› › ›

通过 PowerShell 添加新的 ActiveSyncAllowedDeviceID

编辑

通过 PowerShell 添加新的 ActiveSyncAllowedDeviceID

编辑

识别使用 Exchange PowerShell cmdlet Set-CASMailbox 添加新的 ActiveSync 允许设备的行为。攻击者可能会以用户电子邮件为目标，来收集敏感信息。

规则类型: eql

规则索引:

logs-endpoint.events.process-*
winlogbeat-*
logs-windows.forwarded*
logs-windows.sysmon_operational-*
endgame-*
logs-system.security*
logs-m365_defender.event-*
logs-sentinel_one_cloud_funnel.*
logs-crowdstrike.fdr*

严重程度: 中

风险评分: 47

运行频率: 5 分钟

搜索索引时间范围: now-9m（日期数学格式，另请参阅 额外回溯时间）

每次执行的最大警报数: 100

参考:

标签:

域：端点
操作系统：Windows
用例：威胁检测
策略：持久化
策略：执行
数据源：Elastic Endgame
数据源：Elastic Defend
数据源：系统
数据源：Microsoft Defender for Endpoint
数据源：Sysmon
数据源：SentinelOne
数据源：Crowdstrike

版本: 311

规则作者:

Elastic

规则许可: Elastic License v2

规则查询

编辑

process where host.os.type == "windows" and event.type == "start" and
  process.name: ("powershell.exe", "pwsh.exe", "powershell_ise.exe") and process.args : "Set-CASMailbox*ActiveSyncAllowedDeviceIDs*"

框架: MITRE ATT&CK^TM

策略
- 名称：持久化
- ID: TA0003
- 参考 URL: https://attack.mitre.org/tactics/TA0003/
技术
- 名称：账户操纵
- ID: T1098
- 参考 URL: https://attack.mitre.org/techniques/T1098/
子技术
- 名称：额外的电子邮件委派权限
- ID: T1098.002
- 参考 URL: https://attack.mitre.org/techniques/T1098/002/
策略
- 名称：执行
- ID: TA0002
- 参考 URL: https://attack.mitre.org/tactics/TA0002/
技术
- 名称：命令和脚本解释器
- ID: T1059
- 参考 URL: https://attack.mitre.org/techniques/T1059/
子技术
- 名称：PowerShell
- ID: T1059.001
- 参考 URL: https://attack.mitre.org/techniques/T1059/001/

« 已禁用网络级身份验证 (NLA) 新 GitHub 应用已安装 »