漏洞利用 - 检测到 - Elastic Endgame
编辑漏洞利用 - 检测到 - Elastic Endgame
编辑Elastic Endgame 检测到漏洞利用。请点击 event.module 列中的 Elastic Endgame 图标或 rule.reference 列中的链接以获取更多信息。
规则类型: 查询
规则索引:
- endgame-*
严重程度: 高
风险评分: 73
运行频率: 10 分钟
搜索索引时间范围: now-15m (日期数学格式,另请参阅 额外的回溯时间)
每次执行的最大警报数: 10000
参考: 无
标签:
- 数据源: Elastic Endgame
- 用例: 威胁检测
- 战术: 执行
- 战术: 权限提升
版本: 103
规则作者:
- Elastic
规则许可证: Elastic License v2
设置
编辑设置
此规则配置为生成比所有规则默认设置的每次运行 1000 个警报更多的每次运行的最大警报数。 这是为了确保它捕获尽可能多的警报。
重要提示:规则的 每次运行的最大警报数 设置可能会被 xpack.alerting.rules.run.alerts.max Kibana 配置设置所取代,该设置确定 Kibana 警报框架中任何规则生成的最大警报数。 例如,如果 xpack.alerting.rules.run.alerts.max 设置为 1000,则即使此规则自身的每次运行的最大警报数设置得更高,它仍然不会生成超过 1000 个警报。
为了确保此规则能够按照其自身的 每次运行的最大警报数 设置配置生成尽可能多的警报,请相应地增加 xpack.alerting.rules.run.alerts.max 系统设置。
注意:在无服务器项目中无法更改 xpack.alerting.rules.run.alerts.max。
规则查询
编辑event.kind:alert and event.module:endgame and endgame.metadata.type:detection and (event.action:exploit_event or endgame.event_subtype_full:exploit_event)
框架: MITRE ATT&CKTM
-
战术
- 名称: 执行
- ID: TA0002
- 参考 URL: https://attack.mitre.org/tactics/TA0002/
-
战术
- 名称: 权限提升
- ID: TA0004
- 参考 URL: https://attack.mitre.org/tactics/TA0004/
-
技术
- 名称: 利用漏洞进行权限提升
- ID: T1068
- 参考 URL: https://attack.mitre.org/techniques/T1068/