› › ›

WBEM 路径异常进程执行

编辑

WBEM 路径异常进程执行

编辑

识别从 WBEM 路径运行的异常进程，在非与 WMI 相关的 Windows 进程之外并不常见。

规则类型: eql

规则索引:

logs-endpoint.events.process-*
logs-system.security*
winlogbeat-*
logs-windows.*
endgame-*

严重性: 低

风险评分: 21

每隔: 60 分钟

搜索索引自: now-119m (日期数学格式，另见 额外回溯时间)

每次执行的最大告警数: 100

参考文献: 无

标签:

域：端点
操作系统：Windows
用例：威胁检测
战术：防御规避
数据源：Elastic Defend
规则类型：BBR
数据源：Elastic Endgame
数据源：系统

版本: 104

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询

编辑

process where host.os.type == "windows" and event.type == "start" and
  process.executable : ("?:\\Windows\\System32\\wbem\\*", "?:\\Windows\\SysWow64\\wbem\\*") and
  not process.name : (
    "mofcomp.exe",
    "scrcons.exe",
    "unsecapp.exe",
    "wbemtest.exe",
    "winmgmt.exe",
    "wmiadap.exe",
    "wmiapsrv.exe",
    "wmic.exe",
    "wmiprvse.exe"
  )

框架: MITRE ATT&CK^TM

战术
- 名称：防御规避
- ID：TA0005
- 参考网址：https://attack.mitre.org/tactics/TA0005/
技术
- 名称：伪装
- ID：T1036
- 参考网址：https://attack.mitre.org/techniques/T1036/