互联网上的 SMB(Windows 文件共享)活动

编辑

互联网上的 SMB(Windows 文件共享)活动

编辑

此规则检测可能指示使用 Windows 文件共享(也称为 SMB 或 CIFS)流量到互联网的网络事件。SMB 通常用于网络内在受信任的系统之间共享文件、打印机和其他系统资源。由于它经常成为威胁参与者作为初始访问或后门载体或用于数据泄露的目标和利用对象,因此几乎不应该直接暴露于互联网。

规则类型: 查询

规则索引:

  • packetbeat-*
  • auditbeat-*
  • filebeat-*
  • logs-network_traffic.*
  • logs-panw.panos*

严重性: 高

风险评分: 73

每隔: 5 分钟

搜索索引自: now-9m(日期数学格式,另请参阅 其他回溯时间

每次执行的最大告警数: 100

参考:

标签:

  • 策略:初始访问
  • 领域:端点
  • 用例:威胁检测
  • 数据源:PAN-OS

版本: 104

规则作者:

  • Elastic

规则许可证: Elastic License v2

规则查询

编辑
(event.dataset: network_traffic.flow or (event.category: (network or network_traffic))) and
  network.transport:tcp and (destination.port:(139 or 445) or event.dataset:zeek.smb) and
  source.ip:(
    10.0.0.0/8 or
    172.16.0.0/12 or
    192.168.0.0/16
  ) and
  not destination.ip:(
    10.0.0.0/8 or
    127.0.0.0/8 or
    169.254.0.0/16 or
    172.16.0.0/12 or
    192.0.0.0/24 or
    192.0.0.0/29 or
    192.0.0.8/32 or
    192.0.0.9/32 or
    192.0.0.10/32 or
    192.0.0.170/32 or
    192.0.0.171/32 or
    192.0.2.0/24 or
    192.31.196.0/24 or
    192.52.193.0/24 or
    192.168.0.0/16 or
    192.88.99.0/24 or
    224.0.0.0/4 or
    100.64.0.0/10 or
    192.175.48.0/24 or
    198.18.0.0/15 or
    198.51.100.0/24 or
    203.0.113.0/24 or
    240.0.0.0/4 or
    "::1" or
    "FE80::/10" or
    "FF00::/8"
  )

框架: MITRE ATT&CKTM