预构建作业参考
编辑预构建作业参考
编辑这些异常检测作业会自动检测主机上的文件系统和网络异常。当您有与配置匹配的数据时,它们会出现在 Kibana 的 Elastic Security 应用程序的 异常检测 界面中。有关更多信息,请参阅使用机器学习进行异常检测。
安全:身份验证
编辑检测与 ECS 兼容的身份验证日志中的异常活动。
在机器学习应用程序中,只有在存在与清单文件中指定的查询匹配的数据时,这些配置才可用。在 Elastic Security 应用程序中,它会在securitySolution:defaultIndex高级设置中指定的数据视图中查找与查询匹配的数据。
默认情况下,当您在 Elastic Security 应用程序中创建这些作业时,它会使用适用于多个索引的数据视图。如果您使用机器学习应用程序,要获得相同的结果,请创建一个类似的数据视图,然后在作业向导中选择它。
| 名称 | 描述 | 作业 | 数据源 |
|---|---|---|---|
auth_high_count_logon_events |
查找成功身份验证事件中异常的大量峰值。这可能是由于密码喷射、用户枚举或暴力破解活动引起的。 |
|
|
auth_high_count_logon_events_for_a_source_ip |
查找来自特定源 IP 地址的成功身份验证事件中异常的大量峰值。这可能是由于密码喷射、用户枚举或暴力破解活动引起的。 |
|
|
auth_high_count_logon_fails |
查找身份验证失败事件中异常的大量峰值。这可能是由于密码喷射、用户枚举或暴力破解活动引起的,并且可能是帐户接管或凭据访问的先兆。 |
|
|
auth_rare_hour_for_a_user |
查找用户在对该用户来说不寻常的时间登录的情况。这可能是由于当用户和威胁行为者位于不同的时区时,通过受损帐户进行凭据访问引起的。此外,未经授权的用户活动通常发生在非工作时间。 |
|
|
auth_rare_source_ip_for_a_user |
查找用户从对该用户来说不寻常的 IP 地址登录的情况。这可能是由于当用户和威胁行为者位于不同位置时,通过受损帐户进行凭据访问引起的。用户名的不寻常源 IP 地址也可能是由于使用受损帐户在主机之间进行横向移动引起的。 |
|
|
auth_rare_user |
在身份验证日志中查找不寻常的用户名。不寻常的用户名是检测通过新的或休眠的用户帐户进行凭据访问的一种方法。通常处于非活动状态的用户帐户(因为用户已离开组织)变为活动状态,可能是由于使用受损帐户密码进行凭据访问引起的。威胁行为者有时也会创建新用户,作为在受损的 Web 应用程序中持久存在的一种手段。 |
|
|
suspicious_login_activity |
检测异常高数量的身份验证尝试。 |
|
|
安全:CloudTrail
编辑检测您的 CloudTrail 日志中记录的可疑活动。
在机器学习应用程序中,只有在存在与清单文件中指定的查询匹配的数据时,这些配置才可用。在 Elastic Security 应用程序中,它会在securitySolution:defaultIndex高级设置中指定的数据视图中查找与查询匹配的数据。
| 名称 | 描述 | 作业 | 数据源 |
|---|---|---|---|
high_distinct_count_error_message |
查找错误消息速率的峰值,这可能仅表示即将发生的服务故障,但这些也可能是威胁行为者尝试或成功进行持久性、特权提升、防御规避、发现、横向移动或收集活动的结果。 |
|
|
rare_error_code |
查找不寻常的错误。罕见和不寻常的错误可能仅表示即将发生的服务故障,但它们也可能是威胁行为者尝试或成功进行持久性、特权提升、防御规避、发现、横向移动或收集活动的结果。 |
|
|
rare_method_for_a_city |
查找虽然不是本质上可疑或异常的 AWS API 调用,但它们来自不寻常的地理位置(城市)。这可能是由于受损的凭据或密钥造成的。 |
|
|
rare_method_for_a_country |
查找虽然不是本质上可疑或异常的 AWS API 调用,但它们来自不寻常的地理位置(国家/地区)。这可能是由于受损的凭据或密钥造成的。 |
