来自 Linux 主机的 Active Directory 强制身份验证 - SMB 命名管道
编辑来自 Linux 主机的 Active Directory 强制身份验证 - SMB 命名管道
编辑识别使用相关 SMB 命名管道的潜在强制身份验证。攻击者可能会尝试强制目标对他们控制的主机进行身份验证,以捕获哈希或启用中继攻击。
规则类型: eql
规则索引:
- logs-endpoint.events.network-*
- logs-system.security-*
- winlogbeat-*
严重性: 中等
风险评分: 47
每: 5 分钟运行一次
搜索索引自: now-9m (日期数学格式,另请参见 额外回溯时间)
每次执行的最大告警数: 100
参考资料:
标签:
- 域:终端
- 操作系统:Windows
- 操作系统:Linux
- 用例:威胁检测
- 策略:凭据访问
- 数据源:Elastic Defend
- 数据源:Active Directory
- 用例:Active Directory 监控
- 数据源:系统
版本: 3
规则作者:
- Elastic
规则许可证: Elastic License v2
设置
编辑设置
此规则使用来自 Linux 主机的 Elastic Endpoint 网络事件和来自域控制器的系统集成事件进行关联。为了使此检测生效,应从主机收集这两个数据源。
必须配置详细文件共享审核审核策略(成功/失败)。使用高级审核配置实施日志记录策略的步骤
Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policies Configuration > Audit Policies > Object Access > Audit Detailed File Share (Success,Failure)
规则查询
编辑sequence with maxspan=15s
[network where host.os.type == "linux" and event.action == "connection_attempted" and destination.port == 445 and not startswith~(string(destination.ip), string(host.ip))] by host.ip, data_stream.namespace
[file where host.os.type == "windows" and event.code == "5145" and file.name : ("Spoolss", "netdfs", "lsarpc", "lsass", "netlogon", "samr", "efsrpc", "FssagentRpc")] by source.ip, data_stream.namespace
框架: MITRE ATT&CKTM
-
策略
- 名称:凭据访问
- ID:TA0006
- 参考网址:https://attack.mitre.org/tactics/TA0006/
-
技术
- 名称:强制身份验证
- ID:T1187
- 参考网址:https://attack.mitre.org/techniques/T1187/