预构建规则参考
编辑预构建规则参考
编辑本节列出了所有可用的预构建规则。
| 规则 | 描述 | 标签 | 添加时间 | 版本 |
|---|---|---|---|---|
指示使用 Windows 事件日志创建计划任务。攻击者可以使用这些来建立持久性、横向移动和/或提升权限。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:持久性], [数据源:系统] |
8.14.0 |
109 |
|
指示使用 Windows 事件日志更新计划任务。攻击者可以通过更改合法计划任务的配置来建立持久性。某些更改(例如禁用或启用计划任务)是常见的,可能会产生噪声。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:持久性], [数据源:系统] |
8.14.0 |
109 |
|
检测 APT 包管理器配置目录中的文件创建事件。在 Linux 中,APT(高级包工具)是一个命令行实用程序,用于处理(默认情况下)基于 Debian 的系统上的包,提供安装、更新、升级和删除软件以及管理包存储库的功能。攻击者可以通过将恶意代码注入 APT 运行的脚本中来后门 APT 以获得持久性,从而确保每次使用 APT 进行包管理时都能继续进行未经授权的访问或控制。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:持久性], [战术:防御规避], [数据源:Elastic Defend] |
无 |
4 |
|
识别在 AWS Bedrock 中多次连续尝试使用被拒绝的模型资源失败的情况。这可能表明试图绕过其他已批准模型的限制,或者通过产生过高的成本来强制对环境产生影响。 |
[域:LLM], [数据源:AWS Bedrock], [数据源:AWS S3], [资源:调查指南], [用例:策略违规], [Mitre Atlas:T0015], [Mitre Atlas:T0034] |
8.13.0 |
3 |
|
识别 AWS Bedrock 中的多个验证异常错误。当您在基础模型上运行 InvokeModel 或 InvokeModelWithResponseStream API 时,如果使用不正确的推理参数或相应的值,则会发生验证错误。当您将一个模型的推理参数用于没有相同 API 参数的模型时,也会发生这些错误。这可能表明试图绕过其他已批准模型的限制,或者通过产生过高的成本来强制对环境产生影响。 |
[域:LLM], [数据源:AWS], [数据源:AWS Bedrock], [数据源:AWS S3], [用例:策略违规], [Mitre Atlas:T0015], [Mitre Atlas:T0034], [Mitre Atlas:T0046] |
8.13.0 |
3 |
|
识别单个请求中违反 AWS Bedrock guardrails 的多个事件,导致阻止操作,从而增加了恶意意图的可能性。多次违规意味着用户可能正在有意识地试图规避安全控制、访问敏感信息或可能利用系统中的漏洞。 |
[域:LLM], [数据源:AWS Bedrock], [数据源:AWS S3], [资源:调查指南], [用例:策略违规], [Mitre Atlas:T0051], [Mitre Atlas:T0054] |
8.13.0 |
3 |
|
识别同一用户在同一帐户中在会话期间多次违反 AWS Bedrock guardrails 的事件。多次违规意味着用户可能正在有意识地试图规避安全控制、访问敏感信息或可能利用系统中的漏洞。 |
[域:LLM], [数据源:AWS Bedrock], [数据源:AWS S3], [资源:调查指南], [用例:策略违规], [Mitre Atlas:T0051], [Mitre Atlas:T0054] |
8.13.0 |
4 |
|
识别在同一帐户中的同一用户在会话期间,在一分钟的时间窗口内执行多次没有 guardrails 的 AWS Bedrock 执行。多次连续执行意味着用户可能正在有意识地试图通过不使用所需的 guardrail 配置路由请求来绕过安全控制,以访问敏感信息,或可能利用系统中的漏洞。 |
[域:LLM], [数据源:AWS Bedrock], [数据源:AWS S3], [资源:调查指南], [用例:策略违规], [Mitre Atlas:T0051], [Mitre Atlas:T0054] |
8.13.0 |
1 |
|
检测使用带有 |
[数据源:Elastic Defend], [域:端点], [操作系统:Linux], [用例:威胁检测], [战术:命令与控制] |
无 |
1 |
|
识别创建 AWS 日志线索,该线索指定日志数据传递的设置。 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [用例:日志审计], [战术:收集] |
无 |
207 |
|
识别 AWS 日志线索的删除。攻击者可能会删除线索以试图规避防御。 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [用例:日志审计], [资源:调查指南], [战术:防御规避] |
无 |
210 |
|
识别暂停指定线索的 AWS API 调用记录和日志文件传递。攻击者可能会暂停线索以试图规避防御。 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [用例:日志审计], [资源:调查指南], [战术:防御规避] |
无 |
209 |
|
识别对指定日志文件传递的 AWS 日志线索设置的更新。 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [数据源:AWS Cloudtrail], [用例:日志审计], [资源:调查指南], [战术:影响] |
无 |
209 |
|
识别 AWS CloudWatch 告警的删除。攻击者可能会删除告警以试图规避防御。 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [资源:调查指南], [战术:防御规避] |
无 |
209 |
|
识别指定 AWS CloudWatch 日志组的删除。删除日志组时,与该日志组关联的所有存档日志事件也将被永久删除。 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [数据源:AWS CloudWatch], [用例:日志审计], [资源:调查指南], [战术:影响] |
无 |
209 |
|
识别 AWS CloudWatch 日志流的删除,这会永久删除该流的所有关联存档日志事件。 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [数据源:AWS CloudWatch], [用例:日志审计], [战术:影响], [资源:调查指南] |
无 |
209 |
|
识别试图删除 AWS Config 服务资源的事件。攻击者可能会篡改 Config 服务,以降低帐户和/或其工作负载实例的安全态势的可见性。 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [资源:调查指南], [战术:防御规避] |
无 |
209 |
|
识别 AWS 配置更改以停止记录指定的一组资源。 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [战术:防御规避] |
无 |
206 |
|
此规则检测到使用诸如 grep 和 find 之类的系统搜索实用程序在容器内搜索 AWS 凭证。未经授权访问这些敏感文件可能会导致容器环境的进一步妥协或促进容器突破到基础云环境。 |
[数据源:容器的 Elastic Defend], [域:容器], [操作系统:Linux], [用例:威胁检测], [战术:凭证访问] |
无 |
1 |
|
识别 Amazon Relational Database Service (RDS) Aurora 数据库集群、全局数据库集群或数据库实例的删除。 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [数据源:AWS RDS], [用例:资产可见性], [战术:影响] |
无 |
206 |
|
检测单个 AWS 资源在 10 秒窗口内运行多个 |
[域:云], [数据源:AWS], [数据源:AWS EC2], [数据源:AWS IAM], [数据源:AWS S3], [用例:威胁检测], [战术:发现] |
8.13.0 |
1 |
|
识别 AWS 中首次使用 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [数据源:Amazon EC2], [用例:身份和访问审计], [资源:调查指南], [战术:凭证访问] |
无 |
3 |
|
识别与其他 AWS 帐户共享的 AWS EC2 EBS 快照。EBS 虚拟磁盘可以复制到快照中,然后可以与外部 AWS 帐户共享或公开。攻击者可能会尝试此操作,以便将快照复制到他们控制的环境中,以访问数据。 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [数据源:AWS EC2], [用例:威胁检测], [战术:数据泄露] |
8.13.0 |
2 |
|
识别当前区域中默认禁用 Amazon Elastic Block Store (EBS) 加密的情况。默认禁用加密不会更改现有卷的加密状态。 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [数据源:AWS EC2], [战术:影响] |
无 |
206 |
|
识别 Amazon Elastic Compute Cloud (EC2) 实例中潜在的流量镜像。流量镜像是一项 Amazon VPC 功能,可用于复制来自弹性网络接口的网络流量。此功能可能会被滥用以从未加密的内部流量中泄露敏感数据。 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [用例:网络安全监控], [战术:数据泄露], [战术:收集] |
无 |
206 |
|
识别何时使用 EC2 Instance Connect 服务将新的 SSH 公钥上传到 AWS EC2 实例。此操作可能表明攻击者试图保持对实例的访问权限。该规则还检测到 |
[域:云], [数据源:AWS], [数据源:亚马逊云服务], [数据源:AWS EC2], [用例:身份和访问审计], [战术:权限提升] |
无 |
1 |
|
识别 EC2 实例配置文件使用承担角色成功进行的控制台登录活动。这是一种不常见的行为,可能表明攻击者正在使用被盗凭证进一步利用环境。EC2 实例使用其 EC2 ID 作为会话名称来承担角色。此规则查找“i-”模式,这是 EC2 实例启动的承担角色会话的起始模式,以及成功的 |
[域:云], [数据源:AWS], [数据源:亚马逊云服务], [数据源:AWS EC2], [数据源:AWS STS], [用例:身份和访问审计], [战术:横向移动], [战术:凭证访问] |
无 |
1 |
|
识别 EC2 实例何时通过承担角色与 AWS IAM 服务交互。这是一种不常见的行为,可能表明攻击者正在使用被盗凭证进一步利用环境。例如,可以使用承担的角色来创建新用户以实现持久性或添加权限以进行权限提升。EC2 实例使用其 EC2 ID 作为会话名称来承担角色。此规则查找“i-”模式,这是 EC2 实例启动的承担角色会话的起始模式。这是一个[构建块](https://elastic.ac.cn/guide/en/security/current/building-block-rule.html)规则,本身不会生成警报。它旨在与其他规则关联使用,以检测可疑活动。 |
[域:云], [数据源:AWS], [数据源:亚马逊云服务], [数据源:AWS EC2], [数据源:AWS IAM], [用例:身份和访问审计], [战术:权限提升], [战术:持久性], [规则类型:BBR] |
无 |
2 |
|
识别单个 AWS 资源在 30 秒的时间窗口内在超过 10 个区域中发出 |
[域:云], [数据源:AWS], [数据源:AWS EC2], [资源:调查指南], [用例:威胁检测], [战术:发现] |
无 |
3 |
|
识别 AWS 弹性计算云 (EC2) 网络访问控制列表 (ACL) 的创建,或在网络 ACL 中创建具有指定规则编号的条目。 |
[域:云], [数据源:AWS], [数据源:亚马逊云服务], [数据源:AWS EC2], [用例:网络安全监控], [战术:持久性] |
无 |
206 |
|
识别 Amazon 弹性计算云 (EC2) 网络访问控制列表 (ACL) 或其入口/出口条目的删除。 |
[域:云], [数据源:AWS], [数据源:亚马逊云服务], [用例:网络安全监控], [战术:防御规避] |
无 |
206 |
|
识别 AWS 安全组配置的更改。安全组就像一个虚拟防火墙,修改配置可能会允许未经授权的访问。威胁行为者可能会滥用此来建立持久性、泄露数据或在 AWS 环境中进行横向移动。 |
[域:云], [数据源:AWS], [数据源:亚马逊云服务], [数据源:AWS EC2], [用例:网络安全监控], [资源:调查指南], [战术:持久性], [战术:防御规避] |
无 |
207 |
|
尝试修改 AWS EC2 快照属性。威胁行为者有时会共享快照,以便从 EC2 集群中泄露大量数据。如果权限被修改,请验证快照是否未与未经授权或意外的 AWS 账户共享。 |
[域:云], [数据源:AWS], [数据源:亚马逊云服务], [用例:资产可见性], [战术:数据泄露], [资源:调查指南] |
无 |
209 |
|
识别尝试导出 AWS EC2 实例的行为。虚拟机 (VM) 导出可能表明尝试提取或泄露信息。 |
[域:云], [数据源:AWS], [数据源:亚马逊云服务], [用例:资产可见性], [战术:数据泄露], [战术:收集] |
无 |
206 |
|
检测 EFS 文件系统或挂载点何时被删除。攻击者可以使用正在被删除的挂载点来破坏任何文件系统,这可能会中断使用这些挂载点的实例或应用程序。必须先删除挂载点,然后才能删除文件系统,否则攻击者将无法删除文件系统。 |
[域:云], [数据源:AWS], [数据源:亚马逊云服务], [战术:影响] |
无 |
206 |
|
识别何时创建了 ElastiCache 安全组。 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [战术:防御规避] |
无 |
206 |
|
识别何时修改或删除了 ElastiCache 安全组。 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [战术:防御规避] |
无 |
206 |
|
识别用户何时禁用或删除了 EventBridge 规则。此活动可能导致应用程序中意外的可见性丢失或与其他 AWS 服务的流程中断。 |
[域:云], [数据源:AWS], [数据源:亚马逊云服务], [战术:影响] |
无 |
206 |
|
识别 Amazon GuardDuty 检测器的删除。删除后,GuardDuty 将停止监控环境,并且所有现有的发现都将丢失。 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [战术:防御规避] |
无 |
206 |
|
拥有被盗凭证的攻击者可能会尝试通过将其他权限附加到被盗用户帐户所属的用户组来持久化或提升权限。此规则查找使用 IAM |
[域:云], [数据源:AWS], [数据源:亚马逊云服务], [数据源:AWS IAM], [用例:身份和访问审计], [战术:权限提升], [战术:持久性], [资源:调查指南] |
8.13.0 |
3 |
|
拥有被盗凭证的攻击者可能会尝试通过将其他权限附加到被盗的 IAM 角色来持久化或提升权限。此规则查找使用 IAM |
[域:云], [数据源:AWS], [数据源:亚马逊云服务], [数据源:AWS IAM], [用例:身份和访问审计], [战术:权限提升], [战术:持久性], [资源:调查指南] |
8.13.0 |
3 |
|
拥有被盗凭证的攻击者可能会尝试通过将其他权限附加到被盗的用户帐户来持久化或提升权限。此规则查找使用 IAM |
[域:云], [数据源:AWS], [数据源:亚马逊云服务], [数据源:AWS IAM], [用例:身份和访问审计], [战术:权限提升], [战术:持久性], [资源:调查指南] |
8.13.0 |
4 |
|
识别尝试修改 AWS IAM 承担角色策略的行为。攻击者可能会尝试修改配置错误的角色的 AssumeRolePolicy,以获取该角色的权限。 |
[域:云], [数据源:AWS], [数据源:亚马逊云服务], [数据源:AWS STS], [用例:身份和访问审计], [资源:调查指南], [战术:权限提升] |
无 |
209 |
|
识别尝试承担 AWS 身份和访问管理 (IAM) 角色的失败次数过多。IAM 角色用于将访问权限委派给用户或服务。攻击者可能会尝试枚举 IAM 角色,以确定角色是否存在,然后再尝试承担或劫持发现的角色。 |
[域:云], [数据源:AWS], [数据源:亚马逊云服务], [用例:身份和访问审计], [资源:调查指南], [战术:凭证访问] |
无 |
210 |
|
此规则查找使用 IAM |
[域:云], [数据源:AWS], [数据源:亚马逊云服务], [数据源:AWS IAM], [资源:调查指南], [用例:身份和访问审计], [战术:凭证访问] |
无 |
1 |
|
检测由 EC2 实例上承担的角色启动的 AWS 身份和访问管理 (IAM) 用户的创建。承担的角色允许用户或服务临时采用不同的 AWS 权限,但是通过这些角色(尤其是在 EC2 实例中)创建 IAM 用户可能表明实例已遭入侵。攻击者可能会利用此类权限通过在未经授权的情况下创建新的 IAM 用户来建立持久性。 |
[域:云], [数据源:AWS], [数据源:亚马逊云服务], [数据源:AWS IAM], [用例:身份和访问审计], [战术:持久性] |
无 |
1 |
|
检测何时由不寻常或未经授权的用户将 AWS 身份和访问管理 (IAM) 客户托管策略附加到角色。客户托管策略是在 AWS 账户中创建和控制的策略,在附加时会向角色或用户授予特定权限。此规则通过标记由意外参与者将客户托管策略附加到角色的情况来识别潜在的权限提升,这可能表示未经授权的访问或滥用。攻击者可能会将策略附加到角色以扩展权限并在 AWS 环境中提升其权限。这是一个[新术语](https://elastic.ac.cn/guide/en/security/current/rules-ui-create.html#create-new-terms-rule)规则,它使用 |
[域:云], [数据源:AWS], [数据源:亚马逊云服务], [数据源:AWS IAM], [资源:调查指南], [用例:身份和访问审计], [战术:权限提升] |
无 |
1 |
|
识别指定的 多因素身份验证 (MFA) 设备的停用,并将其从最初启用它的用户名关联中删除。在 AWS 身份和访问管理 (IAM) 中,必须先停用设备,然后才能将其删除。 |
[域:云], [数据源:AWS], [数据源:亚马逊云服务], [数据源:AWS IAM], [资源:调查指南], [战术:影响], [战术:持久性] |
无 |
210 |
|
识别在 AWS 身份和访问管理 (IAM) 中创建组的情况。组指定多个用户的权限。组中的任何用户都会自动拥有分配给该组的权限。 |
[域:云], [数据源:AWS], [数据源:亚马逊云服务], [数据源:AWS IAM], [用例:身份和访问审计], [战术:持久性] |
无 |
206 |
|
识别删除指定的 AWS 身份和访问管理 (IAM) 资源组。删除资源组不会删除组中的资源;它只会删除组结构。 |
[域:云], [数据源:AWS], [数据源:亚马逊网络服务], [数据源:AWS IAM], [策略:影响] |
无 |
206 |
|
检测何时为 root 用户帐户添加 AWS IAM 登录配置文件并且是自分配的。 拥有 root 帐户临时访问权限的攻击者可能会为 root 用户帐户添加登录配置文件,以便即使原始访问密钥被轮换或禁用,也能保持访问权限。 |
[域:云], [数据源:AWS], [数据源:亚马逊网络服务], [数据源:AWS IAM], [用例:身份和访问审计], [策略:持久性], [资源:调查指南] |
8.13.0 |
1 |
|
识别何时为用户添加 AWS IAM 登录配置文件。攻击者可能会为通常没有登录配置文件且仅用于编程访问的 IAM 用户添加登录配置文件。 这可以用来保持对帐户的访问权限,即使原始访问密钥被轮换或禁用。这是一条构建块规则,本身不会生成警报。 它旨在与其他规则结合使用,以检测可疑活动。 |
[域:云], [数据源:AWS], [数据源:亚马逊网络服务], [数据源:AWS IAM], [用例:身份和访问审计], [策略:持久性], [规则类型:BBR] |
无 |
2 |
|
识别 AWS IAM 密码恢复请求。攻击者可能会试图通过滥用密码恢复机制来获取未经授权的 AWS 访问权限。 |
[域:云], [数据源:AWS], [数据源:亚马逊网络服务], [数据源:AWS 登录], [用例:身份和访问审计], [策略:初始访问] |
无 |
206 |
|
识别 AWS Roles Anywhere 配置文件的创建。AWS Roles Anywhere 是一项功能,允许您使用 AWS Identity and Access Management (IAM) 配置文件,通过受信任的锚点来管理从任何位置对 AWS 资源的访问。此规则检测可以从任何服务承担的配置文件的创建。 攻击者可能会创建与过度宽松的角色相关的配置文件,以保持对 AWS 资源的访问权限。确保配置文件创建是预期的,并且信任策略已安全配置。 |