|
|
rare_method_for_a_username |
查找虽然不是本质上可疑或异常的 AWS API 调用,但它们来自通常不调用该方法的用户上下文。这可能是由于某人使用有效帐户进行持久性、横向移动或数据泄露而导致的受损凭据或密钥。 |
|
|
安全:Linux
编辑用于基于 Linux 主机的威胁搜寻和检测的异常检测作业。
在机器学习应用程序中,只有在存在与清单文件中指定的查询匹配的数据时,这些配置才可用。在 Elastic Security 应用程序中,它会在securitySolution:defaultIndex高级设置中指定的数据视图中查找与查询匹配的数据。
| 名称 | 描述 | 作业 | 数据源 |
|---|---|---|---|
v3_linux_anomalous_network_activity |
查找使用网络的不寻常进程,这可能表明存在命令和控制、横向移动、持久性或数据泄露活动。 |
|
|
v3_linux_anomalous_network_port_activity |
查找可能表明存在命令和控制、持久性机制或数据泄露活动的不寻常目标端口活动。 |
|
|
v3_linux_anomalous_process_all_hosts |
查找对所有 Linux 主机来说不寻常的进程。这种不寻常的进程可能表示未经授权的软件、恶意软件或持久性机制。 |
|
|
v3_linux_anomalous_user_name |
不经常活动的罕见和不寻常的用户可能表示未经授权的更改或未经授权的用户活动,这可能是凭据访问或横向移动。 |
|
|
v3_linux_network_configuration_discovery |
查找来自不寻常用户上下文的与系统网络配置发现相关的命令。这可能是由于不常见的故障排除活动或受损的帐户造成的。威胁行为者可能会使用受损的帐户来执行系统网络配置发现,以加深他们对连接网络和主机的了解。此信息可用于塑造后续行为,例如横向移动或其他发现。 |
|
|
v3_linux_network_connection_discovery |
查找来自不寻常用户上下文的与系统网络连接发现相关的命令。这可能是由于不常见的故障排除活动或受损的帐户造成的。威胁行为者可能会使用受损的帐户来执行系统网络连接发现,以加深他们对连接服务和系统的了解。此信息可用于塑造后续行为,例如横向移动或其他发现。 |
|
|
v3_linux_rare_metadata_process |
查找不寻常的进程对元数据服务的不寻常访问。元数据服务可能被作为目标,以便收集凭据或包含密钥的用户数据脚本。 |
|
|
v3_linux_rare_metadata_user |
查找不寻常的用户对元数据服务的不寻常访问。元数据服务可能被作为目标,以便收集凭据或包含密钥的用户数据脚本。 |
|
|
v3_linux_rare_sudo_user |
查找来自不寻常用户上下文的 sudo 活动。不寻常的用户上下文更改可能是由于特权提升造成的。 |
|
|
v3_linux_rare_user_compiler |
查找通常不运行编译器的用户上下文的编译器活动。这可能是临时软件更改或未经授权的软件部署。这还可能是由于通过本地运行的漏洞利用或恶意软件活动进行的本地特权提升造成的。 |
|
|
v3_linux_system_information_discovery |
查找来自不寻常用户上下文的与系统信息发现相关的命令。这可能是由于不常见的故障排除活动或受损的帐户造成的。可能会使用受损的帐户来执行系统信息发现,以收集有关系统配置和软件版本的详细信息。这可能是选择持久性机制或特权提升方法的前兆。 |
|
|
v3_linux_system_process_discovery |
查找来自不寻常用户上下文的与系统进程发现相关的命令。这可能是由于不常见的故障排除活动或受损的帐户造成的。可能会使用受损的帐户来执行系统进程发现,以加深他们对目标主机或网络上运行的软件应用程序的了解。这可能是选择持久性机制或特权提升方法的前兆。 |
|
|
v3_linux_system_user_discovery |
查找来自不寻常用户上下文的与系统用户或所有者发现相关的命令。这可能是由于不常见的故障排除活动或受损的帐户造成的。可能会使用受损的帐户来执行系统所有者或用户发现,以识别系统的当前活动用户或主要用户。这可能是其他发现、凭据转储或特权提升活动的前兆。 |
