进程注入 - 已检测到 - Elastic Endgame
编辑进程注入 - 已检测到 - Elastic Endgame
编辑Elastic Endgame 检测到进程注入。点击事件模块列中的 Elastic Endgame 图标或规则引用列中的链接以获取更多信息。
规则类型: 查询
规则索引:
- endgame-*
严重性: 高
风险评分: 73
每隔: 10 分钟
搜索索引自: now-15m (日期数学格式,另见 额外回溯时间)
每次执行的最大告警数: 10000
参考: 无
标签:
- 数据源: Elastic Endgame
- 用例: 威胁检测
- 策略: 权限提升
版本: 103
规则作者:
- Elastic
规则许可证: Elastic License v2
设置
编辑设置
此规则配置为生成比所有规则设置的默认每运行 1000 个告警更多的每次运行的最大告警数。这是为了确保它捕获尽可能多的告警。
重要提示: 规则的每次运行的最大告警数设置可以被xpack.alerting.rules.run.alerts.max Kibana 配置设置替代,该设置决定 Kibana 告警框架中任何规则生成的最大告警数。例如,如果xpack.alerting.rules.run.alerts.max设置为 1000,则即使此规则自己的每次运行的最大告警数设置更高,它仍然只会生成最多 1000 个告警。
为确保此规则可以根据其自身的每次运行的最大告警数设置生成尽可能多的告警,请相应地增加xpack.alerting.rules.run.alerts.max系统设置。
注意: 在无服务器项目中无法更改xpack.alerting.rules.run.alerts.max。
规则查询
编辑event.kind:alert and event.module:endgame and endgame.metadata.type:detection and (event.action:kernel_shellcode_event or endgame.event_subtype_full:kernel_shellcode_event)
框架: MITRE ATT&CKTM
-
策略
- 名称: 权限提升
- ID: TA0004
- 参考网址: https://attack.mitre.org/tactics/TA0004/
-
技术
- 名称: 进程注入
- ID: T1055
- 参考网址: https://attack.mitre.org/techniques/T1055/