[域:云], [数据源:AWS], [数据源:亚马逊云服务], [数据源:AWS IAM], [用例:身份和访问审计], [战术:持久性] |
无 |
2 |
|
识别何时创建具有外部证书颁发机构的 AWS IAM Roles Anywhere 信任锚。 AWS Roles Anywhere 配置文件是管理员可以创建的合法配置文件,允许从任何位置进行访问。 此规则检测何时使用不由 AWS Certificate Manager Private Certificate Authority (ACM PCA) 管理的外部证书颁发机构创建信任锚。 攻击者可能会执行此操作以在环境中保持持久性。 |
[域:云], [数据源:AWS], [数据源:亚马逊云服务], [数据源:AWS IAM], [用例:身份和访问审计], [战术:持久性] |
无 |
2 |
|
识别何时用户更新了 AWS 中的 SAML 提供商。SAML 提供商用于启用对 AWS 管理控制台的联合访问。此活动可能表明攻击者试图提升权限。 |
[域:云], [数据源:AWS], [数据源:亚马逊网络服务], [数据源:AWS IAM], [用例:身份和访问审计], [策略:特权提升] |
无 |
207 |
|
识别用户添加到 AWS Identity and Access Management (IAM) 中指定组的情况。 |
[域:云], [数据源:AWS], [数据源:亚马逊网络服务], [用例:身份和访问审计], [策略:凭证访问], [策略:持久性], [资源:调查指南] |
无 |
209 |
|
拥有访问权限的一组被泄露凭据的攻击者可能会尝试通过为现有用户创建一组新的凭据来保持或提升特权。 此规则查找使用 IAM |
[域:云], [数据源:AWS], [数据源:亚马逊云服务], [数据源:AWS IAM], [用例:身份和访问审计], [战术:权限提升], [战术:持久性], [资源:调查指南] |
8.13.0 |
5 |
|
识别禁用或计划删除 AWS KMS 客户托管密钥 (CMK) 的尝试。删除 AWS KMS 密钥具有破坏性且可能很危险。 它会删除密钥材料和与 KMS 密钥关联的所有元数据,并且不可逆。 删除 KMS 密钥后,在该 KMS 密钥下加密的数据将无法再解密,这意味着数据将无法恢复。 |
[域:云], [数据源:AWS], [数据源:亚马逊网络服务], [数据源:AWS KMS], [用例:日志审计], [策略:影响] |
无 |
106 |
|
识别何时创建或更新 AWS Lambda 函数。AWS Lambda 允许您在无需预置或管理服务器的情况下运行代码。攻击者可以创建或更新 Lambda 函数来执行恶意代码、泄漏数据或提升特权。这是一条[构建块规则](https://elastic.ac.cn/guide/en/security/current/building-block-rule.html),不会生成警报,但会发出信号,表明创建或更新了与规则条件匹配的 Lambda 函数。 要生成警报,请创建一条将此信号用作构建块的规则。 |
[域:云], [数据源:AWS], [数据源:亚马逊网络服务], [数据源:AWS Lambda], [用例:资产可见性], [策略:执行], [规则类型:BBR] |
无 |
2 |
|
识别何时更新 AWS Lambda 函数策略以允许公共调用。 此规则专门查找 |
[域:云], [数据源:AWS], [数据源:亚马逊网络服务], [数据源:AWS Lambda], [用例:威胁检测], [策略:持久性] |
无 |
1 |
|
识别何时将 Lambda 层添加到现有 Lambda 函数。AWS 层是一种在多个函数之间共享代码和数据的方法。 通过将层添加到现有函数,攻击者可以在函数的上下文中持久化或执行代码。 |
[域:云], [数据源:AWS], [数据源:亚马逊网络服务], [数据源:AWS Lambda], [用例:威胁检测], [策略:执行] |
无 |
2 |
|
识别对 Root 用户身份的 AWS 管理控制台进行大量失败的身份验证尝试。 攻击者可能会试图暴力破解 Root 用户身份的密码,因为它具有对 AWS 帐户的所有服务和资源的完全访问权限。 |
[域:云], [数据源:AWS], [数据源:亚马逊网络服务], [用例:身份和访问审计], [策略:凭证访问] |
无 |
207 |
|
识别 Root 用户成功登录到 AWS 管理控制台。 |
[域:云], [数据源:AWS], [数据源:亚马逊网络服务], [数据源:AWS 登录], [用例:身份和访问审计], [资源:调查指南], [策略:初始访问] |
无 |
209 |
|
识别新的亚马逊关系数据库服务 (RDS) Aurora 数据库集群或跨多个区域的全局数据库的创建。 |
[域:云], [数据源:AWS], [数据源:亚马逊网络服务], [数据源:AWS RDS], [用例:资产可见性], [策略:持久性] |
无 |
206 |
|
识别 AWS RDS 数据库实例的创建或修改以启用公共访问。数据库实例可能包含敏感数据,如果与未经授权的帐户共享或公开,可能会被滥用。 攻击者可能会在数据库实例上启用公共访问,以保持持久性或通过绕过访问控制来规避防御。 |
[域:云], [数据源:AWS], [数据源:亚马逊网络服务], [数据源:AWS RDS], [资源:调查指南], [用例:威胁检测], [策略:持久性], [策略:防御规避] |
无 |
2 |
|
拥有被泄露凭据的一组攻击者可能会尝试复制正在运行或已删除的 RDS 数据库,以规避防御机制或访问数据。 此规则识别使用 RDS |
[域:云], [数据源:AWS], [数据源:亚马逊网络服务], [数据源:AWS RDS], [用例:资产可见性], [策略:防御规避] |
无 |
207 |
|
识别对 AWS RDS 数据库实例或集群的修改以删除 deletionProtection 功能。 通过控制台设置的实例会自动启用删除保护,并且可用于保护它们免受意外删除活动的影响。 如果禁用,则可以删除实例或集群,从而销毁敏感或关键信息。 具有适当权限的攻击者可以利用这一点来针对受损环境设置未来的删除事件。 |
[域:云], [数据源:AWS], [数据源:亚马逊网络服务], [数据源:AWS RDS], [资源:调查指南], [用例:威胁检测], [策略:影响] |
无 |
2 |
|
识别对 AWS RDS 数据库实例或集群的主密码的修改。 如果未经授权的操作者访问数据库实例,则数据库实例可能包含敏感数据,这些数据可能会被滥用。 Amazon RDS API 操作永远不会返回密码,因此此操作提供了一种在密码丢失时重新获得访问权限的方法。 具有适当权限的攻击者可以利用这一点来规避防御并获得对数据库实例或集群的未经授权的访问权限,以支持持久性机制或特权提升。 |
[域:云], [数据源:AWS], [数据源:亚马逊网络服务], [数据源:AWS RDS], [资源:调查指南], [用例:威胁检测], [策略:持久性], [策略:特权提升], [策略:防御规避] |
无 |
2 |
|
识别何时创建 AWS RDS 数据库快照。 这可用于通过允许攻击者绕过访问控制或通过将实例恢复到之前的状态来掩盖其踪迹来规避防御。 这是一条[构建块规则](https://elastic.ac.cn/guide/en/security/current/building-block-rule.html),本身不会生成警报。 它旨在与其他规则结合使用,以检测可疑活动。 要生成警报,请创建一条将此信号用作构建块的规则。 |
[域:云], [数据源:AWS], [数据源:亚马逊网络服务], [数据源:AWS RDS], [用例:资产可见性], [策略:防御规避], [规则类型:BBR] |
无 |
1 |
|
识别与另一个 AWS 帐户共享的 AWS RDS 数据库快照。 数据库快照包含整个数据库实例的完整备份,包括敏感数据,如果与未经授权的帐户共享或公开,可能会被滥用。 攻击者可能会使用快照在其控制的环境中还原数据库实例,以此作为数据泄漏的一种手段。 |
[域:云], [数据源:AWS], [数据源:亚马逊网络服务], [数据源:AWS RDS], [资源:调查指南], [用例:威胁检测], [策略:数据泄漏] |
无 |
2 |
|
识别亚马逊关系数据库服务 (RDS) Aurora 数据库实例的创建。 |
[域:云], [数据源:AWS], [数据源:亚马逊网络服务], [数据源:AWS RDS], [用例:资产可见性], [策略:持久性] |
无 |
206 |
|
识别亚马逊关系数据库服务 (RDS) 集群或实例已停止。 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [数据源:AWS RDS], [用例:资产可见性], [战术:影响] |
无 |
206 |
|
识别亚马逊关系数据库服务 (RDS) 安全组的创建。 |
[域:云], [数据源:AWS], [数据源:亚马逊网络服务], [数据源:AWS RDS], [策略:持久性] |
无 |
206 |
|
识别亚马逊关系数据库服务 (RDS) 安全组的删除。 |
[域:云], [数据源:AWS], [数据源:亚马逊网络服务], [数据源:AWS RDS], [策略:影响] |
无 |
206 |
|
识别 AWS RDS 数据库快照的删除操作。快照包含整个数据库实例的完整备份。未经授权删除快照可能导致无法恢复关键或敏感数据。此规则检测已删除的快照和被修改的实例,即 backupRetentionPeriod 设置为 0 的情况,这会禁用自动备份,功能上与删除系统快照类似。 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [数据源:AWS RDS], [用例:资产可见性], [战术:影响] |
无 |
2 |
|
识别 Amazon Relational Database Service (RDS) Aurora 数据库快照的导出操作。 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [用例:资产可见性], [策略:数据泄露] |
无 |
206 |
|
识别 Amazon Redshift 集群的创建。非管理用户意外创建此集群可能表明当前用户的权限或角色存在问题。如果出现意外,则该资源可能未正确配置,并可能引入安全漏洞。 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [数据源:AWS Redshift], [用例:资产可见性], [策略:持久化] |
无 |
206 |
|
识别尝试在未启用多因素身份验证 (MFA) 的情况下以 root 用户身份登录 AWS 的行为。Amazon AWS 最佳实践表明,root 用户应受 MFA 保护。 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [数据源:AWS Route53], [用例:身份和访问审计], [资源:调查指南], [策略:权限提升] |
无 |
209 |
|
识别何时从 Route 53 域名中删除转移锁。建议不要执行此操作,除非打算将域名转移到其他注册商。 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [数据源:AWS Route53], [用例:资产可见性], [策略:持久化] |
无 |
206 |
|
识别何时请求将 Route 53 域名转移到另一个 AWS 账户。 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [数据源:AWS Route53], [用例:资产可见性], [策略:持久化] |
无 |
206 |
|
识别何时创建 AWS 路由表。 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [数据源:AWS Route53], [用例:网络安全监控], [策略:持久化] |
无 |
207 |
|
识别何时修改或删除 AWS 路由表。 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [数据源:AWS Route53], [用例:网络安全监控], [策略:持久化] |
无 |
207 |
|
识别何时将 Route53 私有托管区域与 VPC 关联。 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [数据源:AWS Route53], [用例:资产可见性], [策略:持久化] |
无 |
206 |
|
识别各种 Amazon Simple Storage Service (S3) 存储桶配置组件的删除操作。 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [用例:资产可见性], [策略:防御规避] |
无 |
207 |
|
识别在短时间内来自单个源和账户(或匿名账户)的大量 S3 操作失败。此活动可能表明试图通过过多的随机操作导致账户账单增加、导致资源耗尽或枚举存储桶名称以进行发现。 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [数据源:AWS S3], [资源:调查指南], [用例:日志审计], [策略:影响] |
8.13.0 |
4 |
|
识别添加到 S3 存储桶的过期生命周期配置。生命周期配置可用于管理存储桶中的对象,包括设置过期策略。此规则检测何时将生命周期配置添加到 S3 存储桶,这可能表明存储桶中的对象将在指定时间段后自动删除。这可以用于通过删除包含恶意活动证据的对象来逃避检测。 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [数据源:Amazon S3], [用例:资产可见性], [策略:防御规避] |
无 |
2 |
|
识别 AWS S3 存储桶策略更改,以与外部账户共享权限。攻击者可能会尝试通过与外部账户共享 S3 存储桶来设置后门。这可以用于泄露数据或为其他攻击者提供访问权限。此规则通过 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [数据源:AWS S3], [用例:威胁检测], [策略:数据泄露] |
无 |
2 |
|
识别何时使用 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [数据源:AWS S3], [资源:调查指南], [用例:威胁检测], [策略:数据泄露] |
无 |
1 |
|
识别何时禁用 Amazon S3 存储桶的服务器访问日志记录。服务器访问日志提供对 S3 存储桶发出的请求的详细记录。当存储桶的服务器访问日志记录被禁用时,可能表明攻击者试图通过禁用包含恶意活动证据的日志来损害防御能力。 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [数据源:Amazon S3], [用例:资产可见性], [策略:防御规避] |
无 |
1 |
|
识别 S3 存储桶中使用来自外部账户的 AWS KMS 密钥进行加密的 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [数据源:AWS S3], [数据源:AWS KMS], [用例:威胁检测], [策略:影响] |
8.13.0 |
2 |
|
识别何时暂停 Amazon S3 存储桶的对象版本控制。对象版本控制允许在同一存储桶中存在对象的多个版本。这允许轻松恢复已删除或覆盖的对象。当存储桶的对象版本控制被暂停时,可能表明攻击者试图在恶意活动后抑制系统恢复。此外,当版本控制被暂停时,可以删除存储桶。 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [数据源:AWS S3], [用例:威胁检测], [策略:影响] |
无 |
2 |
|
识别何时由通常不执行此操作的用户的电子邮件地址订阅 SNS 主题。攻击者可能会订阅 SNS 主题以收集敏感信息或通过外部电子邮件地址泄露数据。 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [数据源:AWS SNS], [资源:调查指南], [用例:威胁检测], [策略:数据泄露] |
无 |
1 |
|
识别何时由通常不执行此操作的用户创建 AWS Systems Manager (SSM) 命令文档。攻击者可能会创建 SSM 命令文档以在托管实例上执行命令,这可能导致未经授权的访问、命令和控制、数据泄露等。 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [数据源:AWS SNS], [数据源:AWS Systems Manager], [资源:调查指南], [用例:威胁检测], [策略:执行] |
无 |
1 |
|
检测使用 AWS Systems Manager (SSM) 在 EC2 实例上执行命令或脚本的行为,例如 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [数据源:AWS SSM], [用例:日志审计], [用例:威胁检测], [策略:执行], [资源:调查指南] |
无 |
210 |
|
识别 AWS Systems Manager (SSM) |
[域:端点], [域:云], [操作系统:Linux], [操作系统:macOS], [操作系统:Windows], [用例:威胁检测], [策略:执行], [数据源:Elastic Defend], [数据源:Elastic Endgame], [数据源:Auditd Manager] |
无 |
3 |
|
识别用户何时使用新的 MFA 设备承担角色。用户可以承担角色以获取临时凭据,并使用 AWS Security Token Service (STS) 的 AssumeRole API 访问 AWS 资源。虽然新的 MFA 设备并不总是表明恶意行为,但应进行验证,因为攻击者可以使用此技术进行持久化和权限提升。 |
[领域:云], [数据源:AWS], [数据源:Amazon Web Services], [数据源:AWS STS], [用例:身份和访问审计], [战术:特权提升], [战术:持久性], [战术:横向移动] |
无 |
1 |
|
识别 AWS 中罕见用户执行 STS |
[领域:云], [数据源:AWS], [数据源:Amazon Web Services], [数据源:AWS STS], [资源:调查指南], [用例:身份和访问审计], [战术:特权提升] |
无 |
1 |
|
拥有被盗凭据的攻击者可能会尝试验证凭据是否有效并确定他们正在使用的账户。此规则查找在过去 15 天内首次调用 STS |
[领域:云], [数据源:AWS], [数据源:Amazon Web Services], [数据源:AWS STS], [用例:身份和访问审计], [战术:发现], [资源:调查指南] |
无 |
3 |
|
识别可疑的 GetSessionToken 使用情况。攻击者可以创建和使用令牌进行横向移动和提升权限。 |
[领域:云], [数据源:AWS], [数据源:Amazon Web Services], [数据源:AWS STS], [用例:身份和访问审计], [战术:特权提升] |
无 |
206 |
|
识别服务在 AWS 安全令牌服务 (STS) 中承担角色的情况。服务可以承担角色以获取临时凭据并访问 AWS 资源。攻击者可以使用此技术进行凭据访问和权限提升。这是一个[新术语](https://elastic.ac.cn/guide/en/security/current/rules-ui-create.html#create-new-terms-rule)规则,用于识别服务在 AWS 安全令牌服务 (STS) 中承担角色以获取临时凭据并访问 AWS 资源的情况。虽然通常是合法的,但攻击者可能会使用此技术在 AWS 环境中进行未经授权的访问、权限提升或横向移动。 |
[领域:云], [数据源:AWS], [数据源:Amazon Web Services], [数据源:AWS STS], [资源:调查指南], [用例:身份和访问审计], [战术:特权提升] |
无 |
209 |
|
识别用户或角色在 AWS 安全令牌服务 (STS) 中承担角色的情况。用户可以承担角色以获取临时凭据并访问 AWS 资源。攻击者可以使用此技术进行凭据访问和权限提升。这是一个[新术语](https://elastic.ac.cn/guide/en/security/current/rules-ui-create.html#create-new-terms-rule)规则,用于识别服务在 AWS 安全令牌服务 (STS) 中承担角色以获取临时凭据并访问 AWS 资源的情况。虽然通常是合法的,但攻击者可能会使用此技术在 AWS 环境中进行未经授权的访问、权限提升或横向移动。 |
[领域:云], [数据源:AWS], [数据源:Amazon Web Services], [数据源:AWS STS], [资源:调查指南], [用例:身份和访问审计], [战术:特权提升] |
无 |
1 |
|
识别角色链活动。角色链是指通过 AWS CLI 或 API 使用一个承担的角色来承担第二个角色。虽然这是 AWS 中公认的功能,但如果后续承担的角色提供额外的权限,则可以滥用角色链进行权限提升。角色链也可以用作持久性机制,因为每个 AssumeRole 操作都会生成一个刷新后的会话令牌,其最长持续时间为 1 小时。此规则查找在单个帐户中发生的角色链活动,以消除由常见的跨帐户行为产生的误报。 |
[领域:云], [数据源:AWS], [数据源:Amazon Web Services], [数据源:AWS STS], [用例:威胁检测], [战术:持久性], [战术:特权提升], [战术:横向移动] |