|
|
v3_rare_process_by_host_linux |
查找对特定 Linux 主机来说不寻常的进程。这种不寻常的进程可能表示未经授权的软件、恶意软件或持久性机制。 |
|
|
安全:网络
编辑检测与 ECS 兼容的网络日志中的异常网络活动。
在机器学习应用程序中,只有在存在与清单文件中指定的查询匹配的数据时,这些配置才可用。在 Elastic Security 应用程序中,它会在securitySolution:defaultIndex高级设置中指定的数据视图中查找与查询匹配的数据。
默认情况下,当您在 Elastic Security 应用程序中创建这些作业时,它会使用适用于多个索引的数据视图。如果您使用机器学习应用程序,要获得相同的结果,请创建一个类似的数据视图,然后在作业向导中选择它。
| 名称 | 描述 | 作业 | 数据源 |
|---|---|---|---|
high_count_by_destination_country |
在网络日志中查找指向某个目标国家/地区的网络活动异常激增的情况。这可能是由于异常大量的侦察或枚举流量造成的。数据外泄活动也可能会导致流向通常不在网络流量或业务工作流程中出现的目标国家/地区的流量激增。恶意软件实例和持久性机制可能会与其原产国的命令和控制 (C2) 基础设施进行通信,而这对于源网络来说可能是一个不寻常的目标国家/地区。 |
|
|
high_count_network_denies |
查找被网络 ACL 或防火墙规则拒绝的网络流量异常激增的情况。这种被拒绝的流量激增通常是以下两种情况之一:1) 应用程序或防火墙配置错误,或 2) 可疑或恶意活动。为了连接到命令和控制 (C2) 或进行数据外泄,网络传输尝试失败可能会导致连接失败次数的激增。这也可能是由于异常大量的侦察或枚举流量造成的。拒绝服务攻击或流量洪泛也可能导致流量激增。 |
|
|
high_count_network_events |
查找网络流量异常激增的情况。如果这种流量激增不是由业务活动激增引起的,则可能是由于可疑或恶意活动造成的。大规模数据外泄可能会导致网络流量激增;这也可能是由于异常大量的侦察或枚举流量造成的。拒绝服务攻击或流量洪泛也可能导致流量激增。 |
|
|
rare_destination_country |
在网络日志中查找不寻常的目标国家/地区名称。这可能是由于初始访问、持久性、命令和控制或外泄活动造成的。例如,当用户点击网络钓鱼电子邮件中的链接或打开恶意文档时,可能会发送请求以从通常不在网络流量或业务工作流程中出现的国家/地区的服务器下载并运行有效负载。恶意软件实例和持久性机制可能会与其原产国的命令和控制 (C2) 基础设施进行通信,而这对于源网络来说可能是一个不寻常的目标国家/地区。 |
|
|
安全:Packetbeat
编辑检测 Packetbeat 数据中的可疑网络活动。
在 Machine Learning 应用程序中,只有在存在与 清单文件中指定的查询匹配的数据时,这些配置才可用。在 Elastic Security 应用程序中,它会在 securitySolution:defaultIndex 高级设置中指定的数据视图中查找与查询匹配的数据。
| 名称 | 描述 | 作业 | 数据源 |
|---|---|---|---|
packetbeat_dns_tunneling |
查找可能表明命令和控制或数据外泄活动的不寻常 DNS 活动。 |
|
|
packetbeat_rare_dns_question |
查找可能表明命令和控制活动的不寻常 DNS 活动。 |
|
|
packetbeat_rare_server_domain |
查找可能表明执行、持久性、命令和控制或数据外泄活动的不寻常 HTTP 或 TLS 目标域活动。 |
|
|
packetbeat_rare_urls |
查找可能表明执行、持久性、命令和控制或数据外泄活动的不寻常 Web 浏览 URL 活动。 |
|
|
packetbeat_rare_user_agent |
查找可能表明执行、持久性、命令和控制或数据外泄活动的不寻常 HTTP 用户代理活动。 |
|
|
安全:Windows
