多个主机上潜在的广泛恶意软件感染

编辑

多个主机上潜在的广泛恶意软件感染

编辑

此规则使用警报数据来确定何时在多个主机上触发恶意软件签名。分析师可以使用它来优先处理分类和响应，因为这可能表明存在广泛的恶意软件感染。

规则类型: esql

规则索引: 无

严重性: 高

风险评分: 73

运行频率: 5分钟

搜索索引时间范围: now-9m (日期数学格式, 另请参阅 额外回溯时间)

每次执行的最大警报数: 100

参考:

https://github.com/elastic/protections-artifacts/tree/main/yara/rules

标签:

域: 端点
数据源: Elastic Defend
用例: 威胁检测
策略: 执行
规则类型: 高阶规则

版本: 2

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询

编辑

from logs-endpoint.alerts-*
| where event.code in ("malicious_file", "memory_signature", "shellcode_thread") and rule.name is not null
| keep host.id, rule.name, event.code
| stats hosts = count_distinct(host.id) by rule.name, event.code
| where hosts >= 3

框架: MITRE ATT&CK^TM

策略
- 名称: 执行
- ID: TA0002
- 参考 URL: https://attack.mitre.org/tactics/TA0002/
技术
- 名称: 用户执行
- ID: T1204
- 参考 URL: https://attack.mitre.org/techniques/T1204/
子技术
- 名称: 恶意文件
- ID: T1204.002
- 参考 URL: https://attack.mitre.org/techniques/T1204/002/

« 潜在的利用 WSUS 进行横向移动潜在的 Windows 错误管理器伪装 »