无 |
1 |
|
识别当单个 AWS 资源在 30 秒的时间窗口内在 10 个以上的区域对 EC2 服务配额 L-1216C47A 发出 |
[领域:云], [数据源:AWS], [数据源:Amazon Web Services], [数据源:AWS Service Quotas], [用例:威胁检测], [战术:发现] |
无 |
2 |
|
识别联合用户在没有使用多因素身份验证 (MFA) 的情况下登录 AWS 管理控制台的情况。联合用户通常被授予临时凭据以访问 AWS 服务。如果联合用户在没有使用 MFA 的情况下登录 AWS 管理控制台,则可能表明存在安全风险,因为 MFA 为身份验证过程增加了额外的安全层。这也可能表明滥用 STS 令牌绕过 MFA 要求。 |
[领域:云], [数据源:Amazon Web Services], [数据源:AWS], [数据源:AWS 登录], [用例:威胁检测], [战术:初始访问] |
8.13.0 |
2 |
|
检测用户身份首次使用请求参数中的凭据访问 AWS Systems Manager (SSM) SecureString 参数时,使用 GetParameter 或 GetParameters API 操作。这可能表明该用户正在访问敏感信息。此规则检测用户何时访问 |
[领域:云], [数据源:AWS], [数据源:Amazon Web Services], [数据源:AWS Systems Manager], [战术:凭据访问], [资源:调查指南] |
无 |
2 |
|
识别在 AWS 弹性计算云 (EC2) 中删除一个或多个流日志的情况。攻击者可能会删除流日志以尝试逃避防御。 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [用例:日志审计], [资源:调查指南], [战术:防御规避] |
无 |
209 |
|
识别指定 AWS Web 应用程序防火墙 (WAF) 访问控制列表的删除情况。 |
[域:云], [数据源:AWS], [数据源:亚马逊云服务], [用例:网络安全监控], [战术:防御规避] |
无 |
206 |
|
识别指定 AWS Web 应用程序防火墙 (WAF) 规则或规则组的删除情况。 |
[域:云], [数据源:AWS], [数据源:亚马逊云服务], [用例:网络安全监控], [战术:防御规避] |
无 |
206 |
|
识别在临时文件存储模式 (tmpfs) 目录 /var/run 中创建的进程 ID (PID)、锁定文件或重启文件。在 Linux 上,PID 文件通常保存进程 ID 以跟踪先前运行的副本并管理其他任务。某些 Linux 恶意软件使用 /var/run 目录来保存数据、可执行文件和其他任务,将自身或这些文件伪装成合法的 PID 文件。 |
[领域:端点], [操作系统:Linux], [用例:威胁检测], [战术:执行], [威胁:BPFDoor], [资源:调查指南], [数据源:Elastic Defend], [数据源:Elastic Endgame] |
无 |
214 |
|
特制的 DNS 请求可以操纵某些 Windows DNS 服务器中已知的溢出漏洞,从而导致远程代码执行 (RCE) 或由于服务崩溃而导致的拒绝服务 (DoS)。 |
[用例:威胁检测], [战术:横向移动], [资源:调查指南], [用例:漏洞] |
无 |
105 |
|
此规则检测可能表明使用了 Telnet 流量的网络事件。系统管理员通常使用 Telnet 通过命令行 shell 远程控制较旧的或嵌入式系统。它几乎永远不应直接暴露于 Internet,因为它经常被威胁参与者作为初始访问或后门向量进行攻击和利用。作为一种纯文本协议,它也可能会向任何能够观察流量的人暴露用户名和密码。 |
[领域:端点], [用例:威胁检测], [战术:命令和控制], [战术:横向移动], [战术:初始访问], [数据源:PAN-OS] |
无 |
106 |
|
此规则检测通过 setfacl 命令进行的 Linux 访问控制列表 (ACL) 修改。 |
[领域:端点], [操作系统:Linux], [用例:威胁检测], [战术:防御规避], [数据源:Elastic Defend], [数据源:Elastic Endgame], [数据源:Auditd Manager] |
无 |
2 |
|
攻击者可能会从系统中收集钥匙串存储数据以获取凭据。钥匙串是 macOS 内置的方式,用于跟踪用户用于许多服务和功能的密码和凭据,例如 WiFi 密码、网站、安全备注和证书。 |
[领域:端点], [操作系统:macOS], [用例:威胁检测], [战术:凭据访问], [数据源:Elastic Defend] |
无 |
207 |
|
识别对包含凭据和解密密钥的敏感 Active Directory 对象属性(例如 unixUserPassword、ms-PKI-AccountCredentials 和 msPKI-CredentialRoamingTokens)的访问。 |
[领域:端点], [操作系统:Windows], [用例:威胁检测], [战术:凭据访问], [战术:特权提升], [用例:Active Directory 监控], [数据源:Active Directory], [数据源:System] |
8.14.0 |
112 |
|
识别包含对 Outlook 数据文件扩展名的引用的命令,这些命令可能表明正在搜索、访问或修改这些文件。 |
[领域:端点], [操作系统:Windows], [用例:威胁检测], [战术:收集], [数据源:Elastic Defend], [规则类型:BBR], [数据源:Sysmon], [数据源:Elastic Endgame], [数据源:System] |
8.14.0 |
105 |
|
检测创建和修改启用了“密码永不过期”选项的账户。攻击者可以滥用此错误配置以保持在域中的持久性,并使用具有此属性的被盗账户保持长期访问。 |
[领域:端点], [操作系统:Windows], [用例:威胁检测], [战术:持久性], [数据源:Active Directory], [资源:调查指南], [用例:Active Directory 监控], [数据源:System] |
8.14.0 |
211 |
|
识别 SYSTEM 账户何时使用账户发现实用程序。这可能是在攻击者实现权限提升后进行发现活动的迹象。 |
[领域:端点], [操作系统:Windows], [用例:威胁检测], [战术:发现], [战术:特权提升], [资源:调查指南], [数据源:Elastic Defend], [数据源:Sysmon] |
8.14.0 |
211 |
|
识别尝试远程重置潜在特权账户密码的情况。攻击者可能会操纵账户密码以保持访问权限或逃避密码持续时间策略并保留被盗凭据。 |
[领域:端点], [操作系统:Windows], [用例:威胁检测], [战术:持久性], [战术:影响], [数据源:System] |
8.14.0 |
216 |
|
攻击者可能会使用内置应用程序来获取本地系统或域账户和组的列表。 |
[域:端点], [操作系统:Linux], [操作系统:macOS], [用例:威胁检测], [战术:发现], [规则类型:BBR], [数据源:Elastic Defend], [数据源:Elastic Endgame], [数据源:Auditd Manager] |
无 |
3 |
|
识别使用相关 SMB 命名管道的潜在强制身份验证。攻击者可能会尝试强制目标向他们控制的主机进行身份验证,以捕获哈希或启用中继攻击。 |
[域:端点], [操作系统:Windows], [操作系统:Linux], [用例:威胁检测], [战术:凭据访问], [数据源:Elastic Defend], [数据源:Active Directory], [用例:Active Directory 监控], [数据源:系统] |
无 |
3 |
|
识别 SYSTEM (S-1-5-18) 用户将用户添加到 Active Directory 组的情况。此行为可能表明攻击者已在域控制器中获得 SYSTEM 权限,攻击者可以通过利用漏洞或滥用默认组权限(例如,服务器操作员)来获得此权限,并试图转向域帐户。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:持久性], [用例:Active Directory 监控], [数据源:Active Directory], [数据源:系统] |
8.14.0 |
102 |
|
此规则检测 Active Directory 查询工具 AdFind.exe。AdFind 具有合法用途,但威胁行为者经常利用它来执行漏洞利用后的 Active Directory 侦察。在 Trickbot、Ryuk、Maze 和 FIN6 活动中都观察到了 AdFind 工具。对于 Winlogbeat,此规则需要 Sysmon。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:发现], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
314 |
|
对手可以向文件添加隐藏属性,使其对用户隐藏,以试图逃避检测。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [战术:持久性], [数据源:Elastic Endgame], [资源:调查指南], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
314 |
|
检测 AdminSDHolder 对象中的修改。攻击者可以滥用 SDProp 进程在 Active Directory 中实现持久后门。SDProp 将受保护对象的权限与 AdminSDHolder 对象上定义的权限进行比较。如果任何受保护帐户和组的权限不匹配,则受保护帐户和组的权限将被重置为与域的 AdminSDHolder 对象的权限匹配,从而重新获得其管理权限。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:持久性], [用例:Active Directory 监控], [数据源:Active Directory], [数据源:系统] |
8.14.0 |
210 |
|
识别 dsHeuristics 属性的修改,该属性的位包含从 SDProp 进程排除的组的配置。SDProp 将受保护对象的权限与 AdminSDHolder 对象上定义的权限进行比较。如果任何受保护帐户和组的权限不匹配,则受保护帐户和组的权限将被重置为与域的 AdminSDHolder 对象的权限匹配,这意味着排除的组将保持不变。攻击者可以滥用此错误配置来长期维护对这些组中特权帐户的访问权限。 |
[领域:端点], [操作系统:Windows], [用例:威胁检测], [战术:持久性], [数据源:Active Directory], [资源:调查指南], [用例:Active Directory 监控], [数据源:System] |
8.14.0 |
212 |
|
检测何时将管理员角色分配给 Okta 组。对手可能会尝试将管理员权限分配给 Okta 组,以便向受感染的用户帐户分配其他权限,并保持对其目标组织的访问权限。 |
[用例:身份和访问审计], [数据源:Okta], [战术:持久性] |
8.15.0 |
409 |
|
识别何时将管理员角色分配给 Okta 用户。对手可能会尝试将管理员角色分配给 Okta 用户,以便向用户帐户分配其他权限,并保持对其目标环境的访问权限。 |
[数据源:Okta], [用例:身份和访问审计], [战术:持久性] |
8.15.0 |
409 |
|
检测在启动时将由 Adobe 自动启动的可执行文件的写入。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:持久性], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Microsoft Defender for Endpoint] |
8.14.0 |
414 |
|
Elastic Endgame 检测到对手行为。单击事件.module 列中的 Elastic Endgame 图标或 rule.reference 列中的链接以获取其他信息。 |
[数据源:Elastic Endgame] |
无 |
104 |
|
检测到预期事件代理 ID 不匹配的事件。当与 API 密钥关联的预期代理 ID 与事件中的实际代理 ID 不匹配时,会发生“agent_id_mismatch/mismatch”状态。这可能表明试图欺骗事件以伪装实际活动以逃避检测。 |
[用例:威胁检测], [战术:防御规避] |
无 |
102 |
|
检测到多个主机正在使用同一代理 ID。这可能会在代理被接管并用于将非法文档注入实例的情况下发生,以试图欺骗事件以伪装实际活动以逃避检测。 |
[用例:威胁检测], [战术:防御规避] |
无 |
102 |
|
识别卷根目录中备用数据流 (ADS) 的创建,这可能表明试图隐藏工具和恶意软件,因为在此目录中创建的 ADS 不会被系统实用程序显示。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne], [数据源:Elastic Endgame] |
8.14.0 |
201 |
|
查找通常不运行编译器的用户上下文的编译器活动。这可能是临时软件更改或未经授权的软件部署的结果。这也可能是由于通过本地运行的漏洞利用或恶意软件活动导致的本地权限提升。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [规则类型:ML], [规则类型:机器学习], [战术:资源开发] |
无 |
104 |
|
在整个舰队或网络中的多台 Linux 主机上搜索运行的稀有进程。这减少了对误报的检测,因为自动化维护进程通常仅在单台机器上偶尔运行,但在舰队中的所有或许多主机上都很常见。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [规则类型:ML], [规则类型:机器学习], [战术:持久性], [资源:调查指南] |
无 |
105 |
|
在整个舰队或网络中的多台主机上搜索运行的稀有进程。这减少了对误报的检测,因为自动化维护进程通常仅在单台机器上偶尔运行,但在舰队中的所有或许多主机上都很常见。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [规则类型:ML], [规则类型:机器学习], [战术:持久性], [战术:执行] |
8.14.0 |
208 |
|
识别不寻常的父子进程关系,这可能表明恶意软件执行或持久性机制。恶意脚本通常会调用其他应用程序和进程作为其漏洞利用有效负载的一部分。例如,当恶意 Office 文档运行脚本作为漏洞利用有效负载的一部分时,Excel 或 Word 可能会启动脚本解释器进程,该进程反过来会运行下载和执行恶意软件的脚本。另一个常见的情况是,当在电子邮件中下载恶意软件时,Outlook 运行一个不寻常的进程。监视和识别异常进程关系是检测尚未被防病毒扫描程序识别的新兴恶意软件的一种方法。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [规则类型:ML], [规则类型:机器学习], [战术:持久性], [资源:调查指南] |
8.14.0 |
208 |
|
检测通过 Apple 脚本解释器 (osascript) 进行的执行,然后是同一进程在短时间内发起的网络连接。对手可能会使用恶意脚本进行执行和命令与控制。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [战术:命令与控制], [战术:执行], [数据源:Elastic Defend] |
无 |
106 |
|
识别 Apple 脚本解释器 (osascript) 的执行,该执行无需密码提示并且具有管理员权限。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [战术:执行], [战术:权限提升], [数据源:Elastic Defend] |
无 |
207 |
|
检测何时将 Google 应用商店应用程序添加到 Google Workspace 域。对手可能会向组织的 Google Workspace 域添加恶意应用程序,以便在其目标组织中保持存在并窃取数据。 |
[域:云], [数据源:Google Workspace], [用例:配置审计], [战术:持久性], [资源:调查指南] |
无 |
206 |
|
Google Workspace 管理员可能知道 Google 应用商店中的恶意应用程序,并出于用户安全目的阻止这些应用程序。具有管理权限的对手可能会从显式阻止列表中删除此应用程序,以允许在用户之间分发该应用程序。这也可能表明用户未经授权使用之前已被具有管理员权限的用户阻止的应用程序。 |
[域:云], [数据源:Google Workspace], [用例:配置审计], [资源:调查指南], [战术:防御规避] |
无 |
107 |
|
识别具有不寻常扩展名的存档文件的创建。攻击者可能会尝试通过使用图像、音频或文档文件类型使用的文件扩展名值来伪装文件,从而逃避检测。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [数据源:Elastic Defend], [规则类型:BBR] |
无 |
2 |
|
此规则监视正在创建或重命名的 at 作业。Linux at 作业是计划任务,系统管理员可以利用这些任务来设置计划任务,但恶意行为者可能会滥用这些任务来实现持久性、权限提升和命令执行。通过创建或修改 cron 作业配置,攻击者可以在预定义的时间间隔执行恶意命令或脚本,从而确保其持续存在并启用未经授权的活动。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:持久性], [战术:权限提升], [战术:执行], [数据源:Elastic Defend] |
无 |
2 |
|
识别使用 at.exe 与远程主机上的任务计划程序进行交互。远程任务的创建、修改或执行可能表明对手的横向移动。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:横向移动], [数据源:Elastic Defend], [规则类型:BBR], [数据源:Elastic Endgame], [数据源:系统] |
8.14.0 |
105 |
|
监控通过 dmesg 删除内核环形缓冲区事件的行为。攻击者可能会在安装 Linux 内核模块 (LKM) 后清除内核环形缓冲区事件,以逃避检测。 |
[领域:端点], [操作系统:Linux], [用例:威胁检测], [战术:防御规避], [数据源:Elastic Defend], [数据源:Elastic Endgame], [数据源:Auditd Manager] |
无 |
5 |
|
检测尝试创建 Okta API 令牌的行为。攻击者可能会创建 Okta API 令牌,以便在实现其目标的同时保持对组织网络的访问。攻击者可能会滥用 API 令牌来执行诸如创建用户帐户或禁用安全规则或策略等技术。 |
[用例:身份和访问审计], [数据源:Okta], [战术:持久性] |
8.15.0 |
409 |
|
检测尝试停用 Okta 应用程序的行为。攻击者可能会尝试修改、停用或删除 Okta 应用程序,以削弱组织的安全控制或扰乱其业务运营。 |
[用例:身份和访问审计], [数据源:Okta], [策略:影响] |
8.15.0 |
410 |
|
检测尝试停用 Okta 网络区域的行为。可以配置 Okta 网络区域以根据 IP 地址或地理位置限制或限制对网络的访问。攻击者可能会尝试修改、删除或停用 Okta 网络区域,以删除或削弱组织的安全控制。 |
[用例:身份和访问审计], [数据源:Okta], [用例:网络安全监控], [策略:防御规避] |
8.15.0 |
410 |
|
检测尝试停用 Okta 策略的行为。攻击者可能会尝试停用 Okta 策略,以削弱组织的安全控制。例如,攻击者可能会尝试停用 Okta 多因素身份验证 (MFA) 策略,以削弱用户帐户的身份验证要求。 |
[用例:身份和访问审计], [数据源:Okta], [策略:防御规避] |
8.15.0 |
410 |
|
检测尝试停用 Okta 策略内的规则的行为。攻击者可能会尝试停用 Okta 策略内的规则,以删除或削弱组织的安全控制。 |
[用例:身份和访问审计], [策略:防御规避], [数据源:Okta] |
8.15.0 |
411 |
|
检测尝试删除 Okta 应用程序的行为。攻击者可能会尝试修改、停用或删除 Okta 应用程序,以削弱组织的安全控制或扰乱其业务运营。 |
[用例:身份和访问审计], [数据源:Okta], [策略:影响] |
8.15.0 |
409 |
|
检测尝试删除 Okta 网络区域的行为。可以配置 Okta 网络区域以根据 IP 地址或地理位置限制或限制对网络的访问。攻击者可能会尝试修改、删除或停用 Okta 网络区域,以删除或削弱组织的安全控制。 |
[用例:身份和访问审计], [数据源:Okta], [用例:网络安全监控], [策略:防御规避] |
8.15.0 |
410 |
|
检测尝试删除 Okta 策略的行为。攻击者可能会尝试删除 Okta 策略,以削弱组织的安全控制。例如,攻击者可能会尝试删除 Okta 多因素身份验证 (MFA) 策略,以削弱用户帐户的身份验证要求。 |
[用例:身份和访问审计], [数据源:Okta], [策略:防御规避] |
8.15.0 |
410 |
|