编辑用于 Windows 主机威胁搜寻和检测的异常检测作业。
在 Machine Learning 应用程序中,只有在存在与 清单文件中指定的查询匹配的数据时,这些配置才可用。在 Elastic Security 应用程序中,它会在 securitySolution:defaultIndex 高级设置中指定的数据视图中查找与查询匹配的数据。
如果存在其他要求,例如在 Windows 安全事件日志中安装 Windows 系统监视器 (Sysmon) 或审核进程创建,则会为每个作业列出这些要求。
| 名称 | 描述 | 作业 | 数据源 |
|---|---|---|---|
v3_rare_process_by_host_windows |
查找对于特定 Windows 主机来说不寻常的进程。此类不寻常的进程可能表示未经授权的软件、恶意软件或持久性机制。 |
|
|
v3_windows_anomalous_network_activity |
查找使用网络的不寻常进程,这可能表明存在命令和控制、横向移动、持久性或数据泄露活动。 |
|
|
v3_windows_anomalous_path_activity |
查找可能表明执行恶意软件或持久性机制的不寻常路径中的活动。Windows 有效负载通常从用户配置文件路径执行。 |
|
|
v3_windows_anomalous_process_all_hosts |
查找对于所有 Windows 主机来说不寻常的进程。此类不寻常的进程可能表示执行未经授权的软件、恶意软件或持久性机制。 |
|
|
v3_windows_anomalous_process_creation |
查找可能表明执行恶意软件或持久性机制的不寻常进程关系。 |
|
|
v3_windows_anomalous_script |
查找可能表明执行恶意软件或持久性机制的不寻常 PowerShell 脚本。 |
|
|
v3_windows_anomalous_service |
查找可能表示执行未经授权的服务、恶意软件或持久性机制的罕见且不寻常的 Windows 服务名称。 |
|
|
v3_windows_anomalous_user_name |
不经常活动的罕见和不寻常的用户可能表示未经授权的更改或未经授权的用户活动,这可能是凭据访问或横向移动。 |
|
|
v3_windows_rare_metadata_process |
查找不寻常的进程对元数据服务的不寻常访问。元数据服务可能被作为目标,以便收集凭据或包含密钥的用户数据脚本。 |
|
|
v3_windows_rare_metadata_user |
查找不寻常的用户对元数据服务的不寻常访问。元数据服务可能被作为目标,以便收集凭据或包含密钥的用户数据脚本。 |
|
|
v3_windows_rare_user_runas_event |
不寻常的用户上下文切换可能是由于权限提升造成的。 |
|
|
v3_windows_rare_user_type10_remote_login |
不寻常的 RDP(远程桌面协议)用户登录可能表示帐户被盗或凭据访问。 |
|
|
安全:Elastic Integrations
编辑Elastic Integrations 是一种向您的环境添加 Elastic 资产的简化方法,例如数据摄取、转换,以及在本例中,用于安全性的机器学习功能。
以下集成使用机器学习来分析用户和实体行为模式,并帮助检测和警报您环境中相关的可疑活动。
域生成算法 (DGA) 检测
机器学习解决方案包,用于检测网络数据中的域生成算法 (DGA) 活动。请参阅订阅页面以了解有关所需订阅的更多信息。
要下载,请参阅文档。
| 名称 | 描述 |
|---|---|
dga_high_sum_probability |
检测网络数据中的域生成算法 (DGA) 活动。 |
作业配置和数据馈送可在此处找到。
利用合法工具攻击 (LotL) 检测
机器学习解决方案包,用于检测您环境中的利用合法工具攻击 (LotL)。请参阅订阅页面以了解有关所需订阅的更多信息。(也称为 ProblemChild)。
要下载,请参阅文档。
| 名称 | 描述 |
|---|---|
problem_child_rare_process_by_host |
