› › ›

潜在网络共享发现

编辑

潜在网络共享发现

编辑

攻击者可能会寻找远程系统上共享的文件夹和驱动器，以识别信息收集的来源，作为收集的前奏，并识别横向移动的潜在目标系统。

规则类型: eql

规则索引:

winlogbeat-*
logs-windows.*
logs-system.security*

严重性: 低

风险评分: 21

每隔: 60m

搜索索引时间范围: now-119m (日期数学格式，另请参阅 额外回溯时间)

每次执行的最大告警数: 100

参考: 无

标签:

域: 端点
操作系统: Windows
用例: 威胁检测
战术: 发现
战术: 收集
规则类型: BBR
数据源: 系统

版本: 106

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询

编辑

sequence by user.name, source.port, source.ip with maxspan=15s
 [file where event.action == "network-share-object-access-checked" and
  winlog.event_data.ShareName in ("\\\\*\\ADMIN$", "\\\\*\\C$") and
  source.ip != null and source.ip != "0.0.0.0" and source.ip != "::1" and source.ip != "::" and source.ip != "127.0.0.1"]
 [file where event.action == "network-share-object-access-checked" and
  winlog.event_data.ShareName in ("\\\\*\\ADMIN$", "\\\\*\\C$") and
  source.ip != null and source.ip != "0.0.0.0" and source.ip != "::1" and source.ip != "::" and source.ip != "127.0.0.1"]

框架: MITRE ATT&CK^TM

战术
- 名称: 发现
- ID: TA0007
- 参考链接: https://attack.mitre.org/tactics/TA0007/
技术
- 名称: 网络共享发现
- ID: T1135
- 参考链接: https://attack.mitre.org/techniques/T1135/
战术
- 名称: 收集
- ID: TA0009
- 参考链接: https://attack.mitre.org/tactics/TA0009/
技术
- 名称: 来自网络共享驱动器的数据
- ID: T1039
- 参考链接: https://attack.mitre.org/techniques/T1039/

« 来自主机的潜在网络扫描 » 检测到潜在网络扫描 »