使用内置工具查询注册表
编辑使用内置工具查询注册表
编辑此规则识别可用于查询 Windows 注册表的命令的执行。攻击者可能会查询注册表以获取有关主机的态势感知信息,例如已安装的安全软件、程序和设置。
规则类型: new_terms
规则索引:
- logs-endpoint.events.process-*
严重性: 低
风险评分: 21
每运行一次: 24 小时
搜索索引时间范围: now-24h (日期数学格式,另请参见 其他回溯时间)
每次执行的最大告警数: 100
参考: 无
标签:
- 域:端点
- 操作系统:Windows
- 用例:威胁检测
- 战术:发现
- 规则类型:BBR
- 数据源:Elastic Defend
版本: 105
规则作者:
- Elastic
规则许可证: Elastic License v2
规则查询
编辑host.os.type:windows and event.category:process and event.type:start and
(
(process.name.caseless:"reg.exe" and process.args:"query") or
(process.name.caseless:("powershell.exe" or "powershell_ise.exe" or "pwsh.exe") and
process.args:(
("get-childitem" or "Get-ChildItem" or "gci" or "dir" or "ls" or
"get-item" or "Get-Item" or "gi" or
"get-itemproperty" or "Get-ItemProperty" or "gp") and
("hkcu" or "HKCU" or "hkey_current_user" or "HKEY_CURRENT_USER" or
"hkey_local_machine" or "HKEY_LOCAL_MACHINE" or
"hklm" or "HKLM" or registry\:\:*)
)
)
) and
not process.command_line : (
"C:\\Windows\\system32\\reg.exe query hklm\\software\\microsoft\\windows\\softwareinventorylogging /v collectionstate /reg:64" or
"reg query \"HKLM\\Software\\WOW6432Node\\Npcap\" /ve "
)
框架: MITRE ATT&CKTM
-
战术
- 名称:发现
- ID:TA0007
- 参考网址:https://attack.mitre.org/tactics/TA0007/
-
技术
- 名称:查询注册表
- ID:T1012
- 参考网址:https://attack.mitre.org/techniques/T1012/