查找在不常表现出恶意进程活动的主机上被归类为恶意的进程。 |
problem_child_high_sum_by_host |
查找单个主机上的一组或多个恶意子进程。 |
problem_child_rare_process_by_user |
查找在用户上下文不寻常且不常表现出恶意进程活动的进程中被归类为恶意的进程。 |
problem_child_rare_process_by_parent |
查找父进程生成的罕见恶意子进程。 |
problem_child_high_sum_by_user |
查找同一用户启动的一组或多个恶意进程。 |
problem_child_high_sum_by_parent |
查找同一父进程生成的一组或多个恶意子进程。 |
作业配置和数据馈送可在此处找到。
数据外泄检测 (DED)
机器学习包,用于检测网络和文件数据中的数据外泄。请参阅订阅页面以了解有关所需订阅的更多信息。
要下载,请参阅文档。
| 名称 | 描述 |
|---|---|
ded_high_sent_bytes_destination_geo_country_iso_code |
检测到异常地理位置(按国家/地区 ISO 代码)的数据外泄。 |
ded_high_sent_bytes_destination_ip |
检测到异常地理位置(按 IP 地址)的数据外泄。 |
ded_high_sent_bytes_destination_port |
检测到异常目标端口的数据外泄。 |
ded_high_sent_bytes_destination_region_name |
检测到异常地理位置(按区域名称)的数据外泄。 |
ded_high_bytes_written_to_external_device |
通过识别写入外部设备的高字节数来检测数据外泄活动。 |
ded_rare_process_writing_to_external_device |
通过识别由罕见进程启动的写入外部设备的文件来检测数据外泄活动。 |
ded_high_bytes_written_to_external_device_airdrop |
通过识别通过 Airdrop 写入外部设备的高字节数来检测数据外泄活动。 |
作业配置和数据馈送可在此处找到。
横向移动检测 (LMD)
机器学习包,用于检测基于文件传输活动和 Windows RDP 事件的横向移动。请参阅订阅页面以了解有关所需订阅的更多信息。
要下载,请参阅文档。
| 名称 | 描述 |
|---|---|
lmd_high_count_remote_file_transfer |
检测到网络中传输到远程主机的异常高文件传输量。 |
lmd_high_file_size_remote_file_transfer |
检测到与网络中远程主机共享的文件大小异常高。 |
lmd_rare_file_extension_remote_transfer |
检测到异常目标端口的数据外泄。 |
lmd_rare_file_path_remote_transfer |
检测到传输文件的不寻常文件夹和目录。 |
lmd_high_mean_rdp_session_duration |
检测到 RDP 会话持续时间的平均值异常高。 |
lmd_high_var_rdp_session_duration |
检测到 RDP 会话持续时间的方差异常高。 |
lmd_high_sum_rdp_number_of_processes |
检测到在单个 RDP 会话中启动的进程数异常高。 |
lmd_unusual_time_weekday_rdp_session_start |
检测到在不寻常的时间或工作日启动的 RDP 会话。 |
lmd_high_rdp_distinct_count_source_ip_for_destination |
检测到与单个目标 IP 建立 RDP 连接的源 IP 数量很高。 |
lmd_high_rdp_distinct_count_destination_ip_for_source |
检测到与单个源 IP 建立 RDP 连接的目标 IP 数量很高。 |
lmd_high_mean_rdp_process_args |
检测到 RDP 会话中的进程参数数量异常高。 |
作业配置和数据馈送可在此处找到。