« Microsoft 365 用户被限制发送电子邮件 脚本进程启动 Microsoft Build Engine »
Elastic 文档 Elastic Security Solution [8.17] 检测和警报 预构建规则参考

Microsoft Build Engine 启动了异常进程

编辑

Microsoft Build Engine 启动了异常进程

编辑

MSBuild(Microsoft Build Engine)的实例启动了一个 PowerShell 脚本或 Visual C# 命令行编译器。这种技术有时被用来使用 Build Engine 部署恶意负载。

规则类型: new_terms

规则索引:

  • winlogbeat-*
  • logs-endpoint.events.process-*
  • logs-windows.*
  • logs-system.security*

严重性: 低

风险评分: 21

运行频率: 5 分钟

搜索索引时间范围: now-9m (Date Math 格式,另请参阅 额外回溯时间)

每次执行的最大警报数: 100

参考:

标签:

  • 域: 端点
  • 操作系统: Windows
  • 用例: 威胁检测
  • 战术: 防御规避
  • 战术: 执行
  • 数据源: Elastic Defend
  • 数据源: 系统

版本: 314

规则作者:

  • Elastic

规则许可: Elastic License v2

设置

编辑

设置

如果在版本 <8.2 的非 elastic-agent 索引(如 beats)上启用 EQL 规则,事件将不会定义 event.ingested,并且 EQL 规则的默认回退直到 8.2 版本才添加。因此,为了使此规则有效工作,用户需要添加自定义摄取管道,以将 event.ingested 填充为 @timestamp。有关添加自定义摄取管道的更多详细信息,请参阅 - https://elastic.ac.cn/guide/en/fleet/current/data-streams-pipeline-tutorial.html

规则查询

编辑
host.os.type:windows and event.category:process and event.type:start and process.parent.name:("MSBuild.exe" or "msbuild.exe") and
process.name:("csc.exe" or "iexplore.exe" or "powershell.exe")

框架: MITRE ATT&CKTM

« Microsoft 365 用户被限制发送电子邮件 脚本进程启动 Microsoft Build Engine »