检测尝试删除 Okta 策略内的规则的行为。攻击者可能会尝试删除 Okta 策略规则,以削弱组织的安全控制。 |
[用例:身份和访问审计], [数据源:Okta], [策略:防御规避] |
8.15.0 |
410 |
|
攻击者可能会尝试禁用 Auditd 服务以逃避检测。Auditd 是一项提供系统审计和日志记录的 Linux 服务。禁用 Auditd 服务可能会阻止系统记录重要的安全事件,这些事件可用于检测恶意活动。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:防御规避], [数据源:Elastic Defend], [数据源:Elastic Endgame] |
无 |
1 |
|
检测在 macOS 上尝试禁用 Gatekeeper 的行为。Gatekeeper 是一项安全功能,旨在确保只运行受信任的软件。攻击者可能会在执行恶意代码之前尝试禁用 Gatekeeper。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [策略:防御规避], [数据源:Elastic Defend] |
无 |
106 |
|
攻击者可能会尝试禁用 iptables 或防火墙服务,以试图影响主机接收或发送网络流量的方式。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:防御规避], [数据源:Elastic Defend], [数据源:Elastic Endgame] |
无 |
9 |
|
攻击者可能会尝试禁用 syslog 服务,以试图扰乱事件日志记录,并逃避安全控制的检测。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:防御规避], [数据源:Elastic Endgame], [数据源:Elastic Defend] |
无 |
110 |
|
识别使用 dsenableroot 命令尝试启用 root 帐户的行为。攻击者可能会滥用此命令来实现持久性,因为 root 帐户默认情况下处于禁用状态。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [策略:持久性], [数据源:Elastic Defend] |
无 |
106 |
|
检测执行带有 tunnel 命令行选项的 VScode 便携式二进制文件,表明尝试建立到 Github 或远程 VScode 实例的远程隧道会话。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:命令和控制], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Microsoft Defender for Endpoint], [数据源:系统], [数据源:Crowdstrike] |
8.14.0 |
104 |
|
检测尝试通过 Windows Subsystem for Linux 安装或使用 Kali Linux 的行为。攻击者可能会启用并使用 WSL for Linux 以避免被检测到。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:防御规避], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
209 |
|
攻击者可能会在受感染的系统上安装根证书,以避免在连接到其命令和控制服务器时出现警告。根证书用于公钥加密中,以标识根证书颁发机构 (CA)。安装根证书后,系统或应用程序将信任由根证书签名的根信任链中的证书。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [策略:防御规避], [数据源:Elastic Defend] |
无 |
106 |
|
检测尝试修改 Okta 应用程序的行为。攻击者可能会尝试修改、停用或删除 Okta 应用程序,以削弱组织的安全控制或扰乱其业务运营。 |
[用例:身份和访问审计], [数据源:Okta], [策略:影响] |
8.15.0 |
409 |
|
检测尝试修改 Okta 网络区域的行为。可以配置 Okta 网络区域以根据 IP 地址或地理位置限制或限制对网络的访问。攻击者可能会尝试修改、删除或停用 Okta 网络区域,以删除或削弱组织的安全控制。 |
[用例:身份和访问审计], [数据源:Okta], [用例:网络安全监控], [策略:防御规避] |
8.15.0 |
410 |
|
检测尝试修改 Okta 策略的行为。攻击者可能会尝试修改 Okta 策略,以削弱组织的安全控制。例如,攻击者可能会尝试修改 Okta 多因素身份验证 (MFA) 策略,以削弱用户帐户的身份验证要求。 |
[用例:身份和访问审计], [数据源:Okta], [策略:防御规避] |
8.15.0 |
410 |
|
检测尝试修改 Okta 策略内的规则的行为。攻击者可能会尝试修改 Okta 策略规则,以削弱组织的安全控制。 |
[用例:身份和访问审计], [策略:防御规避], [数据源:Okta] |
8.15.0 |
411 |
|
识别执行 macOS 内置命令以挂载服务器消息块 (SMB) 网络共享的行为。攻击者可能会使用有效帐户通过 SMB 与远程网络共享进行交互。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [策略:横向移动], [数据源:Elastic Defend] |
无 |
107 |
|
检测尝试重置 Okta 用户注册的多因素身份验证 (MFA) 因素的行为。攻击者可能会尝试重置 Okta 用户帐户的 MFA 因素,以便注册新的 MFA 因素并滥用该帐户,从而融入受害者环境中的正常活动。 |
[策略:持久性], [用例:身份和访问审计], [数据源:Okta] |
8.15.0 |
410 |
|
识别 AWS CloudTrail 日志中带有属性 userData 和 instanceId 的发现请求 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [数据源:Amazon EC2], [用例:日志审计], [策略:发现], [规则类型:BBR] |
无 |
2 |
|
识别尝试撤销 Okta API 令牌的行为。攻击者可能会尝试撤销或删除 Okta API 令牌以扰乱组织的业务运营。 |
[用例:身份和访问审计], [数据源:Okta], [策略:影响] |
8.15.0 |
410 |
|
识别通过 kextunload 命令尝试卸载 Elastic Endpoint Security 内核扩展的行为。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [策略:防御规避], [数据源:Elastic Defend] |
无 |
106 |
|
检测尝试绕过 Okta 多因素身份验证 (MFA) 的行为。攻击者可能会尝试绕过为组织配置的 Okta MFA 策略,以获取对应用程序的未经授权的访问。 |
[数据源:Okta], [用例:身份和访问审计], [策略:凭据访问] |
8.15.0 |
411 |
|
攻击者可能会尝试访问私钥(例如 ssh),以便进一步获得对环境的身份验证访问。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:凭据访问], [数据源:Elastic Defend], [规则类型:BBR], [数据源:Sysmon], [数据源:Elastic Endgame], [数据源:系统] |
8.14.0 |
106 |
|
通过检测 30 分钟内大量失败的登录尝试或登录源,识别针对 Microsoft 365 用户帐户的潜在暴力破解尝试。攻击者可能会尝试暴力破解用户帐户,以获取对 Microsoft 365 服务的未经授权的访问。 |
[域:云], [域:SaaS], [数据源:Microsoft 365], [用例:身份和访问审计], [用例:威胁检测], [策略:凭据访问] |
8.13.0 |
311 |
|
识别 Okta 用户帐户在 3 小时内被锁定 3 次的情况。攻击者可能会尝试暴力破解或密码喷洒攻击,以获取对用户帐户的未经授权的访问。默认的 Okta 身份验证策略确保在 10 次身份验证尝试失败后锁定用户帐户。 |
[用例:身份和访问审计], [策略:凭据访问], [数据源:Okta] |
8.15.0 |
412 |
|
此规则检测通过不常用的 PAM 授权者进行的成功身份验证。这可能表明攻击者试图通过修改默认 PAM 配置来提升权限或在系统上保持持久性。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:凭据访问], [策略:持久性], [数据源:Auditd Manager] |
无 |
1 |
|
授权插件用于扩展授权服务 API 并实现操作系统本身不支持的机制,例如使用第三方软件的多因素身份验证。攻击者可能会滥用此功能来保持持久性和/或在用户登录期间遍历已注册的插件时收集明文凭据。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [策略:持久性], [数据源:Elastic Defend] |
无 |
107 |
|
在 Azure Active Directory (Azure AD) 中,管理资源的权限是通过角色分配的。“全局管理员”是一种角色,使用户能够访问 Azure AD 中的所有管理功能,以及使用 Azure AD 身份的服务,例如 Microsoft 365 Defender 门户、Microsoft 365 合规中心、Exchange、SharePoint Online 和 Skype for Business Online。攻击者可以将用户添加为全局管理员,以保持访问权限并管理所有订阅及其设置和资源。 |
[域:云], [数据源:Azure], [用例:身份和访问审计], [策略:持久化] |
无 |
102 |
|
利用 Microsoft 的身份保护机器学习和启发式方法识别高风险的 Azure Active Directory (AD) 登录。身份保护将风险分为三个等级:低、中和高。虽然 Microsoft 没有提供有关如何计算风险的具体细节,但每个级别都带来更高的用户或登录被入侵的置信度。 |
[域:云], [数据源:Azure], [用例:身份和访问审计], [资源:调查指南], [策略:初始访问] |
无 |
105 |
|
利用 Microsoft 身份保护机器学习和启发式方法识别高风险的 Azure Active Directory (AD) 登录。 |
[域:云], [数据源:Azure], [用例:身份和访问审计], [资源:调查指南], [策略:初始访问] |
无 |
105 |
|
识别使用 Azure Active Directory PowerShell 模块进行的登录。Azure Active Directory 的 PowerShell 允许从命令行管理设置,这适用于属于管理员角色的用户。 |
[域:云], [数据源:Azure], [用例:身份和访问审计], [资源:调查指南], [策略:初始访问] |
无 |
105 |
|
识别在 Azure 中创建抑制规则。抑制规则是一种机制,用于抑制先前被识别为误报或过于嘈杂而无法在生产环境中使用的警报。这种机制可能被滥用或错误配置,导致防御规避和安全可见性丧失。 |
[域:云], [数据源:Azure], [用例:配置审计], [策略:防御规避] |
无 |
102 |
|
识别何时将新凭据添加到 Azure 中的应用程序。应用程序可以使用证书或密钥字符串来证明其在请求令牌时的身份。可以为应用程序添加多个证书和密钥,攻击者可能会滥用此功能,通过创建额外的身份验证方法来规避防御或在环境中持久化。 |
[域:云], [数据源:Azure], [用例:身份和访问审计], [策略:防御规避] |
无 |
102 |
|
识别何时创建 Azure 自动化帐户。Azure 自动化帐户可用于自动化管理任务和协调跨系统的操作。攻击者可能会创建一个自动化帐户,以便在其目标环境中保持持久性。 |
[域:云], [数据源:Azure], [用例:身份和访问审计], [策略:持久化] |
无 |
102 |
|
识别何时创建或修改 Azure 自动化 Runbook。攻击者可能会创建或修改 Azure 自动化 Runbook 来执行恶意代码并在其目标环境中保持持久性。 |
[域:云], [数据源:Azure], [用例:配置审计], [策略:持久化] |
无 |
102 |
|
识别何时删除 Azure 自动化 Runbook。攻击者可能会删除 Azure 自动化 Runbook,以扰乱其目标的自动化业务运营,或为了防御规避而删除恶意 Runbook。 |
[域:云], [数据源:Azure], [用例:配置审计], [策略:防御规避] |
无 |
102 |
|
识别何时创建 Azure 自动化 Webhook。可以将 Azure 自动化 Runbook 配置为通过 Webhook 执行。Webhook 使用传递给 Azure 自动化的自定义 URL 以及特定于 Runbook 的数据有效负载。攻击者可能会创建一个 Webhook 以触发包含恶意代码的 Runbook。 |
[域:云], [数据源:Azure], [用例:配置审计], [策略:持久化] |
无 |
102 |
|
识别对 Azure 中容器访问级别的更改。对 Azure 中容器和 Blob 的匿名公共读取访问是一种广泛共享数据的方式,但如果对敏感数据的访问没有得到谨慎管理,则可能会带来安全风险。 |
[域:云], [数据源:Azure], [用例:资产可见性], [策略:发现] |
无 |
102 |
|
识别何时修改 Azure Blob 的 Azure 基于角色的访问控制 (Azure RBAC) 权限。攻击者可能会修改 Blob 的权限以削弱其目标的安全控制,或者管理员可能会无意中修改权限,这可能会导致数据泄露或丢失。 |
[域:云], [数据源:Azure], [用例:身份和访问审计], [策略:防御规避], [数据源:Elastic Defend] |
无 |
103 |
|
识别在 Azure 中的虚拟机 (VM) 上执行命令。虚拟机参与者角色允许您管理虚拟机,但不允许访问它们,也不允许访问它们连接到的虚拟网络或存储帐户。但是,可以使用 PowerShell 在 VM 上运行命令,这些命令以系统身份执行。其他角色,例如某些管理员角色也可能能够在 VM 上执行命令。 |
[域:云], [数据源:Azure], [用例:日志审计], [策略:执行] |
无 |
102 |
|
识别何时修改 Azure 条件访问策略。Azure 条件访问策略通过 if-then 语句控制对资源的访问。例如,如果用户想要访问资源,则他们必须完成诸如使用多因素身份验证来访问它的操作。攻击者可能会修改条件访问策略,以削弱其目标的安全控制。 |
[域:云], [数据源:Azure], [用例:配置审计], [策略:持久化] |
无 |
102 |
|
识别 Azure 中诊断设置的删除,这些设置将平台日志和指标发送到不同的目标。攻击者可能会删除诊断设置,以试图规避防御。 |
[域:云], [数据源:Azure], [策略:防御规避] |
无 |
102 |
|
通过检测在 30 分钟窗口内从单个源发起的多次失败的交互式或非交互式登录尝试,识别针对 Microsoft 365 用户帐户的潜在暴力破解尝试。攻击者可能会尝试暴力破解用户帐户,以通过 Exchange、SharePoint 或 Teams 等不同的服务来获得对 Microsoft 365 服务的未经授权的访问。 |
[域:云], [域:SaaS], [数据源:Azure], [数据源:Entra ID], [数据源:Entra ID 登录], [用例:身份和访问审计], [用例:威胁检测], [策略:凭据访问] |
8.13.0 |
2 |
|
通过检测在 30 分钟窗口内发生的多次失败的交互式或非交互式登录尝试,识别针对 Microsoft 365 用户帐户的潜在暴力破解尝试。攻击者可能会尝试暴力破解用户帐户,以通过 Exchange、SharePoint 或 Teams 等不同的服务来获得对 Microsoft 365 服务的未经授权的访问。 |
[域:云], [域:SaaS], [数据源:Azure], [数据源:Entra ID], [数据源:Entra ID 登录], [用例:身份和访问审计], [用例:威胁检测], [策略:凭据访问] |
8.13.0 |
2 |
|
识别何时在 Azure 中创建或更新事件中心授权规则。授权规则与特定权限相关联,并携带一对加密密钥。当您创建事件中心命名空间时,将为该命名空间创建一个名为 RootManageSharedAccessKey 的策略规则。这具有对整个命名空间的管理权限,建议您将此规则视为管理根帐户,并且不要在您的应用程序中使用它。 |
[域:云], [数据源:Azure], [用例:日志审计], [策略:收集] |
无 |
103 |
|
识别 Azure 中的事件中心删除。事件中心是一种事件处理服务,用于摄取和处理大量的事件和数据。攻击者可能会删除事件中心以试图规避检测。 |
[域:云], [数据源:Azure], [用例:日志审计], [策略:防御规避] |
无 |
102 |
|
识别在 Azure Active Directory (AD) 中对外部用户的邀请。Azure AD 扩展为包括协作,允许您邀请组织外部的人员作为来宾用户加入您的云帐户。除非有业务需要配置来宾访问权限,否则最佳实践是避免创建来宾用户。来宾用户可能会被无限期地忽略,从而导致潜在的漏洞。 |
[域:云], [数据源:Azure], [用例:身份和访问审计], [策略:初始访问] |
无 |
102 |
|
识别 Azure 中防火墙策略的删除。攻击者可能会删除防火墙策略,以试图规避防御和/或消除实现其目标的障碍。 |
[域:云], [数据源:Azure], [用例:网络安全监控], [策略:防御规避] |
无 |
102 |
|
识别 Azure 中 Frontdoor Web 应用程序防火墙 (WAF) 策略的删除。攻击者可能会删除 Frontdoor Web 应用程序防火墙 (WAF) 策略,以试图规避防御和/或消除实现其目标的障碍。 |
[域:云], [数据源:Azure], [用例:网络安全监控], [策略:防御规避] |
无 |
102 |
|
识别 Azure 中潜在的全网络数据包捕获。数据包捕获是 Azure 网络观察程序的一项功能,可用于检查网络流量。此功能可能会被滥用,以读取来自未加密内部流量的敏感数据。 |
[域:云], [数据源:Azure], [策略:凭据访问] |
无 |
103 |
|
识别添加到特权身份管理 (PIM) 用户帐户的 Azure Active Directory (AD) 全局管理员角色。PIM 是一项服务,使您能够管理、控制和监视对组织中重要资源的访问。分配给全局管理员角色的用户可以读取和修改您的 Azure AD 组织中的任何管理设置。 |
[域:云], [数据源:Azure], [用例:身份和访问审计], [策略:持久化] |
无 |
102 |
|
识别对 Azure 中密钥保管库的修改。密钥保管库是一项服务,用于保护加密密钥和机密,例如证书、连接字符串和密码。由于此数据是敏感的且业务关键的,因此应保护对密钥保管库的访问,仅允许授权的应用程序和用户访问。 |
[域:云], [数据源:Azure], [策略:凭据访问] |
无 |
103 |
|
识别 Azure Kubernetes 中事件被删除的情况。Kubernetes 事件是记录任何状态更改的对象。例如,容器创建、镜像拉取或节点上的 Pod 调度等都是事件。攻击者可能会删除 Azure Kubernetes 中的事件,试图逃避检测。 |
[域:云], [数据源:Azure], [用例:日志审计], [策略:防御规避] |
无 |
102 |
|
识别 Azure Kubernetes Pod 的删除行为。攻击者可能会删除 Kubernetes Pod,以破坏环境的正常行为。 |
[域:云], [数据源:Azure], [用例:资产可见性], [策略:影响] |
无 |
102 |
|
识别角色绑定或集群角色绑定的创建。您可以使用角色绑定和集群角色绑定将这些角色分配给 Kubernetes 主体(用户、组或服务帐户)。在集群中拥有创建绑定和集群绑定权限的攻击者可以创建到 cluster-admin ClusterRole 或其他高权限角色的绑定。 |
[域:云], [数据源:Azure], [用例:身份和访问审计], [策略:权限提升] |
无 |
102 |
|
识别 Azure 中网络观察器的删除。网络观察器用于监视、诊断、查看指标以及启用或禁用 Azure 虚拟网络中资源的日志。攻击者可能会删除网络观察器,试图逃避防御。 |
[域:云], [数据源:Azure], [用例:网络安全监控], [策略:防御规避] |
无 |
102 |
|
Azure Active Directory (AD) 特权身份管理 (PIM) 是一项服务,可用于管理、控制和监视对组织中重要资源的访问。PIM 可用于管理内置的 Azure 资源角色,例如全局管理员和应用程序管理员。攻击者可能会将用户添加到 PIM 角色,以便在其目标环境中保持持久性,或者修改 PIM 角色以削弱其目标的安全控制。 |
[域:云], [数据源:Azure], [用例:身份和访问审计], [资源:调查指南], [策略:持久性] |
无 |
105 |
|
识别 Azure 中资源组的删除,其中包括该组内的所有资源。删除是永久且不可逆转的。攻击者可能会删除资源组,试图逃避防御或故意销毁数据。 |
[域:云], [数据源:Azure], [用例:日志审计], [策略:影响] |
无 |
102 |
|
识别 Azure 中何时添加新的服务主体。访问或修改资源的应用程序、托管服务或自动化工具需要创建身份。此身份称为服务主体。出于安全原因,始终建议将服务主体与自动化工具一起使用,而不是允许它们使用用户身份登录。 |
