« 通过 Active Directory Web 服务进行潜在枚举 通过过滤器管理器进行潜在逃避 »
Elastic 文档 Elastic 安全解决方案 [8.16] 检测和告警 预构建规则参考

通过易受攻击的 MSI 修复进行潜在提权

编辑

通过易受攻击的 MSI 修复进行潜在提权

编辑

识别浏览器进程导航到 Microsoft 帮助页面后生成提升权限的进程的情况。这可能表示成功利用易受攻击的 Windows 安装程序修复设置进行权限提升。

规则类型: eql

规则索引:

  • winlogbeat-*
  • endgame-*
  • logs-endpoint.events.process-*
  • logs-windows.sysmon_operational-*
  • logs-sentinel_one_cloud_funnel.*
  • logs-m365_defender.event-*

严重程度: 高

风险评分: 73

每隔: 5 分钟

搜索索引时间范围: now-9m (日期数学格式,另请参阅 其他回溯时间)

每次执行的最大告警数: 100

参考:

标签:

  • 领域:端点
  • 操作系统:Windows
  • 用例:威胁检测
  • 战术:权限提升
  • 数据源:Elastic Endgame
  • 数据源:Elastic Defend
  • 数据源:Sysmon
  • 数据源:SentinelOne
  • 数据源:Microsoft Defender for Endpoint

版本: 202

规则作者:

  • Elastic

规则许可证: Elastic License v2

规则查询

编辑
process where event.type == "start" and host.os.type == "windows" and
 user.domain : ("NT AUTHORITY", "AUTORITE NT", "AUTORIDADE NT") and
 process.parent.name : ("chrome.exe", "msedge.exe", "brave.exe", "whale.exe", "browser.exe", "dragon.exe", "vivaldi.exe",
                        "opera.exe", "iexplore", "firefox.exe", "waterfox.exe", "iexplore.exe", "tor.exe", "safari.exe") and
 process.parent.command_line : "*go.microsoft.com*"

框架: MITRE ATT&CKTM

« 通过 Active Directory Web 服务进行潜在枚举 通过过滤器管理器进行潜在逃避 »