可疑打印后台处理程序服务可执行文件创建

检测试图利用与打印后台处理程序服务相关的提权漏洞的尝试。有关更多信息，请参阅以下 CVE：CVE-2020-1048、CVE-2020-1337 和 CVE-2020-1300，并验证受影响的系统是否已修补。

规则类型: new_terms

规则索引:

严重性: 低

风险评分: 21

每隔: 5 分钟

搜索索引自: now-9m (日期数学格式，另请参阅 额外回溯时间)

每次执行的最大告警数: 100

参考:

标签:

版本: 314

规则作者:

规则许可证: Elastic License v2

event.category : "file" and host.os.type : "windows" and event.type : "creation" and
  process.name : "spoolsv.exe" and file.extension : "dll"