[域:云], [数据源:Azure], [用例:身份和访问审计], [资源:调查指南], [策略:逃避防御] |
无 |
105 |
|
识别 Azure 中何时添加了新的服务主体凭据。在大多数组织中,凭据将很少添加到服务主体。劫持具有已授予权限的应用程序(通过添加恶意密钥或证书)将允许攻击者访问通常受 MFA 要求保护的数据。 |
[域:云], [数据源:Azure], [用例:身份和访问审计], [策略:影响] |
无 |
102 |
|
识别 Azure 中存储帐户访问密钥的轮换。重新生成访问密钥可能会影响任何依赖于存储帐户密钥的应用程序或 Azure 服务。攻击者可能会重新生成密钥,作为获取访问系统和资源的凭据的一种手段。 |
[域:云], [数据源:Azure], [用例:身份和访问审计], [策略:凭据访问] |
无 |
102 |
|
识别虚拟网络设备何时被修改或删除。这可以是网络虚拟设备、虚拟中心或虚拟路由器。 |
[域:云], [数据源:Azure], [用例:网络安全监控], [策略:影响] |
无 |
102 |
|
检测何时使用 tc (传输控制) 二进制文件在网络接口上设置 BPF (Berkeley 数据包过滤器)。Tc 用于配置 Linux 内核中的流量控制。它可以整形、调度、管理和丢弃流量。威胁行为者可以利用 tc 在接口上设置 bpf 过滤器,以操纵传入的流量。此技术并不常见,应表明存在异常、可疑或恶意活动。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:执行], [威胁:TripleCross], [数据源:Elastic Endgame], [数据源:Elastic Defend] |
无 |
108 |
|
攻击者可能会对数据进行编码/解码,试图逃避基于主机或网络的安全性控制的检测。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:逃避防御], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Auditd Manager] |
无 |
110 |
|
~/.bash_profile 和 ~/.bashrc 都是包含 Bash 被调用时运行的 shell 命令的文件。这些文件在用户登录时,以交互或非交互方式在用户的上下文中执行,以便正确设置其环境。攻击者可能会滥用此功能,通过执行用户 shell 触发的恶意内容来建立持久性。 |
[域:端点], [操作系统:macOS], [操作系统:Linux], [用例:威胁检测], [策略:持久性], [数据源:Elastic Defend] |
无 |
104 |
|
攻击者可能会滥用 cmd.exe 命令将二进制片段重新组合成恶意负载。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:逃避防御], [策略:执行], [数据源:Elastic Defend], [规则类型:BBR], [数据源:Sysmon], [数据源:Elastic Endgame], [数据源:系统] |
8.14.0 |
106 |
|
识别 Linux 共享内存目录(/dev/shm/、/run/shm/、/var/run/、/var/lock/)中 root 执行二进制文件的情况。此活动应被视为高度异常,应进行调查。威胁行为者已将用于持久性的可执行文件放置在这些目录中的高正常运行时间服务器上,作为系统后门。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:执行], [威胁:BPFDoor], [数据源:Elastic Endgame], [数据源:Elastic Defend] |
无 |
110 |
|
Windows 后台智能传输服务 (BITS) 是一种低带宽、异步文件传输机制。攻击者可能会滥用 BITS 来持久化、下载、执行甚至在运行恶意代码后进行清理。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:命令和控制], [数据源:Elastic Defend], [规则类型:BBR], [数据源:Sysmon], [数据源:Elastic Endgame], [数据源:系统] |
8.14.0 |
105 |
|
识别浏览器扩展的安装。恶意浏览器扩展可以通过伪装成合法扩展的应用程序商店下载、社会工程或已经入侵系统的攻击者进行安装。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:持久性], [数据源:Elastic Defend], [数据源:Elastic Endgame], [数据源:SentinelOne], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint] |
8.14.0 |
202 |
|
识别通过 eventvwr.exe 绕过用户帐户控制 (UAC) 的情况。攻击者绕过 UAC 以隐秘地执行具有提升权限的代码。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:权限提升], [策略:逃避防御], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Microsoft Defender for Endpoint], [数据源:系统], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
315 |
|
识别二进制文件被授予 CAP_SYS_ADMIN 功能的情况。在 Linux 中,CAP_SYS_ADMIN 功能是一项强大而广泛的功能,允许进程执行一系列系统管理操作,例如挂载和卸载文件系统、配置网络接口以及访问硬件设备。攻击者可能会利用错误配置进行利用,以便将其权限提升为 root。该规则通过使用新术语规则类型来识别先前未知的以 CAP_SYS_ADMIN 功能执行的进程。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:持久性], [数据源:Elastic Defend], [规则类型:BBR] |
无 |
2 |
|
检测使用 chkconfig 二进制文件手动添加服务以供 chkconfig 管理的情况。威胁行为者可能会利用此技术来维护系统上的持久性。添加新服务时,chkconfig 会确保该服务在每个运行级别中都有一个启动或终止条目,并且当系统重新启动时,添加的服务文件将运行,从而提供长期持久性。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:持久性], [威胁:Lightning Framework], [数据源:Elastic Endgame], [数据源:Elastic Defend] |
无 |
113 |
|
识别用户何时尝试清除控制台历史记录。攻击者可能会清除受感染帐户的命令历史记录,以隐藏入侵期间采取的操作。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:逃避防御], [策略:执行], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
313 |
|
识别使用 Windows wevetutil 命令清除或禁用 Windows 事件日志存储的尝试。攻击者通常会这样做,试图逃避检测或销毁系统上的取证证据。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:逃避防御], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
315 |
|
Cobalt Strike 是一个威胁仿真平台,通常被攻击者修改和使用,以进行网络攻击和利用活动。此规则检测 Cobalt Strike 植入信标用于命令和控制的网络活动算法。 |
[用例:威胁检测], [策略:命令和控制], [域:端点] |
无 |
105 |
|
识别通过系统原生实用程序尝试禁用/修改代码签名策略的情况。代码签名提供了程序的真实性,并允许用户检查程序是否已被篡改。通过允许执行未签名或自签名代码,威胁行为者可以创建和执行恶意代码。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:逃避防御], [数据源:Elastic Endgame], [资源:调查指南], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
210 |
|
识别通过注册表尝试禁用代码签名策略的情况。代码签名提供了程序的真实性,并允许用户检查程序是否已被篡改。通过允许执行未签名或自签名代码,威胁行为者可以创建和执行恶意代码。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:逃避防御], [数据源:Elastic Endgame], [资源:调查指南], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne] |
8.14.0 |
211 |
|
检测到可疑的 SolarWinds 子进程(Cmd.exe 或 Powershell.exe)。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:执行], [战术:初始访问], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
313 |
|
识别 cmd.exe 建立网络连接的情况。攻击者可能会滥用 cmd.exe 从远程 URL 下载或执行恶意软件。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:执行], [资源:调查指南], [数据源:Elastic Defend], [数据源:Sysmon] |
8.14.0 |
208 |
|
识别通过 RunDLL32 启动的命令 shell 活动,攻击者通常会滥用它来托管恶意代码。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:执行], [战术:凭证访问], [战术:防御规避], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne] |
8.14.0 |
310 |
|
通过注册表修改识别组件对象模型 (COM) 劫持。攻击者可能会通过执行由劫持的 COM 对象引用触发的恶意内容来建立持久性。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:持久性], [战术:防御规避], [战术:特权提升], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend] |
无 |
114 |
|
识别压缩 DLL 的映像加载。攻击者通常会压缩和加密数据,以准备进行数据泄露。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:收集], [数据源:Elastic Defend], [规则类型:BBR] |
无 |
3 |
|
检测控制台窗口主机 (conhost.exe) 进程是否由可疑父进程衍生,这可能表示代码注入。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:执行], [战术:防御规避], [战术:特权提升], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne] |
8.14.0 |
310 |
|
识别使用已知免费 SSL 证书连接到域的不寻常进程。攻击者可能会使用已知的加密算法来隐藏命令和控制流量。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:命令和控制], [数据源:Elastic Defend], [数据源:Sysmon] |
8.14.0 |
207 |
|
攻击者可能会实施使用常用 Web 服务来隐藏其活动的命令和控制 (C2) 通信。这种攻击技术通常针对组织,并使用受害者网络常见的 Web 服务,这使攻击者能够融入合法的流量活动。这些流行的服务通常是攻击目标,因为它们在被入侵之前很可能已经被使用过,这有助于恶意流量融入其中。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:命令和控制], [资源:调查指南], [数据源:Elastic Defend] |
无 |
116 |
|
Telnet 提供了一个命令行界面,用于与远程设备或服务器进行通信。此规则识别与公共可路由 IP 地址的 Telnet 网络连接。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:横向移动], [数据源:Elastic Defend] |
无 |
107 |
|
Telnet 提供了一个命令行界面,用于与远程设备或服务器进行通信。此规则识别与非公共可路由 IP 地址的 Telnet 网络连接。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:横向移动], [数据源:Elastic Defend] |
无 |
107 |
|
此规则检测何时从容器内部运行容器管理二进制文件。这些二进制文件是许多容器化环境的关键组件,它们在未经授权的容器中的存在和执行可能表示遭到入侵或配置错误。 |
[数据源:Elastic Defend for Containers], [域:容器], [操作系统:Linux], [用例:威胁检测], [战术:执行] |
无 |
2 |
|
每次收到容器工作负载保护警报时,都会生成检测警报。启用此规则可让你立即开始分类和调查这些警报。 |
[数据源:Elastic Defend for Containers], [域:容器] |
无 |
4 |
|
识别在进程命令行值中包含可疑关键字或路径的控制面板不寻常实例。攻击者可能会滥用 control.exe 来代理恶意代码的执行。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [战术:执行], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
313 |
|
用户可以通过在文件或文件夹名称的第一个字符中添加“.”来简单地将特定文件标记为隐藏文件。攻击者可以利用这一点在系统上隐藏文件和文件夹,以实现持久性和防御规避。此规则在常见的可写目录中查找隐藏的文件或文件夹。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:防御规避], [数据源:Elastic Defend] |
无 |
111 |
|
识别隐藏的启动代理或守护程序的创建。攻击者可能会通过安装在登录时执行的新启动代理或守护程序来建立持久性。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [战术:持久性], [战术:防御规避], [数据源:Elastic Defend] |
无 |
107 |
|
识别 osascript 的执行以创建隐藏的登录项。这可能表明试图在隐藏恶意程序的同时保持其存在。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [战术:持久性], [战术:执行], [数据源:Elastic Defend] |
无 |
108 |
|
识别隐藏的共享对象 (.so) 文件的创建。用户可以通过在文件或文件夹名称的第一个字符中添加“.”来简单地将特定文件标记为隐藏文件。攻击者可以利用这一点在系统上隐藏文件和文件夹,以实现持久性和防御规避。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:防御规避], [数据源:Elastic Endgame], [数据源:Elastic Defend] |
无 |
110 |
|
识别与通过在 LKM 目录中创建新的 ko 文件在 Linux 上加载内核模块相关的活动。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:持久性], [规则类型:BBR], [数据源:Elastic Defend], [数据源:Elastic Endgame] |
无 |
3 |
|
识别 SettingContents-ms 文件的可疑创建,这些文件已在攻击中用于实现代码执行,同时规避防御。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:执行], [数据源:Elastic Defend], [规则类型:BBR], [数据源:Sysmon], [数据源:Elastic Endgame] |
8.14.0 |
106 |
|
Active Directory 集成 DNS (ADIDNS) 是 AD DS 的核心组件之一,它利用 AD 的访问控制和复制来维护域一致性。它将 DNS 区域存储为 AD 对象,这一功能虽然强大,但由于创建 DNS 命名记录的默认权限(任何经过身份验证的用户),也引入了一些安全问题。攻击者可以执行动态欺骗攻击,在其中监视 LLMNR/NBT-NS 请求并创建 DNS 命名记录,以针对多个系统请求的系统。他们还可以创建特定的记录来针对特定的服务(如 wpad)进行欺骗攻击。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:凭证访问], [数据源:Active Directory], [用例:Active Directory 监控], [数据源:系统] |
8.14.0 |
103 |
|
通过在帐户名称中附加美元符号来识别创建隐藏的本地用户帐户。攻击者有时会这样做,以增加对系统的访问权限,并避免在 net users 命令列出帐户的结果中显示。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:持久性], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne] |
8.14.0 |
311 |
|
识别创建或修改域备份私钥。攻击者可能会从域控制器 (DC) 中提取数据保护 API (DPAPI) 域备份密钥,以便能够解密任何域用户主密钥文件。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:凭证访问], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Microsoft Defender for Endpoint], [数据源:Crowdstrike] |
8.14.0 |
412 |
|
此规则监视可插拔身份验证模块 (PAM) 共享对象文件或配置文件的创建或修改。攻击者可能会创建或修改这些文件,以在被入侵的系统上维持持久性或获取帐户凭据。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:凭证访问], [战术:持久性], [数据源:Elastic Defend] |
无 |
2 |
|
识别在 Windows 中创建或修改本地受信任的根证书。安装恶意根证书将使攻击者能够将恶意文件伪装成任何实体的有效签名组件(例如,Microsoft)。它还可能允许攻击者解密 SSL 流量。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne] |
8.14.0 |
311 |
|
检测基于新的组策略创建或修改的计划任务或服务。这些方法用于合法的系统管理,但也可能被具有域管理员权限的攻击者滥用,以在所有或一部分加入域的计算机上远程执行恶意负载。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:特权提升], [战术:持久性], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne] |
8.14.0 |
310 |
|
识别使用 Windows reg.exe 工具导出可能包含凭据的注册表配置单元的尝试。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:凭证访问], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne], [数据源:Sysmon], [数据源:Crowdstrike] |
8.14.0 |
312 |
|
Elastic Endgame 检测到凭据转储。单击 event.module 列中的 Elastic Endgame 图标或 rule.reference 列中的链接,了解更多信息。 |
[数据源:Elastic Endgame],[用例:威胁检测],[战术:凭据访问] |
无 |
103 |
|
Elastic Endgame 阻止了凭据转储。单击 event.module 列中的 Elastic Endgame 图标或 rule.reference 列中的链接,了解更多信息。 |
[数据源:Elastic Endgame],[用例:威胁检测],[战术:凭据访问] |
无 |
103 |
|
Elastic Endgame 检测到凭据操纵。单击 event.module 列中的 Elastic Endgame 图标或 rule.reference 列中的链接,了解更多信息。 |
[数据源:Elastic Endgame],[用例:威胁检测],[战术:特权提升] |
无 |
103 |
|
