› › ›

统计模型检测到C2信标活动

编辑

统计模型检测到C2信标活动

编辑

统计模型已识别出命令与控制 (C2) 信标活动。信标活动可以帮助攻击者与他们的C2服务器保持隐秘通信，接收指令和有效负载，窃取数据并在网络中保持持久性。

规则类型: 查询

规则索引:

ml_beaconing.all

严重性: 低

风险评分: 21

运行频率: 5分钟

搜索索引自: now-1h (日期数学格式，另见 额外回溯时间)

每次执行的最大告警数: 100

参考资料:

标签:

领域: 网络
用例: C2信标检测
策略: 命令与控制

版本: 6

规则作者:

Elastic

规则许可证: Elastic License v2

设置

编辑

设置

该规则需要安装网络信标识别集成资源，以及由Elastic Defend或网络数据包捕获集成收集的网络日志。

网络信标识别设置

网络信标识别集成包含一个统计框架，用于识别网络日志中的C2信标活动。

先决条件

网络信标识别需要Fleet。
要配置Fleet服务器，请参考文档。
由Elastic Defend或网络数据包捕获集成收集的网络事件。
要安装Elastic Defend，请参考文档。
要将网络数据包捕获集成添加到Elastic Agent策略，请参考本指南。

应执行以下步骤以安装与网络信标识别集成相关的资源

转到Kibana主页。在管理下，单击集成。
在查询栏中，搜索网络信标识别并选择集成以查看更多详细信息。
按照安装部分下的说明操作。

规则查询

编辑

beacon_stats.is_beaconing: true and
not process.name: ("WaAppAgent.exe" or "metricbeat.exe" or "packetbeat.exe" or "WindowsAzureGuestAgent.exe" or "HealthService.exe" or "Widgets.exe" or "lsass.exe" or "msedgewebview2.exe" or
                   "MsMpEng.exe" or "OUTLOOK.EXE" or "msteams.exe" or "FileSyncHelper.exe" or "SearchProtocolHost.exe" or "Creative Cloud.exe" or "ms-teams.exe" or "ms-teamsupdate.exe" or
                   "curl.exe" or "rundll32.exe" or "MsSense.exe" or "wermgr.exe" or "java" or "olk.exe" or "iexplore.exe" or "NetworkManager" or "packetbeat" or "Ssms.exe" or "NisSrv.exe" or
                   "gamingservices.exe" or "appidcertstorecheck.exe" or "POWERPNT.EXE" or "miiserver.exe" or "Grammarly.Desktop.exe" or "SnagitEditor.exe" or "CRWindowsClientService.exe" or
                   "agentbeat" or "dnf" or "yum" or "apt"
                  )

框架: MITRE ATT&CK^TM

策略
- 名称: 命令与控制
- ID: TA0011
- 参考网址: https://attack.mitre.org/tactics/TA0011/
技术
- 名称: 网络服务
- ID: T1102
- 参考网址: https://attack.mitre.org/techniques/T1102/
子技术
- 名称: 双向通信
- ID: T1102.002
- 参考网址: https://attack.mitre.org/techniques/T1102/002/

« 启动/登录脚本添加到组策略对象统计模型检测到高置信度的C2信标活动 »