26/TCP 端口上的 SMTP
编辑26/TCP 端口上的 SMTP
编辑此规则检测可能指示在 TCP 26 端口上使用 SMTP 的事件。此端口通常被几种流行的邮件传输代理用于与默认 SMTP 端口 25 冲突。此端口也被名为 BadPatch 的恶意软件家族用于 Windows 系统的命令和控制。
规则类型:查询
规则索引:
- packetbeat-*
- auditbeat-*
- filebeat-*
- logs-network_traffic.*
- logs-panw.panos*
严重性:低
风险评分: 21
每:5 分钟运行一次
搜索索引自:now-9m (日期数学格式,另见 额外回溯时间)
每次执行的最大告警数: 100
参考资料:
标签:
- 策略:命令和控制
- 领域:端点
- 用例:威胁检测
- 数据源:PAN-OS
版本: 105
规则作者:
- Elastic
规则许可证:Elastic License v2
规则查询
编辑(event.dataset: (network_traffic.flow or zeek.smtp) or event.category:(network or network_traffic)) and network.transport:tcp and destination.port:26
框架:MITRE ATT&CKTM
-
策略
- 名称:命令和控制
- ID:TA0011
- 参考网址:https://attack.mitre.org/tactics/TA0011/
-
策略
- 名称:数据泄露
- ID:TA0010
- 参考网址:https://attack.mitre.org/tactics/TA0010/
-
技术
- 名称:通过替代协议进行数据泄露
- ID:T1048
- 参考网址:https://attack.mitre.org/techniques/T1048/