通过本地 Kerberos 身份验证创建服务
编辑通过本地 Kerberos 身份验证创建服务
编辑识别可疑的本地成功登录事件,其中登录包为 Kerberos,远程地址设置为 localhost,随后来自同一 LogonId 的服务创建。这可能表示尝试利用 Kerberos 中继攻击变体,该变体可用于从加入域的用户本地提升权限到本地系统权限。
规则类型: eql
规则索引:
- winlogbeat-*
- logs-system.*
- logs-windows.*
严重性: 高
风险评分: 73
每隔: 5m
搜索索引自: now-9m (日期数学格式,另请参见 额外回溯时间)
每次执行的最大告警数: 100
参考:
标签:
- 域:端点
- 操作系统:Windows
- 用例:威胁检测
- 战术:权限提升
- 战术:凭据访问
- 用例:Active Directory 监控
- 数据源:Active Directory
- 数据源:系统
版本: 206
规则作者:
- Elastic
规则许可证: Elastic License v2
规则查询
编辑sequence by winlog.computer_name with maxspan=5m [authentication where /* event 4624 need to be logged */ event.action == "logged-in" and event.outcome == "success" and /* authenticate locally using relayed kerberos Ticket */ winlog.event_data.AuthenticationPackageName :"Kerberos" and winlog.logon.type == "Network" and cidrmatch(source.ip, "127.0.0.0/8", "::1") and source.port > 0] by winlog.event_data.TargetLogonId [any where /* event 4697 need to be logged */ event.action : "service-installed"] by winlog.event_data.SubjectLogonId
框架: MITRE ATT&CKTM
-
战术
- 名称:权限提升
- ID:TA0004
- 参考网址:https://attack.mitre.org/tactics/TA0004/
-
技术
- 名称:创建或修改系统进程
- ID:T1543
- 参考网址:https://attack.mitre.org/techniques/T1543/
-
子技术
- 名称:Windows 服务
- ID:T1543.003
- 参考网址:https://attack.mitre.org/techniques/T1543/003/
-
战术
- 名称:凭据访问
- ID:TA0006
- 参考网址:https://attack.mitre.org/tactics/TA0006/
-
技术
- 名称:窃取或伪造 Kerberos 票据
- ID:T1558
- 参考网址:https://attack.mitre.org/techniques/T1558/