Elastic Agent 服务终止
编辑Elastic Agent 服务终止
编辑识别出 Elastic 端点代理已停止且不再主机上运行。攻击者可能会尝试禁用安全监控工具,以试图在入侵期间逃避检测或防御能力。这也可能表明代理本身存在问题,应予以解决,以确保防御措施恢复到稳定状态。
规则类型: eql
规则索引:
- logs-endpoint.events.*
严重性: 中
风险评分: 47
运行频率: 5 分钟
搜索索引范围: now-9m ( 日期数学格式,另请参阅 其他回溯时间 )
每次执行的最大警报数: 100
参考资料: 无
标签:
- 域:端点
- 操作系统:Linux
- 操作系统:Windows
- 操作系统:macOS
- 用例:威胁检测
- 战术:防御规避
- 数据源:Elastic Defend
版本: 107
规则作者:
- Elastic
规则许可证: Elastic License v2
设置
编辑设置
如果在版本 <8.2 的非 elastic-agent 索引(例如 beats)上启用 EQL 规则,则事件将不会定义 event.ingested,并且直到 8.2 版本才添加 EQL 规则的默认回退。因此,为了使此规则有效工作,用户需要添加自定义摄取管道,以将 event.ingested 填充为 @timestamp。 有关添加自定义摄取管道的更多详细信息,请参考 - https://elastic.ac.cn/guide/en/fleet/current/data-streams-pipeline-tutorial.html
规则查询
编辑process where
/* net, sc or wmic stopping or deleting Elastic Agent on Windows */
(event.type == "start" and
process.name : ("net.exe", "sc.exe", "wmic.exe","powershell.exe","taskkill.exe","PsKill.exe","ProcessHacker.exe") and
process.args : ("stopservice","uninstall", "stop", "disabled","Stop-Process","terminate","suspend") and
process.args : ("elasticendpoint", "Elastic Agent","elastic-agent","elastic-endpoint"))
or
/* service or systemctl used to stop Elastic Agent on Linux */
(event.type == "end" and
(process.name : ("systemctl", "service") and
process.args : "elastic-agent" and
process.args : ("stop", "disable"))
or
/* pkill , killall used to stop Elastic Agent on Linux */
( event.type == "end" and process.name : ("pkill", "killall") and process.args: "elastic-agent")
or
/* Unload Elastic Agent extension on MacOS */
(process.name : "kextunload" and
process.args : "com.apple.iokit.EndpointSecurity" and
event.action : "end"))
框架: MITRE ATT&CKTM
-
战术
- 名称:防御规避
- ID:TA0005
- 参考 URL:https://attack.mitre.org/tactics/TA0005/
-
技术
- 名称:削弱防御
- ID:T1562
- 参考 URL:https://attack.mitre.org/techniques/T1562/
-
子技术
- 名称:禁用或修改工具
- ID:T1562.001
- 参考 URL:https://attack.mitre.org/techniques/T1562/001/