› › ›

罕见的 SMB 互联网连接

编辑

罕见的 SMB 互联网连接

编辑

此规则检测通过 SMB 协议进行的罕见互联网网络连接。SMB 通常用于通过流氓 UNC 路径注入泄漏 NTLM 凭据。

规则类型: new_terms

规则索引:

logs-endpoint.events.network-*
winlogbeat-*
logs-windows.sysmon_operational-*
endgame-*
logs-m365_defender.event-*
logs-sentinel_one_cloud_funnel.*

严重性: 中等

风险评分: 47

每隔: 5 分钟

搜索索引自: now-9m (日期数学格式，另请参阅 额外回溯时间)

每次执行的最大警报数: 100

参考:

https://www.securify.nl/en/blog/living-off-the-land-stealing-netntlm-hashes/

标签:

域：端点
操作系统：Windows
用例：威胁检测
策略：渗透
数据源：Elastic Endgame
数据源：Elastic Defend
数据源：Microsoft Defender for Endpoint
数据源：Sysmon
数据源：SentinelOne

版本: 208

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询

编辑

event.category:network and host.os.type:windows and process.pid:4 and
  network.transport:tcp and destination.port:(139 or 445) and
  source.ip:(
    10.0.0.0/8 or
    172.16.0.0/12 or
    192.168.0.0/16
  ) and
  not destination.ip:(
    10.0.0.0/8 or
    127.0.0.0/8 or
    169.254.0.0/16 or
    172.16.0.0/12 or
    192.0.0.0/24 or
    192.0.0.0/29 or
    192.0.0.8/32 or
    192.0.0.9/32 or
    192.0.0.10/32 or
    192.0.0.170/32 or
    192.0.0.171/32 or
    192.0.2.0/24 or
    192.31.196.0/24 or
    192.52.193.0/24 or
    192.168.0.0/16 or
    192.88.99.0/24 or
    224.0.0.0/4 or
    100.64.0.0/10 or
    192.175.48.0/24 or
    198.18.0.0/15 or
    198.51.100.0/24 or
    203.0.113.0/24 or
    240.0.0.0/4 or
    "::1" or
    "FE80::/10" or
    "FF00::/8"
  )

框架: MITRE ATT&CK^TM

策略
- 名称：渗透
- ID：TA0010
- 参考 URL：https://attack.mitre.org/tactics/TA0010/
技术
- 名称：通过替代协议渗透
- ID：T1048
- 参考 URL：https://attack.mitre.org/techniques/T1048/

« 罕见的 AWS 错误代码罕见的用户登录 »