异常 Windows 用户名

分类和分析

调查异常 Windows 用户

此规则的检测警报表示 Windows 用户名存在罕见且异常的活动。以下是可能的一些调查途径：- 考虑用户名字段标识的用户。此程序是否属于在该主机上运行此程序的用户的预期工作流程的一部分？这是否可能与偶尔的故障排除或支持活动有关？- 检查用户活动的历史记录。如果此用户最近才出现，它可能是新软件包的服务帐户。如果它具有持续的节奏（例如，如果它每月或每季度运行一次），它可能是每月或每季度业务流程的一部分。- 检查进程参数、标题和工作目录。这些信息可能提供有关程序来源或用户执行的任务性质的指示。- 对父进程进行相同的考虑。如果父进程是合法的系统实用程序或服务，这可能与软件更新或系统管理有关。如果父进程是面向用户的程序（如 Office 应用程序），则此进程可能更可疑。

设置

此规则需要安装相关的机器学习作业，以及来自以下集成之一的数据：- Elastic Defend - Windows

异常检测设置

启用规则后，相关的机器学习作业将自动启动。您可以在检测规则的“定义”面板下查看链接的机器学习作业。如果作业因错误而未启动，则必须解决此问题才能使作业成功启动。有关设置异常检测作业的更多详细信息，请参阅辅助指南。

Elastic Defend 集成设置

Elastic Defend 使用 Fleet 集成到 Elastic Agent。配置后，集成允许 Elastic Agent 监控主机上的事件并将数据发送到 Elastic Security 应用程序。

先决条件

应按顺序执行以下步骤，以将 Elastic Defend 集成添加到您的系统

Windows 集成设置

Windows 集成允许您监控 Windows 操作系统、服务、应用程序等等。

应按顺序执行以下步骤，以将 Elastic Agent 系统集成“windows”添加到您的系统

框架: MITRE ATT&CK^TM