通过 PssCaptureSnapShot 潜在的 LSASS 内存转储

编辑

通过 PssCaptureSnapShot 潜在的 LSASS 内存转储

编辑

识别通过 PssCaptureSnapShot 对 LSASS 句柄的可疑访问，其中同一个进程执行两次连续的进程访问，并针对 LSASS 的两个不同实例。这可能表明试图逃避检测并转储 LSASS 内存以获取凭据访问。

规则类型: 阈值

规则索引:

winlogbeat-*
logs-windows.sysmon_operational-*

严重性: 高

风险评分: 73

每隔: 5m

搜索索引自: now-9m (日期数学格式，另请参见 额外回溯时间)

每次执行的最大告警数: 100

参考:

标签:

域：端点
操作系统：Windows
用例：威胁检测
战术：凭据访问
数据源：Sysmon

版本: 310

规则作者:

Elastic

规则许可证: Elastic License v2

设置

编辑

设置

这仅适用于使用 Elastic Agent 7.14+ 的数据源，因为在此版本之前的版本将缺少阈值规则基数功能。

规则查询

编辑

event.category:process and host.os.type:windows and event.code:10 and
 winlog.event_data.TargetImage:("C:\\Windows\\system32\\lsass.exe" or
                                 "c:\\Windows\\system32\\lsass.exe" or
                                 "c:\\Windows\\System32\\lsass.exe")

框架: MITRE ATT&CK^TM

战术
- 名称：凭据访问
- ID：TA0006
- 参考网址：https://attack.mitre.org/tactics/TA0006/
技术
- 名称：操作系统凭据转储
- ID：T1003
- 参考网址：https://attack.mitre.org/techniques/T1003/
子技术
- 名称：LSASS 内存
- ID：T1003.001
- 参考网址：https://attack.mitre.org/techniques/T1003/001/

« 通过 PssCaptureSnapShot 潜在的 LSASS 克隆创建通过 SMB 共享潜在的横向工具传输 »