› › ›

通过内置工具发现互联网连接能力

编辑

通过内置工具发现互联网连接能力

编辑

识别攻击者可用于检查受感染系统互联网连接的内置工具的使用情况。这些结果可用于确定与 C2 服务器的通信能力，或识别路由、重定向器和代理服务器。

规则类型: new_terms

规则索引:

logs-endpoint.events.*

严重性: 低

风险评分: 21

每: 5 分钟运行一次

搜索索引自: now-9m (日期数学格式，另见 额外回溯时间)

每次执行的最大告警数: 100

参考: 无

标签:

领域：端点
操作系统：Windows
用例：威胁检测
策略：发现
规则类型：BBR
数据源：Elastic Defend

版本: 102

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询

编辑

host.os.type:windows and event.category:process and event.type:start and
process.name.caseless:("ping.exe" or "tracert.exe" or "pathping.exe") and
not process.args:("127.0.0.1" or "0.0.0.0" or "localhost" or "::1")

框架: MITRE ATT&CK^TM

策略
- 名称：发现
- ID：TA0007
- 参考网址：https://attack.mitre.org/tactics/TA0007/
技术
- 名称：系统网络配置发现
- ID：T1016
- 参考网址：https://attack.mitre.org/techniques/T1016/
子技术
- 名称：互联网连接发现
- ID：T1016.001
- 参考网址：https://attack.mitre.org/techniques/T1016/001/

« 域组发现通过 Nsenter 逃逸 Docker »