Elastic Endgame 阻止了凭据操纵。单击 event.module 列中的 Elastic Endgame 图标或 rule.reference 列中的链接,了解更多信息。 |
[数据源:Elastic Endgame],[用例:威胁检测],[战术:特权提升] |
无 |
103 |
|
此规则监视(ana)cron 作业的创建或重命名。Linux cron 作业是计划任务,系统管理员可以利用它来设置计划任务,但恶意行为者可能会滥用它来进行持久化、特权提升和命令执行。通过创建或修改 cron 作业配置,攻击者可以在预定义的时间间隔执行恶意命令或脚本,从而确保他们的持续存在并启用未经授权的活动。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:持久性], [战术:权限提升], [战术:执行], [数据源:Elastic Defend] |
无 |
14 |
|
此检测规则解决了 CUPS 打印系统中的多个漏洞,包括 CVE-2024-47176、CVE-2024-47076、CVE-2024-47175 和 CVE-2024-47177。具体来说,此规则检测来自 foomatic-rip 父进程的 shell 执行。这些缺陷会影响诸如 cups-browsed、libcupsfilters、libppd 和 foomatic-rip 之类的组件,从而允许远程未经验证的攻击者通过精心设计的 UDP 数据包或网络欺骗来操纵 IPP URL 或注入恶意数据。当启动打印作业时,这可能会导致任意命令执行。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[用例:漏洞],[战术:执行],[数据源:Elastic Defend] |
无 |
2 |
|
此规则检测使用带有 SOCKS 代理选项的 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[战术:命令和控制],[数据源:Elastic Defend] |
无 |
1 |
|
识别 CyberArk 特权访问安全 (PAS) 错误级别审计事件的发生。event.code 与 CyberArk Vault 审计操作代码相关。 |
[数据源:CyberArk PAS],[用例:日志审计],[用例:威胁检测],[战术:特权提升] |
无 |
102 |
|
识别 CyberArk 特权访问安全 (PAS) 非错误级别审计事件的发生,该事件是供应商建议进行监视的。event.code 与 CyberArk Vault 审计操作代码相关。 |
[数据源:CyberArk PAS],[用例:日志审计],[用例:威胁检测],[战术:特权提升] |
无 |
102 |
|
检测 Yum 包管理器的插件目录中的文件创建事件。在 Linux 中,DNF (Dandified YUM) 是一个命令行实用程序,用于处理基于 Fedora 的系统上的软件包,提供安装、更新、升级和删除软件以及管理软件包存储库的功能。攻击者可以通过将恶意代码注入 DNF 运行的插件中来对 DNF 进行后门操作以获得持久性,从而确保每次使用 DNF 进行包管理时都能继续进行未经授权的访问或控制。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:持久性], [战术:防御规避], [数据源:Elastic Defend] |
无 |
3 |
|
识别对 DNS 全局查询阻止列表 (GQBL) 的更改,这是一种安全功能,可防止解析通常在 WPAD 欺骗等攻击中利用的某些 DNS 名称。具有某些权限(例如 DNSAdmins)的攻击者可以修改或禁用 GQBL,从而允许利用运行 WPAD 的主机,并使用默认设置进行特权提升和横向移动。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne], [数据源:Elastic Endgame] |
8.14.0 |
203 |
|
一个机器学习作业检测到对单个顶级 DNS 域的异常大量 DNS 查询,这通常用于 DNS 隧道。DNS 隧道可用于命令和控制、持久性或数据泄露活动。例如,dnscat 倾向于为顶级域生成许多 DNS 查询,因为它使用 DNS 协议来隧道数据。 |
[用例:威胁检测],[规则类型:ML],[规则类型:机器学习],[战术:命令和控制] |
无 |
104 |
|
识别用户何时启用 DNS-over-HTTPS。这可以用来隐藏互联网活动或泄露数据的过程。启用此功能后,组织将无法查看诸如查询类型、响应和来源 IP 之类的数据,这些数据用于确定不良行为者。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:防御规避],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:Sysmon],[数据源:Microsoft Defender for Endpoint],[数据源:SentinelOne] |
8.14.0 |
311 |
|
此规则检测由不寻常的父进程安装 Debian 包 (dpkg)。dpkg 命令用于在 Linux 系统上安装、删除和管理 Debian 包。攻击者可以滥用 dpkg 命令在系统上安装恶意包。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[战术:持久性],[数据源:Elastic Defend] |
无 |
2 |
|
此规则检测到使用了默认的 Cobalt Strike 团队服务器 TLS 证书。Cobalt Strike 是一种用于对手模拟和红队操作的软件,这些是安全评估,用于复制网络中高级对手的策略和技术。可以修改 Packetbeat 配置以包含 MD5 和 SHA256 哈希算法(默认值为 SHA1)。有关模块配置的更多信息,请参阅参考部分。 |
[战术:命令和控制],[威胁:Cobalt Strike],[用例:威胁检测],[域:端点] |
无 |
104 |
|
识别通过延迟 Ping 执行来执行常用的滥用 Windows 实用程序。此行为通常在恶意软件安装期间观察到,并且与攻击者试图逃避检测的行为一致。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:执行],[战术:防御规避],[数据源:Elastic Defend] |
无 |
3 |
|
识别使用 fsutil.exe 删除卷 USNJRNL 的情况。攻击者使用此技术来消除在利用后活动期间创建的文件的证据。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:逃避防御], [数据源:Elastic Endgame], [资源:调查指南], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
311 |
|
识别使用 wbadmin.exe 删除备份目录的情况。勒索软件和其他恶意软件可能会这样做以阻止系统恢复。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:影响],[资源:调查指南],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:系统],[数据源:Microsoft Defender for Endpoint],[数据源:Sysmon],[数据源:SentinelOne],[数据源:Crowdstrike] |
8.14.0 |
314 |
|
识别来自单个 IP 地址在 30 分钟内多次(25 次)失败的 Microsoft 365 用户身份验证尝试,这可能表明存在密码喷洒攻击。对手可能会尝试密码喷洒攻击来获得对用户帐户的未经授权的访问。 |
[域:云],[数据源:Microsoft 365],[用例:身份和访问审计],[战术:凭据访问] |
无 |
208 |
|
识别 Java 解释器进程的可疑子进程。这可能表明尝试执行恶意 JAR 文件或通过 JAVA 特定漏洞进行的利用尝试。 |
[域:端点],[操作系统:Linux],[操作系统:macOS],[用例:威胁检测],[战术:执行],[资源:调查指南],[用例:漏洞],[数据源:Elastic Defend] |
无 |
209 |
|
此规则识别在 /bin 目录中创建目录的情况。/bin 目录包含系统正常运行所需的必要二进制文件。在此位置创建目录可能是试图隐藏恶意文件或可执行文件,因为这些 /bin 目录通常只包含二进制文件。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[战术:防御规避],[战术:持久性],[数据源:Elastic Defend] |
无 |
1 |
|
识别通过 logman Windows 实用程序、PowerShell 或 auditpol 禁用 EventLog 的尝试。攻击者通常会这样做,以试图逃避系统上的检测。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:逃避防御], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
314 |
|
识别使用 netsh.exe 禁用或削弱本地防火墙的情况。攻击者将使用此命令行工具在进行故障排除期间禁用防火墙或启用网络移动性。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:逃避防御], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
312 |
|
用户帐户控制 (UAC) 可以帮助减轻恶意软件对 Windows 主机的影响。使用 UAC,应用程序和任务始终在非管理员帐户的安全上下文中运行,除非管理员特别授权对系统的管理员级别访问权限。此规则识别用于绕过用户访问控制 (UAC) 保护的注册表值更改。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:特权提升],[资源:调查指南],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:Sysmon],[数据源:Microsoft Defender for Endpoint],[数据源:SentinelOne] |
8.14.0 |
312 |
|
识别使用 Set-MpPreference PowerShell 命令禁用或削弱某些 Windows Defender 设置的情况。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:逃避防御], [策略:执行], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
313 |
|
识别与帐户或组枚举相关的 Linux 内置命令的执行。对手可能会在决定如何行动之前使用帐户和组信息来定位自己。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:侦察], [规则类型:BBR], [数据源:Elastic Defend], [数据源:Elastic Endgame], [数据源:Auditd Manager] |
无 |
2 |
|
识别攻击者可以使用的内置工具,以检查受攻击系统上的互联网连接。这些结果可用于确定与 C2 服务器的通信能力,或识别路由、重定向器和代理服务器。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:侦察], [规则类型:BBR], [数据源:Elastic Defend] |
无 |
102 |
|
此规则通过 |
[域:端点], [域:容器], [操作系统:Linux], [用例:威胁检测], [战术:权限提升], [数据源:Elastic Defend] |
无 |
1 |
|
检测域名何时添加到受信任的 Google Workspace 域名列表中。攻击者可能会添加受信任的域名,以便在安全控制较少的情况下收集和泄露目标组织的数据。 |
[域:云], [数据源:Google Workspace], [用例:配置审计], [战术:防御规避], [资源:调查指南] |
无 |
206 |
|
识别从本地网络外部下载的 .lnk 快捷方式文件。这些快捷方式文件通常用于网络钓鱼活动。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:执行], [数据源:Elastic Defend] |
无 |
3 |
|
识别从本地网络外部下载的 .url 快捷方式文件。这些快捷方式文件通常用于网络钓鱼活动。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:执行], [数据源:Elastic Defend] |
无 |
3 |
|
识别用于转储用户帐户哈希的 macOS 内置命令的执行。攻击者可能会尝试转储凭据,以哈希形式获取帐户登录信息。这些哈希可以被破解或用于横向移动。 |
[领域:端点], [操作系统:macOS], [用例:威胁检测], [战术:凭据访问], [数据源:Elastic Defend] |
无 |
106 |
|
攻击者可能会从系统中转储密钥链存储数据的内容以获取凭据。密钥链是 macOS 用于跟踪用户密码和许多服务及功能(包括 Wi-Fi 和网站密码、安全备注、证书和 Kerberos)的凭据的内置方式。 |
[领域:端点], [操作系统:macOS], [用例:威胁检测], [战术:凭据访问], [数据源:Elastic Defend] |
无 |
107 |
|
检测 Linux 动态加载器二进制文件的复制以及随后创建的备份副本。最近发现,Linux 恶意软件在修补动态加载器之前利用此技术来注入和预加载恶意共享对象文件。此活动不应发生,如果发生,则应被视为高度可疑或恶意。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:持久化], [威胁:Orbit], [数据源:Elastic Defend] |
无 |
109 |
|
检测与 Linux 系统上的动态链接器相关的文件创建或修改。动态链接器是 Linux 内核用于加载和执行程序的共享库。攻击者可能会尝试通过修改动态链接器配置文件来劫持程序的执行流程。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[战术:防御规避],[战术:持久性],[数据源:Elastic Defend] |
无 |
2 |
|
识别与另一个 AWS 账户共享的 AWS Amazon Machine Image (AMI)。具有访问权限的攻击者可能会与外部 AWS 账户共享 AMI,以此作为数据泄露的一种方式。AMI 可能包含机密、bash 历史记录、代码工件以及其他敏感数据,如果与未经授权的账户共享,攻击者可能会滥用这些数据。AMI 也可能会意外公开。 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [数据源:AWS EC2], [用例:威胁检测], [战术:数据泄露] |
无 |
2 |
|
识别在 Linux 系统上启动 *find* 命令时,参数针对特定 VM 相关路径(例如 "/etc/vmware/"、"/usr/lib/vmware/" 或 "/vmfs/*")的情况。这些路径与 VMware 虚拟化软件相关联,它们出现在 find 命令参数中可能表明威胁行为者正在尝试搜索、分析或操纵系统上的 VM 相关文件和配置。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:侦察], [数据源:Elastic Defend], [数据源:Elastic Endgame], [数据源:Auditd Manager] |
无 |
7 |
|
识别在 Linux 系统上启动名为 *grep*、*egrep* 或 *pgrep* 的进程时,参数与虚拟机 (VM) 文件相关(例如 "vmdk"、"vmx"、"vmxf"、"vmsd"、"vmsn"、"vswp"、"vmss"、"nvram" 或 "vmem")的情况。这些文件扩展名与 VM 相关的文件格式相关联,它们出现在 grep 命令参数中可能表明威胁行为者正在尝试搜索、分析或操纵系统上的 VM 文件。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:侦察], [数据源:Elastic Defend], [数据源:Elastic Endgame], [数据源:Auditd Manager] |
无 |
7 |
|
识别在 Linux 系统上执行 *touch* 命令时使用了 "-r" 标志的情况,该标志用于根据另一个文件的时间戳修改文件的时间戳。该规则针对特定的 VM 相关路径,例如 "/etc/vmware/"、"/usr/lib/vmware/" 或 "/vmfs/*"。这些路径与 VMware 虚拟化软件相关联,它们出现在 touch 命令参数中可能表明威胁行为者正在尝试篡改系统上 VM 相关文件和配置的时间戳。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:逃避防御], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Auditd Manager] |
无 |
8 |
|
识别 EggShell 后门的执行。EggShell 是一个已知的 macOS 和 Linux 后渗透工具。 |
[域:端点], [操作系统:Linux], [操作系统:macOS], [用例:威胁检测], [战术:执行], [数据源:Elastic Defend] |
无 |
103 |
|
此规则识别在容器中启动名为 |
[域:端点], [域:容器], [操作系统:Linux], [用例:威胁检测], [战术:执行], [数据源:Elastic Defend] |
无 |
1 |
|
识别 Elastic 端点代理已停止并且不再在主机上运行。攻击者可能会尝试禁用安全监控工具,以尝试在入侵期间规避检测或防御功能。这也可能表明代理本身存在问题,应解决以确保防御措施恢复到稳定状态。 |
[域:端点], [操作系统:Linux], [操作系统:Windows], [操作系统:macOS], [用例:威胁检测], [战术:防御规避], [数据源:Elastic Defend] |
无 |
107 |
|
识别事件监控守护程序 (emond) 规则的创建或修改。攻击者可能会通过编写规则在发生定义的事件(例如系统启动或用户身份验证)时执行命令来滥用此服务。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [策略:持久性], [数据源:Elastic Defend] |
无 |
107 |
|
识别使用 netsh.exe 程序通过网络启用主机发现。攻击者可以使用此命令行工具来削弱主机防火墙设置。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:逃避防御], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
311 |
|
识别注册表写入修改以隐藏编码的可移植可执行文件。这可能表明攻击者通过避免将恶意内容直接存储在磁盘上来进行防御规避。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Microsoft Defender for Endpoint] |
8.14.0 |
411 |
|
识别使用 WinRar 或 7z 创建加密文件。攻击者通常会压缩和加密数据,以便进行泄露。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:收集], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne] |
8.14.0 |
214 |
|
每次收到 Elastic Endpoint Security 警报时,都会生成检测警报。启用此规则允许您立即开始调查您的端点警报。 |
[数据源:Elastic Defend] |
无 |
103 |
|
识别使用 Azure Broker 客户端进行 Entra ID 的设备代码身份验证。攻击者滥用主刷新令牌 (PRT) 来绕过多因素身份验证 (MFA) 并获得对 Azure 资源的未授权访问权限。PRT 在条件访问策略中用于强制实施基于设备的控制。泄露 PRT 允许攻击者绕过这些策略并获得未授权的访问权限。此规则检测使用设备代码身份验证和 Entra ID 代理客户端应用程序 ID (29d9ed98-a469-4536-ade2-f981bc1d605e) 的成功登录。 |
[域:云], [数据源:Azure], [数据源:Microsoft Entra ID], [用例:身份和访问审计], [战术:凭据访问] |
无 |
1 |
|
识别使用 dsquery.exe 进行域信任发现的目的。攻击者可以使用此命令行实用程序来枚举 Windows 多域森林环境中可能用于横向移动机会的信任关系。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:侦察], [数据源:Elastic Endgame], [资源:调查指南], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
210 |
|
识别使用 nltest.exe 进行域信任发现的目的。攻击者可以使用此命令行实用程序来枚举域信任并深入了解信任关系,以及 Microsoft Windows NT 域中域控制器 (DC) 复制的状态。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:发现], [数据源:Elastic Endgame], [资源:调查指南], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:Crowdstrike] |
