凭据转储 - 已阻止 - Elastic Endgame
编辑凭据转储 - 已阻止 - Elastic Endgame
编辑Elastic Endgame 阻止了凭据转储。单击 event.module 列中的 Elastic Endgame 图标或 rule.reference 列中的链接以获取更多信息。
规则类型:查询
规则索引:
- endgame-*
严重性:中
风险评分: 47
运行频率:每 10 分钟
搜索索引的时间范围:now-15m(日期数学格式,另请参阅 附加回溯时间)
每次执行的最大警报数: 10000
参考:无
标签:
- 数据源:Elastic Endgame
- 用例:威胁检测
- 战术:凭据访问
版本: 103
规则作者:
- Elastic
规则许可证:Elastic License v2
设置
编辑设置
此规则配置为生成比为所有规则设置的默认每运行 1000 个警报更多的 每次运行的最大警报数。这是为了确保它尽可能多地捕获警报。
重要提示:规则的 每次运行的最大警报数 设置可能会被 xpack.alerting.rules.run.alerts.max Kibana 配置设置覆盖,该设置决定了 Kibana 警报框架中任何规则生成的最大警报数。例如,如果 xpack.alerting.rules.run.alerts.max 设置为 1000,则即使此规则自身的 每次运行的最大警报数 设置得更高,它仍然只会生成不超过 1000 个警报。
为了确保此规则能够生成与其自身的 每次运行的最大警报数 设置中配置的尽可能多的警报,请相应地增加 xpack.alerting.rules.run.alerts.max 系统设置。
注意:在无服务器项目中无法更改 xpack.alerting.rules.run.alerts.max。
规则查询
编辑event.kind:alert and event.module:endgame and endgame.metadata.type:prevention and (event.action:cred_theft_event or endgame.event_subtype_full:cred_theft_event)
框架:MITRE ATT&CKTM
-
战术
- 名称:凭据访问
- ID:TA0006
- 参考 URL:https://attack.mitre.org/tactics/TA0006/
-
技术
- 名称:操作系统凭据转储
- ID:T1003
- 参考 URL:https://attack.mitre.org/techniques/T1003/
-
子技术
- 名称:LSASS 内存
- ID:T1003.001
- 参考 URL:https://attack.mitre.org/techniques/T1003/001/