远程计算机帐户 DnsHostName 更新
编辑远程计算机帐户 DnsHostName 更新
编辑识别对计算机帐户的 DnsHostName 属性进行的远程更新。如果设置的新值为有效的域控制器 DNS 主机名,并且主题计算机名不是域控制器,则很可能是在准备利用 CVE-2022-26923,试图将权限从标准域用户提升到域管理员权限。
规则类型: eql
规则索引:
- winlogbeat-*
- logs-system.*
- logs-windows.*
严重性: 高
风险评分: 73
每隔: 5m 运行
搜索索引时间范围: now-9m (日期数学格式,另请参阅 额外回溯时间)
每次执行的最大告警数: 100
参考:
标签:
- 域:端点
- 操作系统:Windows
- 用例:威胁检测
- 战术:权限提升
- 用例:Active Directory 监控
- 数据源:Active Directory
- 用例:漏洞
- 数据源:系统
版本: 208
规则作者:
- Elastic
规则许可证: Elastic License v2
规则查询
编辑iam where event.action == "changed-computer-account" and user.id : ("S-1-5-21-*", "S-1-12-1-*") and
/* if DnsHostName value equal a DC DNS hostname then it's highly suspicious */
winlog.event_data.DnsHostName : "??*" and
/* exclude FPs where DnsHostName starts with the ComputerName that was changed */
not startswith~(winlog.event_data.DnsHostName, substring(winlog.event_data.TargetUserName, 0, length(winlog.event_data.TargetUserName) - 1))
框架: MITRE ATT&CKTM
-
战术
- 名称:权限提升
- ID:TA0004
- 参考 URL:https://attack.mitre.org/tactics/TA0004/
-
技术
- 名称:用于权限提升的漏洞利用
- ID:T1068
- 参考 URL:https://attack.mitre.org/techniques/T1068/
-
技术
- 名称:有效帐户
- ID:T1078
- 参考 URL:https://attack.mitre.org/techniques/T1078/
-
子技术
- 名称:域帐户
- ID:T1078.002
- 参考 URL:https://attack.mitre.org/techniques/T1078/002/