8.14.0 |
214 |
|
识别由 Windows 管理工具提供程序服务 (WMIPrvSE) 产生的原生 Windows 主机和网络枚举命令。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:执行], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
314 |
|
识别低权限账户使用内置 Windows 工具枚举管理员账户或组的实例。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:发现], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Crowdstrike] |
8.14.0 |
215 |
|
可加载内核模块 (LKM) 是可以按需加载和卸载到内核的代码片段。它们扩展了内核的功能,而无需重启系统。此规则识别尝试枚举有关内核模块信息的行为。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:发现], [数据源:Elastic Defend], [数据源:Elastic Endgame] |
无 |
210 |
|
可加载内核模块 (LKM) 是可以按需加载和卸载到内核的代码片段。它们扩展了内核的功能,而无需重启系统。此规则识别使用 /proc/modules 文件系统尝试枚举内核模块信息的行为。此文件系统被诸如 lsmod 和 kmod 之类的实用程序用来列出可用的内核模块。 |
[数据源:Auditd Manager], [操作系统:Linux], [用例:威胁检测], [战术:发现], [规则类型:BBR] |
无 |
107 |
|
识别不寻常进程枚举内置 Windows 特权本地组成员的实例,例如管理员或远程桌面用户。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:发现], [资源:调查指南], [数据源:系统] |
8.14.0 |
415 |
|
识别与账户或组枚举相关的 macOS 内置命令的执行。攻击者可能会使用账户和组信息来确定方向,然后再决定如何行动。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [战术:发现], [数据源:Elastic Defend] |
无 |
207 |
|
识别使用 Exchange PowerShell cmdlet New-MailBoxExportRequest 将主邮箱或存档的内容导出到 .pst 文件的行为。攻击者可能会以用户电子邮件为目标来收集敏感信息。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:收集], [资源:调查指南], [数据源:PowerShell 日志] |
8.14.0 |
210 |
|
此规则监视位于通常被滥用于持久化的目录中的脚本的可执行位的添加。此规则的警报表明在您的环境中正在设置持久化机制。攻击者可能会创建这些脚本,以便在启动时或以设定的间隔执行恶意代码,从而在系统上获得持久性。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:持久化], [数据源:Elastic Endgame], [数据源:Elastic Defend] |
无 |
4 |
|
伪装可以使攻击者逃避防御并更好地融入环境。发生这种情况的一种方式是,当文件的名称或位置被操纵,以此来欺骗用户执行他们认为是良性的文件类型,但实际上是可执行代码。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:防御规避],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:Sysmon],[数据源:Microsoft Defender for Endpoint],[数据源:SentinelOne] |
8.14.0 |
309 |
|
识别创建或修改具有意外文件扩展名的可执行文件。攻击者可能会尝试通过伪装文件,使用图像、音频或文档文件类型使用的文件扩展名值来逃避检测。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [规则类型:BBR], [数据源:Elastic Defend] |
无 |
2 |
|
监视具有关联进程可执行字段且不为空的内核进程。诸如 kthreadd 和 kworker 之类的 Unix 内核进程通常没有与其关联的 process.executable 字段。攻击者可能会尝试通过伪装成合法的内核进程来隐藏其恶意程序。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:防御规避], [数据源:Elastic Defend], [数据源:Elastic Endgame] |
无 |
3 |
|
识别从可疑的默认 Windows 目录执行的进程。攻击者可能会滥用此方法将恶意软件隐藏在受信任的路径中。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:执行], [战术:防御规避], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne] |
8.14.0 |
314 |
|
识别从可移动介质以及通过不寻常进程执行的进程。攻击者可能会通过将恶意软件复制到可移动介质并利用将介质插入系统时执行的自动运行功能来进入系统,可能是在断开连接或气隙网络上的系统。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:初始访问], [数据源:Elastic Defend] |
无 |
3 |
|
Windows 组件对象模型 (COM) 是本机 Windows 应用程序编程接口 (API) 的进程间通信 (IPC) 组件,它使软件对象或可执行代码之间能够进行交互。Xwizard 可以用来运行在注册表中创建的 COM 对象,以逃避防御性对策。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:执行], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
312 |
|
识别由 Microsoft Office 应用程序创建并随后执行的可执行文件。这些进程通常通过文档内的脚本或在利用 Microsoft Office 应用程序的过程中启动。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:执行], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend] |
无 |
111 |
|
识别由 PDF 阅读器应用程序写入并随后执行的可疑文件。这些进程通常通过利用 PDF 应用程序启动。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:执行], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon] |
8.14.0 |
208 |
|
通过查看进程沿袭和命令行使用情况,识别可疑持久性程序(脚本、rundll32 等)的执行。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:持久化], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon] |
8.14.0 |
207 |
|
此规则识别通过服务控制管理器 (SCM) 执行的未签名可执行文件。攻击者可能会滥用 SCM 来执行恶意软件或提升权限。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:执行], [战术:防御规避], [规则类型:BBR], [数据源:Elastic Defend] |
无 |
105 |
|
识别尝试使用 child_process Node.js 模块从 Electron 应用程序上下文中执行子进程的行为。攻击者可能会滥用此技术来继承父进程的权限。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [战术:防御规避], [战术:执行], [数据源:Elastic Defend] |
无 |
106 |
|
识别通过 Microsoft Visual Studio 前或后生成事件执行命令的行为。攻击者可能会后门一个受信任的 Visual Studio 项目,以便在项目生成过程中执行恶意命令。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [战术:执行], [规则类型:BBR], [数据源:Elastic Defend] |
无 |
2 |
|
识别通过 MSSQL xp_cmdshell 存储过程执行的行为。恶意用户可能会尝试通过使用默认禁用的 xp_cmdshell 来提升其权限,因此,查看其使用上下文非常重要。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:持久化], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
313 |
|
识别通过 Dfsvc.exe trampoline 执行 DotNet ClickOnce 安装程序的行为。攻击者可能会利用 ClickOnce 通过受信任的 Microsoft 进程代理执行恶意负载。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [规则类型:BBR], [数据源:Elastic Defend] |
无 |
1 |
|
识别从目标主机上的远程桌面协议 (RDP) 共享挂载点 tsclient 执行的行为。这可能表示横向移动尝试。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:横向移动], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
313 |
|
攻击者可以使用 Windows 命令行调试实用程序 cdb.exe 来执行命令或 shellcode。此规则查找这些实例,以及 cdb.exe 二进制文件位于正常 WindowsKit 安装路径之外的位置。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Microsoft Defender for Endpoint], [数据源:Crowdstrike] |
8.14.0 |
102 |
|
检测尝试从适用于 Linux 的 Windows 子系统在主机上执行程序的行为。攻击者可能会启用并使用适用于 Linux 的 WSL 来避免检测。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
208 |
|
识别 Windows SxS 本地文件夹中 DLL 模块的创建、更改或删除。攻击者可能会滥用共享模块通过指示 Windows 模块加载器从任意本地路径加载 DLL 来执行恶意负载。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:执行], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne] |
8.14.0 |
308 |
|
识别通过脚本解释器执行 security_authtrampoline 进程的行为。当程序使用 Security.framework 中的 AuthorizationExecuteWithPrivileges 以 root 权限运行另一个程序时,会发生这种情况。它本身不应该运行,因为这是使用显式登录凭据执行的标志。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [战术:执行], [战术:权限提升], [数据源:Elastic Defend] |
无 |
106 |
|
识别尝试加载已撤销或过期的驱动程序的行为。攻击者可能会引入具有漏洞的过时驱动程序,以便在内核模式下获得代码执行权限,或滥用已撤销的证书来签名其驱动程序。 |
[域: 端点], [操作系统: Windows], [用例: 威胁检测], [策略: 权限提升], [策略: 防御规避], [数据源: Elastic Defend] |
无 |
5 |
|
Elastic Endgame 检测到一个漏洞利用。单击 event.module 列中的 Elastic Endgame 图标或 rule.reference 列中的链接以获取更多信息。 |
[数据源: Elastic Endgame], [用例: 威胁检测], [策略: 执行], [策略: 权限提升] |
无 |
103 |
|
Elastic Endgame 阻止了一个漏洞利用。单击 event.module 列中的 Elastic Endgame 图标或 rule.reference 列中的链接以获取更多信息。 |
[数据源: Elastic Endgame], [用例: 威胁检测], [策略: 执行], [策略: 权限提升] |
无 |
103 |
|
识别使用 Exchange PowerShell cmdlet New-MailBoxExportRequest 将主邮箱或存档的内容导出到 .pst 文件的行为。攻击者可能会以用户电子邮件为目标来收集敏感信息。 |
[域: 端点], [操作系统: Windows], [用例: 威胁检测], [策略: 收集], [策略: 执行], [资源: 调查指南], [数据源: Elastic Endgame], [数据源: Elastic Defend], [数据源: SentinelOne], [数据源: Microsoft Defender for Endpoint], [数据源: 系统], [数据源: Crowdstrike] |
8.14.0 |
417 |
|
为写入配置索引的每个外部警报生成检测警报。启用此规则允许您立即开始在应用程序中调查外部警报。 |
[操作系统: Windows], [数据源: APM], [操作系统: macOS], [操作系统: Linux] |
无 |
103 |
|
识别攻击者在利用后进行 IP 查找时常用的域名。攻击者通常会在获得系统访问权限后测试互联网连接并获取其外部 IP 地址。其中,在利用信息窃取程序 Trickbot 的活动中观察到了这一点。 |
[域: 端点], [操作系统: Windows], [用例: 威胁检测], [策略: 发现], [资源: 调查指南], [数据源: Elastic Defend], [规则类型: BBR] |
无 |
108 |
|
检测到将外部 Google Workspace 用户帐户添加到现有群组。攻击者可能会添加外部用户帐户,以此来拦截与该特定群组共享的文件或电子邮件。 |
[域: 云], [数据源: Google Workspace], [用例: 身份和访问审计], [策略: 初始访问], [资源: 调查指南] |
无 |
3 |
|
检测到文件被压缩或归档为常用格式。这是一种常用的技术,用于混淆文件以逃避检测或暂存数据以进行泄露。 |
[数据源: Elastic Defend], [域: 端点], [操作系统: macOS], [操作系统: Windows], [策略: 收集], [规则类型: BBR] |
无 |
5 |
|
识别文件创建时间的修改。攻击者可能会修改文件时间属性,以将恶意内容与现有文件混合。时间戳篡改是一种修改文件时间戳的技术,通常用于模拟受信任目录中的文件。 |
[域: 端点], [操作系统: Windows], [用例: 威胁检测], [策略: 防御规避], [数据源: Sysmon] |
8.14.0 |
105 |
|
此检测规则解决了 CUPS 打印系统中的多个漏洞,包括 CVE-2024-47176、CVE-2024-47076、CVE-2024-47175 和 CVE-2024-47177。具体而言,此规则检测 foomatic-rip 子进程执行的可疑文件创建事件。这些缺陷会影响 cups-browsed、libcupsfilters、libppd 和 foomatic-rip 等组件,允许远程未经身份验证的攻击者通过精心制作的 UDP 数据包或网络欺骗来操纵 IPP URL 或注入恶意数据。当启动打印作业时,这可能会导致任意命令执行。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[用例:漏洞],[战术:执行],[数据源:Elastic Defend] |
无 |
1 |
|
此规则监视文件创建,然后在其执行和自删除之前,在攻击者经常用于恶意目的的目录中进行短暂的监视。恶意软件经常使用此行为来执行恶意代码并删除自身以隐藏其踪迹。 |
[域: 端点], [操作系统: Linux], [用例: 威胁检测], [策略: 执行], [数据源: Elastic Defend] |
无 |
5 |
|
恶意软件或攻击者在系统上删除或创建的其他文件可能会留下有关网络内部所做操作方式的线索。攻击者可能会在入侵过程中删除这些文件,以保持较低的足迹,或者在入侵后清理过程中将其删除。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:防御规避], [数据源:Elastic Defend], [数据源:Elastic Endgame] |
无 |
109 |
|
此规则检测何时使用 chmod 来向容器内的文件添加执行权限。修改文件权限以使文件可执行可能表明存在恶意活动,因为攻击者可能会尝试在容器内运行未经授权的或恶意代码。 |
[数据源: Elastic Defend for Containers], [域: 容器], [操作系统: Linux], [用例: 威胁检测], [策略: 执行], [策略: 防御规避] |
无 |
2 |
|
识别非根用户在常用可写目录中修改文件权限。攻击者通常会将文件或有效负载放入可写目录,并在执行前更改权限。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:防御规避], [数据源:Elastic Defend] |
无 |
211 |
|
识别写入回收站文件夹根目录而不是子目录的文件。攻击者可能会将文件放置在回收站的根目录中,以准备泄露或逃避防御。 |
[域: 端点], [操作系统: Windows], [用例: 威胁检测], [策略: 收集], [数据源: Elastic Defend], [规则类型: BBR], [数据源: Elastic Endgame], [数据源: Sysmon] |
8.14.0 |
106 |
|
此规则检测在特权容器内使用内置的 Linux DebugFS 实用程序。DebugFS 是一种特殊的文件系统调试实用程序,支持直接从硬盘驱动器设备读取和写入。当在具有主机所有功能的特权容器(已部署的容器)中启动时,攻击者可以访问敏感的主机级文件,这些文件可用于进一步的权限提升和容器逃逸到主机。 |
[数据源: Elastic Defend for Containers], [域: 容器], [操作系统: Linux], [用例: 威胁检测], [策略: 权限提升] |
无 |
1 |
|
netcat 进程正在 Linux 主机上进行网络活动。Netcat 通常用作持久性机制,通过导出反向 shell 或在侦听端口上提供 shell。Netcat 有时也用于数据泄露。 |
[域: 端点], [操作系统: Linux], [用例: 威胁检测], [策略: 执行], [资源: 调查指南], [数据源: Elastic Defend] |
无 |
110 |
|
通过内置的 Windows 实用程序识别文件/文件夹的权限/所有权更改。威胁行为者可能需要修改文件/文件夹的权限才能更改、修改或删除它们。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [规则类型:BBR], [数据源:Elastic Defend] |
无 |
2 |
|
检测到使用 chattr 二进制文件使文件不可变。使文件不可变意味着它无法被删除或重命名,无法为此文件创建链接,无法修改文件的大部分元数据,并且无法在写入模式下打开该文件。威胁行为者通常会利用这一点来防止篡改或修改他们的恶意文件,或他们出于持久性目的而修改的任何系统文件(例如 .ssh、/etc/passwd 等)。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:防御规避], [数据源:Elastic Endgame], [数据源:Elastic Defend] |
无 |
112 |
|
此规则识别可用于删除文件和目录的命令的执行。攻击者可能会删除主机系统上的文件和目录,例如日志、浏览器历史记录或恶意软件。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [规则类型:BBR], [数据源:Elastic Defend] |
无 |
3 |
|
识别从本地网络外部下载的、有可能被滥用于代码执行的异常文件。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [数据源:Elastic Defend], [规则类型:BBR] |
无 |
3 |
|
