连接不安全 Elasticsearch 节点的入站连接

编辑

连接不安全 Elasticsearch 节点的入站连接

编辑

识别缺少传输层安全协议 (TLS) 和/或身份验证，并通过默认 Elasticsearch 端口接受入站网络连接的 Elasticsearch 节点。

规则类型：查询

规则索引:

packetbeat-*
logs-network_traffic.*

严重性：中等

风险评分: 47

每隔：5 分钟

搜索索引自：now-9m (日期数学格式，另见 额外回溯时间)

每次执行的最大告警数: 100

参考资料:

标签:

用例：威胁检测
策略：初始访问
领域：端点

版本: 104

规则作者:

Elastic

规则许可证：Elastic License v2

调查指南

编辑

设置

编辑

此规则需要在 packetbeat.yml 中的 HTTP 协议配置中添加端口 9200 和 send_all_headers。有关其他配置文档，请参见“参考资料”部分。

规则查询

编辑

(event.dataset: network_traffic.http OR (event.category: network_traffic AND network.protocol: http)) AND
    status:OK AND destination.port:9200 AND network.direction:inbound AND NOT http.response.headers.content-type:"image/x-icon" AND NOT
    _exists_:http.request.headers.authorization

框架：MITRE ATT&CK^TM

策略
- 名称：初始访问
- ID：TA0001
- 参考网址：https://attack.mitre.org/tactics/TA0001/
技术
- 名称：利用面向公众的应用程序
- ID：T1190
- 参考网址：https://attack.mitre.org/techniques/T1190/

« 通过 Windows 更新自动更新客户端的 ImageLoad 通过 MSHTA 的传入 DCOM 横向移动 »