通过 PssCaptureSnapShot 潜在的 LSASS 内存转储

编辑

通过 PssCaptureSnapShot 潜在的 LSASS 内存转储

编辑

识别通过 PssCaptureSnapShot 可疑访问 LSASS 句柄的情况，其中同一进程执行两次连续的进程访问，并且目标是 LSASS 的两个不同实例。这可能表明试图逃避检测并转储 LSASS 内存以进行凭据访问。

规则类型: 阈值

规则索引:

winlogbeat-*
logs-windows.sysmon_operational-*

严重性: 高

风险评分: 73

运行频率: 5 分钟

搜索索引的时间范围: now-9m (日期数学格式，另请参阅 额外的回溯时间)

每次执行的最大警报数: 100

参考:

标签:

域: 端点
操作系统: Windows
用例: 威胁检测
战术: 凭据访问
数据源: Sysmon

版本: 310

规则作者:

Elastic

规则许可证: Elastic License v2

设置

编辑

设置

此规则仅适用于使用 Elastic Agent 7.14+ 的数据源，因为此版本之前的版本将缺少阈值规则基数功能。

规则查询

编辑

event.category:process and host.os.type:windows and event.code:10 and
 winlog.event_data.TargetImage:("C:\\Windows\\system32\\lsass.exe" or
                                 "c:\\Windows\\system32\\lsass.exe" or
                                 "c:\\Windows\\System32\\lsass.exe")

框架: MITRE ATT&CK^TM

战术
- 名称: 凭据访问
- ID: TA0006
- 参考 URL: https://attack.mitre.org/tactics/TA0006/
技术
- 名称: 操作系统凭据转储
- ID: T1003
- 参考 URL: https://attack.mitre.org/techniques/T1003/
子技术
- 名称: LSASS 内存
- ID: T1003.001
- 参考 URL: https://attack.mitre.org/techniques/T1003/001/

« 通过 PssCaptureSnapShot 潜在的 LSASS 克隆创建通过 SMB 共享潜在的横向工具传输 »