Npcap\" /ve  "
  )

框架: MITRE ATT&CK^TM

策略
- 名称：发现
- ID：TA0007
- 参考 URL：https://attack.mitre.org/tactics/TA0007/
技术
- 名称：查询注册表
- ID：T1012
- 参考网址：https://attack.mitre.org/techniques/T1012/

« 未签名或不受信任的进程删除隔离属性来自互联网的 RDP（远程桌面协议） »