检测到潜在的缓冲区溢出攻击
编辑检测到潜在的缓冲区溢出攻击
编辑通过查询“检测到段错误”预构建规则信号索引(通过阈值规则),并在短时间内至少有 100 个段错误警报,从而检测潜在的缓冲区溢出攻击。短时间内大量的段错误可能表明应用程序遭到利用尝试。
规则类型: 阈值
规则索引:
- .alerts-security.*
严重性: 低
风险评分: 21
每: 5 分钟运行一次
搜索索引自: now-9m (日期数学格式,另请参见 额外回溯时间)
每次执行的最大告警数: 100
参考: 无
标签:
- 领域:端点
- 操作系统:Linux
- 用例:威胁检测
- 策略:权限提升
- 策略:初始访问
- 用例:漏洞
- 规则类型:高阶规则
版本: 3
规则作者:
- Elastic
规则许可证: Elastic License v2
设置
编辑设置
此规则利用来自其他预构建检测规则的警报数据才能正常运行。
依赖的 Elastic 检测规则启用
作为高阶规则(基于其他检测),此规则还需要安装并启用以下先决条件 Elastic 检测规则:- 检测到段错误 (5c81fc9d-1eae-437f-ba07-268472967013)
规则查询
编辑kibana.alert.rule.rule_id:"5c81fc9d-1eae-437f-ba07-268472967013" and host.os.type:linux and event.kind:signal
框架: MITRE ATT&CKTM
-
策略
- 名称:权限提升
- ID:TA0004
- 参考网址:https://attack.mitre.org/tactics/TA0004/
-
技术
- 名称:用于权限提升的利用
- ID:T1068
- 参考网址:https://attack.mitre.org/techniques/T1068/
-
策略
- 名称:初始访问
- ID:TA0001
- 参考网址:https://attack.mitre.org/tactics/TA0001/
-
技术
- 名称:利用面向公众的应用程序
- ID:T1190
- 参考网址:https://attack.mitre.org/techniques/T1190/