Microsoft Exchange 传输代理安装脚本

编辑

识别与 Microsoft Exchange 传输代理安装相关的 Cmdlet 和方法的使用。攻击者可能会利用恶意的 Microsoft Exchange 传输代理来执行响应攻击者定义的标准的任务,从而建立持久性。

规则类型: 查询

规则索引:

  • winlogbeat-*
  • logs-windows.powershell*

严重性: 低

风险评分: 21

运行频率: 60分钟

搜索索引时间范围: now-119m (日期数学格式,另请参阅 额外的回溯时间)

每次执行的最大警报数: 100

参考: 无

标签:

  • 域: 端点
  • 操作系统: Windows
  • 用例: 威胁检测
  • 战术: 持久性
  • 数据源: PowerShell 日志
  • 规则类型: BBR

版本: 107

规则作者:

  • Elastic

规则许可证: Elastic License v2

设置

编辑

设置

必须启用PowerShell 脚本块日志记录日志记录策略。使用高级审核配置实施日志记录策略的步骤

Computer Configuration >
Administrative Templates >
Windows PowerShell >
Turn on PowerShell Script Block Logging (Enable)

通过注册表实施日志记录策略的步骤

reg add "hklm\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" /v EnableScriptBlockLogging /t REG_DWORD /d 1

规则查询

编辑
event.category: "process" and host.os.type:windows and
  powershell.file.script_block_text : (
    (
    "Install-TransportAgent" or
    "Enable-TransportAgent"
    )
  ) and
  not user.id : "S-1-5-18" and
  not powershell.file.script_block_text : (
    "'Install-TransportAgent', 'Invoke-MonitoringProbe', 'Mount-Database', 'Move-ActiveMailboxDatabase'," or
    "'Enable-TransportAgent', 'Enable-TransportRule', 'Export-ActiveSyncLog', 'Export-AutoDiscoverConfig'," or
    ("scriptCmd.GetSteppablePipeline" and "ForwardHelpTargetName Install-TransportAgent")
  )

框架: MITRE ATT&CKTM