远程文件传输激增
编辑远程文件传输激增
编辑机器学习作业检测到主机上共享的远程文件数量异常,表明可能存在横向移动活动。攻击者在获得网络访问权限后的主要目标之一是查找和泄露有价值的信息。攻击者可能会执行多次小规模传输以匹配网络中的正常出站活动,从而逃避检测。
规则类型: machine_learning
规则索引: 无
严重性: 低
风险评分: 21
每隔: 15 分钟
搜索索引时间范围: now-90m (日期数学格式,另请参阅 附加回溯时间)
每次执行的最大告警数: 100
参考资料:
标签:
- 用例:横向移动检测
- 规则类型:ML
- 规则类型:机器学习
- 战术:横向移动
版本: 4
规则作者:
- Elastic
规则许可证: Elastic License v2
设置
编辑设置
该规则需要安装横向移动检测集成资产,以及由 Elastic Defend 集成收集的文件和 Windows RDP 进程事件。
横向移动检测设置
横向移动检测集成通过识别文件和 Windows RDP 事件中的异常来检测横向移动活动。使用 Elastic 的异常检测功能检测异常。
先决条件
- 横向移动检测需要 Fleet。
- 要配置 Fleet 服务器,请参阅文档。
- 由Elastic Defend 集成收集的文件事件。
- 要安装 Elastic Defend,请参阅文档。
应执行以下步骤来安装与横向移动检测集成关联的资产
- 转到 Kibana 主页。在“管理”下,单击“集成”。
- 在查询栏中,搜索“横向移动检测”并选择该集成以查看有关它的更多详细信息。
- 按照安装部分中的说明进行操作。
- 要使此规则正常工作,请完成直至添加预配置的异常检测作业的说明。
框架: MITRE ATT&CKTM
-
战术
- 名称:横向移动
- ID:TA0008
- 参考 URL:https://attack.mitre.org/tactics/TA0008/
-
技术
- 名称:远程服务的利用
- ID:T1210
- 参考 URL:https://attack.mitre.org/techniques/T1210/