检测到潜在的缓冲区溢出攻击
编辑检测到潜在的缓冲区溢出攻击
编辑通过查询“检测到段错误”预构建规则信号索引,并使用阈值规则,在短时间内至少出现 100 个段错误警报,从而检测潜在的缓冲区溢出攻击。 短时间内出现大量段错误可能表明存在应用程序利用尝试。
规则类型: 阈值
规则索引:
- .alerts-security.*
严重性: 低
风险评分: 21
运行频率: 5 分钟
搜索索引起始时间: now-9m (日期数学格式, 另请参阅 额外回溯时间)
每次执行的最大警报数: 100
参考: 无
标签:
- 域: 端点
- 操作系统: Linux
- 用例: 威胁检测
- 战术: 权限提升
- 战术: 初步访问
- 用例: 漏洞
- 规则类型: 高阶规则
版本: 3
规则作者:
- Elastic
规则许可证: Elastic License v2
设置
编辑设置
此规则利用其他预构建检测规则的警报数据来正常工作。
依赖的 Elastic 检测规则启用
作为高阶规则(基于其他检测),此规则还需要安装并启用以下先决条件 Elastic 检测规则:- 检测到段错误 (5c81fc9d-1eae-437f-ba07-268472967013)
规则查询
编辑kibana.alert.rule.rule_id:"5c81fc9d-1eae-437f-ba07-268472967013" and host.os.type:linux and event.kind:signal
框架: MITRE ATT&CKTM
-
战术
- 名称: 权限提升
- ID: TA0004
- 参考 URL: https://attack.mitre.org/tactics/TA0004/
-
技术
- 名称: 利用漏洞提升权限
- ID: T1068
- 参考 URL: https://attack.mitre.org/techniques/T1068/
-
战术
- 名称: 初步访问
- ID: TA0001
- 参考 URL: https://attack.mitre.org/tactics/TA0001/
-
技术
- 名称: 利用面向公众的应用程序
- ID: T1190
- 参考 URL: https://attack.mitre.org/techniques/T1190/