› › ›

Linux 剪贴板活动检测

编辑

Linux 剪贴板活动检测

编辑

此规则监控 Unix 系统上最常用的剪贴板实用程序被不常见的进程组领导者使用的情况。攻击者可能会从用户在应用程序内部或之间复制的信息中收集存储在剪贴板中的数据。

规则类型: new_terms

规则索引:

logs-endpoint.events.*
endgame-*
auditbeat-*
logs-auditd_manager.auditd-*

严重性: 低

风险评分: 21

运行频率: 5 分钟

搜索索引起始时间: now-9m (日期数学格式，另请参阅 额外回溯时间)

每次执行的最大告警数: 100

参考: 无

标签:

域: 端点
操作系统: Linux
使用场景: 威胁检测
战术: 收集
数据源: Elastic Defend
数据源: Elastic Endgame
数据源: Auditd 管理器

版本: 5

规则作者:

Elastic

规则许可: Elastic License v2

规则查询

编辑

event.category:process and host.os.type:"linux" and event.type:"start" and
event.action:("exec" or "exec_event" or "executed" or "process_started") and
process.name:("xclip" or "xsel" or "wl-clipboard" or "clipman" or "copyq") and
not process.parent.name:("bwrap" or "micro")

框架: MITRE ATT&CK^TM

战术
- 名称: 收集
- ID: TA0009
- 参考 URL: https://attack.mitre.org/tactics/TA0009/
技术
- 名称: 剪贴板数据
- ID: T1115
- 参考 URL: https://attack.mitre.org/techniques/T1115/

« LaunchDaemon 创建或修改和立即加载 Linux 群组创建 »