› › ›

Linux系统信息探测

编辑

Linux系统信息探测

编辑

使用uname和其他暗示Linux系统信息探测的命令行来丰富进程事件。

规则类型: eql

规则索引:

logs-endpoint.events.*
endgame-*
auditbeat-*
logs-auditd_manager.auditd-*

严重性: 低

风险评分: 21

运行频率: 60分钟

搜索索引时间范围: now-119m (日期数学格式，另见 额外回溯时间)

每次执行的最大告警数: 100

参考资料: 无

标签:

领域: 端点
操作系统: Linux
用例: 威胁检测
战术: 探测
规则类型: BBR
数据来源: Elastic Defend
数据来源: Elastic Endgame
数据来源: Auditd 管理器

版本: 3

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询

编辑

process where event.type == "start" and event.action in ("exec", "exec_event", "executed", "process_started") and (
  process.name: "uname" or (
  process.name: ("cat", "more", "less") and process.args: ("*issue*", "*version*", "*profile*", "*services*", "*cpuinfo*")
  )
)

框架: MITRE ATT&CK^TM

战术
- 名称: 探测
- ID: TA0007
- 参考URL: https://attack.mitre.org/tactics/TA0007/
技术
- 名称: 系统信息探测
- ID: T1082
- 参考URL: https://attack.mitre.org/techniques/T1082/

« Linux SSH X11转发 Linux用户账户创建 »