权限盗用 - 已阻止 - Elastic Endgame

编辑

Elastic Endgame 已阻止权限盗用。点击 event.module 列中的 Elastic Endgame 图标或 rule.reference 列中的链接以获取更多信息。

规则类型: 查询

规则索引:

  • endgame-*

严重性: 中

风险评分: 47

运行频率: 10 分钟

搜索索引起始时间: now-15m ( 日期数学格式,另请参阅 额外回溯时间)

每次执行的最大告警数: 10000

参考: 无

标签:

  • 数据源: Elastic Endgame
  • 用例: 威胁检测
  • 策略: 权限提升

版本: 103

规则作者:

  • Elastic

规则许可证: Elastic License v2

设置

编辑

设置

此规则配置为生成比所有规则默认设置的每次运行 1000 个告警更多的 每次运行最大告警数。这是为了确保它可以捕获尽可能多的告警。

重要提示: 规则的 每次运行最大告警数 设置可能会被 xpack.alerting.rules.run.alerts.max Kibana 配置设置覆盖,该设置确定 Kibana 告警框架中任何规则生成的最大告警数。例如,如果 xpack.alerting.rules.run.alerts.max 设置为 1000,则即使此规则自身的 每次运行最大告警数 设置得更高,它仍然不会生成超过 1000 个告警。

要确保此规则可以生成其自身 每次运行最大告警数 设置中配置的尽可能多的告警,请相应地增加 xpack.alerting.rules.run.alerts.max 系统设置。

注意: 在无服务器项目中无法更改 xpack.alerting.rules.run.alerts.max

规则查询

编辑
event.kind:alert and event.module:endgame and endgame.metadata.type:prevention and (event.action:token_protection_event or endgame.event_subtype_full:token_protection_event)

框架: MITRE ATT&CKTM