Finder 同步插件允许用户通过修改用户界面来扩展 Finder 的功能。攻击者可能会滥用此功能,方法是添加一个流氓 Finder 插件来重复执行恶意有效负载以实现持久性。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [策略:持久性], [数据源:Elastic Defend] |
无 |
206 |
|
检测最近 14 天内未见的个人访问令牌 (PAT) 的首次事件。 |
[域: 云], [用例: 威胁检测], [用例: UEBA], [策略: 执行], [规则类型: BBR], [数据源: Github] |
8.13.0 |
204 |
|
识别在过去 14 天内首次观察到用户使用 deviceCode 协议进行身份验证的情况。攻击者可能会滥用设备代码身份验证流程来对用户进行网络钓鱼并窃取访问令牌以冒充受害者。就其本质而言,设备代码应仅在登录没有键盘的设备时使用,在这种情况下,很难输入电子邮件和密码。 |
[域:云], [数据源:Azure], [数据源:Microsoft Entra ID], [用例:身份和访问审计], [战术:凭据访问] |
无 |
1 |
|
检测到与过去 14 天内未见的新 IP 地址的私有 GitHub 存储库的交互。 |
[域: 云], [用例: 威胁检测], [用例: UEBA], [策略: 执行], [规则类型: BBR], [数据源: Github] |
8.13.0 |
204 |
|
检测到过去 14 天内未见的 GitHub 用户的新私有存储库交互。 |
[域: 云], [用例: 威胁检测], [用例: UEBA], [策略: 执行], [规则类型: BBR], [数据源: Github] |
8.13.0 |
204 |
|
检测到过去 14 天内未见的 GitHub PAT 的新 IP 地址。 |
[域: 云], [用例: 威胁检测], [用例: UEBA], [策略: 初始访问], [规则类型: BBR], [数据源: Github] |
8.13.0 |
204 |
|
检测到过去 14 天内未见的 GitHub 用户的新 IP 地址。 |
[域: 云], [用例: 威胁检测], [用例: UEBA], [策略: 初始访问], [规则类型: BBR], [数据源: Github] |
8.13.0 |
204 |
|
识别通过代理启动的 Okta 用户会话的首次出现。 |
[策略: 初始访问], [用例: 身份和访问审计], [数据源: Okta] |
8.15.0 |
205 |
|
过去 14 天内未见的 GitHub 用户使用了新的 PAT。 |
[域: 云], [用例: 威胁检测], [用例: UEBA], [策略: 持久性], [规则类型: BBR], [数据源: Github] |
8.13.0 |
204 |
|
检测到过去 14 天内未见的 GitHub PAT 的新私有存储库交互。 |
[域: 云], [用例: 威胁检测], [用例: UEBA], [策略: 执行], [规则类型: BBR], [数据源: Github] |
8.13.0 |
204 |
|
识别用户在过去 10 天内首次发出 AWS 安全令牌服务 (STS) |
[域: 云], [数据源: Amazon Web Services], [数据源: AWS], [数据源: AWS STS], [用例: 威胁检测], [策略: 防御规避] |
无 |
1 |
|
检测到过去 14 天内未见的 GitHub PAT 的新用户代理。 |
[域: 云], [用例: 威胁检测], [用例: UEBA], [策略: 初始访问], [规则类型: BBR], [数据源: Github] |
8.13.0 |
204 |
|
检测到过去 14 天内未见的 GitHub 用户的新用户代理。 |
[域: 云], [用例: 威胁检测], [用例: UEBA], [策略: 初始访问], [规则类型: BBR], [数据源: Github] |
8.13.0 |
204 |
|
此规则检测主体首次调用 AWS Cloudwatch |
[域: 云], [数据源: AWS], [数据源: Amazon Web Services], [数据源: Cloudformation], [用例: 资产可见性], [策略: 执行] |
无 |
1 |
|
攻击者如果获得了对 AWS 服务的访问权限,例如 EC2 实例、Lambda 函数或其他服务,可能会尝试利用受损的服务访问 AWS Secrets Manager 中的密钥。此规则查找特定用户身份首次以编程方式使用 |
[领域: 云], [数据源: AWS], [数据源: 亚马逊云服务], [数据源: AWS Secrets Manager], [战术: 凭证访问], [资源: 调查指南] |
无 |
312 |
|
攻击者可能会在受损端点上安装合法的远程访问工具 (RAT) 以进行进一步的命令和控制 (C2)。攻击者可以依赖已安装的 RAT 来实现持久化、执行本地命令等。此规则检测何时启动的进程的名称或代码签名与常见的滥用 RAT 相似。这是一个新术语规则类型,表示主机在过去 30 天内没有看到此 RAT 进程启动过。 |
[领域: 端点], [操作系统: Windows], [用例: 威胁检测], [战术: 命令和控制], [资源: 调查指南], [数据源: Elastic Defend], [数据源: Elastic Endgame], [数据源: 系统] |
8.14.0 |
108 |
|
识别在过去 30 天内首次观察到的原始文件名和签名值的驱动程序加载。此规则类型可以帮助您建立环境中驱动程序安装的基线。 |
[领域: 端点], [操作系统: Windows], [用例: 威胁检测], [战术: 权限提升], [战术: 持久化], [资源: 调查指南], [数据源: Elastic Defend] |
无 |
8 |
|
检测第三方应用程序首次使用 OAuth 登录并进行身份验证。OAuth 用于授予对 Google Workspace 中特定资源和服务的权限。受损的凭据或服务帐户可能允许攻击者以有效用户的身份对 Google Workspace 进行身份验证并继承其权限。 |
[领域: 云], [数据源: Google Workspace], [战术: 防御规避], [战术: 初始访问] |
无 |
5 |
|
识别由不寻常进程执行的新凭据登录类型。这可能表明存在访问令牌伪造能力,这种能力通常被滥用来绕过访问控制限制。 |
[领域: 端点], [操作系统: Windows], [用例: 威胁检测], [战术: 权限提升], [数据源: 系统] |
8.14.0 |
105 |
|
使用注册表修改事件,按设备友好名称识别新出现的可移动设备。虽然此活动本身不是恶意的,但分析人员可以使用这些事件来辅助监控通过这些设备进行的数据泄露。 |
[领域: 端点], [操作系统: Windows], [用例: 威胁检测], [战术: 初始访问], [战术: 数据泄露], [数据源: Elastic Endgame], [数据源: Elastic Defend], [数据源: Sysmon], [数据源: Microsoft Defender for Endpoint], [数据源: SentinelOne] |
8.14.0 |
209 |
|
此规则识别用户帐户首次启动 Active Directory 复制过程的时间。攻击者可以使用 DCSync 技术来获取单个帐户或整个域的凭据信息,从而危害整个域。 |
[领域: 端点], [操作系统: Windows], [用例: 威胁检测], [战术: 凭证访问], [战术: 权限提升], [用例: Active Directory 监控], [数据源: Active Directory], [资源: 调查指南], [数据源: 系统] |
8.14.0 |
113 |
|
识别 Google Workspace 警报中心发出的安全警报的发生。Google Workspace 的安全警报中心提供了可能影响组织域的可操作警报的概述。警报是 Google 检测到的潜在安全问题的警告。 |
[领域: 云], [数据源: Google Workspace], [用例: 日志审计], [用例: 威胁检测] |
无 |
3 |
|
识别在系统范围内启用完整用户模式转储功能。此功能允许 Windows 错误报告 (WER) 在应用程序崩溃后收集数据。此设置是 LSASS Shtinkering 攻击的要求,该攻击伪造 LSASS 崩溃的通信,生成进程内存转储,这使攻击者无需将恶意软件带入系统即可访问系统上存在的凭据。此设置默认情况下未启用,应用程序必须创建其注册表子项才能保存启用它们收集转储的设置。 |
[领域: 端点], [操作系统: Windows], [用例: 威胁检测], [战术: 凭证访问], [数据源: Elastic Defend], [数据源: Elastic Endgame], [数据源: Sysmon], [数据源: Microsoft Defender for Endpoint] |
8.14.0 |
108 |
|
识别在 Google Cloud Platform (GCP) 中为虚拟私有云 (VPC) 或 App Engine 创建防火墙规则的时间。可以配置这些防火墙规则以允许或拒绝与虚拟机 (VM) 实例或特定应用程序的连接。攻击者可能会创建新的防火墙规则,以削弱其目标的安全控制,并允许更多允许的入口或出口流量,从而使他们受益。 |
[领域: 云], [数据源: GCP], [数据源: Google Cloud Platform], [用例: 配置审计], [战术: 防御规避] |
无 |
104 |
|
识别在 Google Cloud Platform (GCP) 中为虚拟私有云 (VPC) 或 App Engine 删除防火墙规则的时间。可以配置这些防火墙规则以允许或拒绝与虚拟机 (VM) 实例或特定应用程序的连接。攻击者可能会删除防火墙规则,以削弱其目标的安全控制。 |
[领域: 云], [数据源: GCP], [数据源: Google Cloud Platform], [用例: 配置审计], [战术: 防御规避] |
无 |
104 |
|
识别在 Google Cloud Platform (GCP) 中为虚拟私有云 (VPC) 或 App Engine 修改防火墙规则的时间。可以修改这些防火墙规则以允许或拒绝与虚拟机 (VM) 实例或特定应用程序的连接。攻击者可能会修改现有的防火墙规则,以削弱其目标的安全控制,并允许更多允许的入口或出口流量,从而使他们受益。 |
[领域: 云], [数据源: GCP], [数据源: Google Cloud Platform], [用例: 配置审计], [战术: 防御规避] |
无 |
104 |
|
识别 Google Cloud Platform (GCP) 中标识和访问管理 (IAM) 自定义角色的创建。自定义角色是用户定义的,允许捆绑一个或多个受支持的权限以满足特定需求。自定义角色不会自动更新,如果不仔细检查,可能会导致权限蔓延。 |
[领域: 云], [数据源: GCP], [数据源: Google Cloud Platform], [用例: 身份和访问审计], [战术: 初始访问] |
无 |
104 |
|
识别 Google Cloud Platform (GCP) 中标识和访问管理 (IAM) 角色的删除。角色包含一组权限,允许您对 Google Cloud 资源执行特定操作。攻击者可能会删除 IAM 角色以禁止对合法用户使用的帐户的访问。 |
[领域: 云], [数据源: GCP], [数据源: Google Cloud Platform], [用例: 身份和访问审计], [战术: 影响] |
无 |
104 |
|
识别 Google Cloud Platform (GCP) 中标识和访问管理 (IAM) 服务帐户密钥的删除。每个服务帐户都与两组用于身份验证的公共/私有 RSA 密钥对相关联。如果删除密钥,则应用程序将无法再使用该密钥访问 Google Cloud 资源。最佳安全实践是定期轮换您的服务帐户密钥。 |
[领域: 云], [数据源: GCP], [数据源: Google Cloud Platform], [用例: 身份和访问审计], [战术: 持久化] |
无 |
104 |
|
识别 Google Cloud Platform (GCP) 中的日志记录存储桶删除。日志存储桶是存储和组织日志数据的容器。删除的存储桶将保持 7 天的待处理状态,并且在此期间,日志记录会继续将日志路由到该存储桶。要停止将日志路由到已删除的存储桶,您可以删除将该存储桶作为目标的日志接收器,或修改接收器的过滤器以停止将日志路由到已删除的存储桶。攻击者可能会删除日志存储桶以逃避检测。 |
[领域: 云], [数据源: GCP], [数据源: Google Cloud Platform], [用例: 日志审计], [战术: 防御规避] |
无 |
104 |
|
识别 Google Cloud Platform (GCP) 中的日志记录接收器删除。每次日志条目到达时,日志记录都会将日志条目与该资源中的接收器进行比较。每个过滤器与日志条目匹配的接收器都会将日志条目的副本写入接收器的导出目标。攻击者可能会删除日志记录接收器以逃避检测。 |
[领域: 云], [数据源: GCP], [数据源: Google Cloud Platform], [用例: 日志审计], [战术: 防御规避] |
无 |
104 |
|
识别对 Google Cloud Platform (GCP) 中日志记录接收器的修改。日志记录会将日志条目与该资源中的接收器进行比较。每个过滤器与日志条目匹配的接收器都会将日志条目的副本写入接收器的导出目标。攻击者可能会更新日志记录接收器,以将日志泄露到不同的导出目标。 |
[领域: 云], [数据源: GCP], [数据源: Google Cloud Platform], [用例: 日志审计], [战术: 数据泄露] |
无 |
104 |
|
识别 Google Cloud Platform (GCP) 中订阅的创建。在 GCP 中,发布者-订阅者关系 (Pub/Sub) 是一种异步消息传递服务,用于分离事件生成和事件处理服务。订阅是代表要传递到订阅应用程序的消息流的命名资源。 |
[领域: 云], [数据源: GCP], [数据源: Google Cloud Platform], [用例: 日志审计], [战术: 收集] |
无 |
105 |
|
识别 Google Cloud Platform (GCP) 中订阅的删除。在 GCP 中,发布者-订阅者关系 (Pub/Sub) 是一种异步消息传递服务,用于分离事件生成和事件处理服务。订阅是代表要传递到订阅应用程序的消息流的命名资源。 |
[领域: 云], [数据源: GCP], [数据源: Google Cloud Platform], [用例: 日志审计], [战术: 防御规避] |
无 |
104 |
|
识别 Google Cloud Platform (GCP) 中主题的创建。在 GCP 中,发布者-订阅者关系 (Pub/Sub) 是一种异步消息传递服务,用于分离事件生成和事件处理服务。主题用于将消息从发布者转发到订阅者。 |
[领域: 云], [数据源: GCP], [数据源: Google Cloud Platform], [用例: 日志审计], [战术: 收集] |
无 |
105 |
|
识别 Google Cloud Platform (GCP) 中主题的删除。在 GCP 中,发布者-订阅者关系 (Pub/Sub) 是一种异步消息传递服务,用于分离事件生成和事件处理服务。发布者应用程序创建消息并将其发送到主题。删除主题可能会中断 Pub/Sub 管道中的消息流。 |
[领域: 云], [数据源: GCP], [数据源: Google Cloud Platform], [用例: 日志审计], [战术: 防御规避] |
无 |
104 |
|
识别在 Google Cloud Platform (GCP) 中创建新服务帐户的时间。服务帐户是一种特殊类型的帐户,由应用程序或虚拟机 (VM) 实例使用,而不是由人使用。应用程序使用服务帐户进行授权的 API 调用,这些调用被授权为服务帐户本身,或通过域范围委托授权为 G Suite 或 Cloud Identity 用户。如果服务帐户未被正确跟踪和管理,它们可能会带来安全风险。攻击者可能会创建一个新的服务帐户,以便在他们的操作中使用,从而避免使用标准用户帐户并试图逃避检测。 |
[领域: 云], [数据源: GCP], [数据源: Google Cloud Platform], [用例: 身份和访问审计], [战术: 持久化] |
无 |
104 |
|
识别在 Google Cloud Platform (GCP) 中删除服务帐户的时间。服务帐户是一种特殊类型的帐户,由应用程序或虚拟机 (VM) 实例使用,而不是由人使用。应用程序使用服务帐户进行授权的 API 调用,这些调用被授权为服务帐户本身,或通过域范围委托授权为 G Suite 或 Cloud Identity 用户。攻击者可能会删除服务帐户,以扰乱其目标业务运营。 |
[领域: 云], [数据源: GCP], [数据源: Google Cloud Platform], [用例: 身份和访问审计], [战术: 影响] |
无 |
104 |
|
识别在 Google Cloud Platform (GCP) 中禁用服务帐户的时间。服务帐户是一种特殊类型的帐户,由应用程序或虚拟机 (VM) 实例使用,而不是由人使用。应用程序使用服务帐户进行授权的 API 调用,这些调用被授权为服务帐户本身,或通过域范围委托授权为 G Suite 或 Cloud Identity 用户。攻击者可能会禁用服务帐户,以扰乱其目标业务运营。 |
[领域: 云], [数据源: GCP], [数据源: Google Cloud Platform], [用例: 身份和访问审计], [战术: 影响] |
无 |
104 |
|
识别在 Google Cloud Platform (GCP) 中为服务帐户创建新密钥的时间。服务帐户是一种特殊类型的帐户,由应用程序或虚拟机 (VM) 实例使用,而不是由人使用。应用程序使用服务帐户进行授权的 API 调用,这些调用被授权为服务帐户本身,或通过域范围委托授权为 G Suite 或 Cloud Identity 用户。如果私钥未被正确跟踪和管理,它们可能会带来安全风险。攻击者可能会为服务帐户创建一个新密钥,以便尝试滥用分配给该帐户的权限并逃避检测。 |
[领域: 云], [数据源: GCP], [数据源: Google Cloud Platform], [用例: 身份和访问审计], [战术: 持久化] |
无 |
104 |
|
识别在 Google Cloud Platform (GCP) 中修改存储桶配置的时间。攻击者可能会修改存储桶的配置,以削弱其目标环境的安全控制。 |
[域: 云], [数据源: GCP], [数据源: Google Cloud Platform], [用例: 身份和访问审计], [战术: 防御规避] |
无 |
104 |
|
识别 Google Cloud Platform (GCP) 存储桶被删除的时间。攻击者可能会删除存储桶,以扰乱其目标业务运营。 |
[域: 云], [数据源: GCP], [数据源: Google Cloud Platform], [战术: 影响] |
无 |
104 |
|
识别 Google Cloud Platform (GCP) 存储桶的身份和访问管理 (IAM) 权限被修改的时间。攻击者可能会修改存储桶的权限,以削弱其目标的安全控制,或者管理员可能会无意中修改权限,这可能会导致数据暴露或丢失。 |
[域: 云], [数据源: GCP], [数据源: Google Cloud Platform], [用例: 身份和访问审计], [战术: 防御规避] |
无 |
104 |
|
识别在 Google Cloud Platform (GCP) 中删除虚拟私有云 (VPC) 网络的时间。VPC 网络是 GCP 项目中物理网络的虚拟版本。每个 VPC 网络都有自己的子网、路由和防火墙,以及其他元素。攻击者可能会删除 VPC 网络,以扰乱其目标网络和业务运营。 |
[领域: 云], [数据源: GCP], [数据源: Google Cloud Platform], [用例: 配置审计], [战术: 防御规避] |
无 |
104 |
|
识别在 Google Cloud Platform (GCP) 中创建虚拟私有云 (VPC) 路由的时间。Google Cloud 路由定义了网络流量从虚拟机 (VM) 实例到其他目标的路径。这些目标可以在 Google VPC 网络内部或外部。攻击者可能会创建一个路由,以影响其目标云环境中网络流量的流动。 |
[领域: 云], [数据源: GCP], [数据源: Google Cloud Platform], [用例: 配置审计], [战术: 防御规避] |
无 |
104 |
|
识别在 Google Cloud Platform (GCP) 中删除虚拟私有云 (VPC) 路由的时间。Google Cloud 路由定义了网络流量从虚拟机 (VM) 实例到其他目标的路径。这些目标可以在 Google VPC 网络内部或外部。攻击者可能会删除路由,以影响其目标云环境中网络流量的流动。 |
[领域: 云], [数据源: GCP], [数据源: Google Cloud Platform], [用例: 配置审计], [战术: 防御规避] |
无 |
104 |
|
此规则检测由 Git hooks 产生的子进程。Git hooks 是 Git 在提交、推送和接收等事件之前或之后执行的脚本。该规则识别由 Git hooks 产生的子进程,这些子进程通常不是由 Git 进程本身产生的。此行为可能表明攻击者试图通过利用合法的 Git 进程来执行未经授权的命令来隐藏恶意活动。 |
[域: 终端], [操作系统: Linux], [用例: 威胁检测], [战术: 持久性], [战术: 执行], [战术: 防御规避], [数据源: Elastic Defend] |
无 |
2 |
|
此规则检测从 Git hook 执行的潜在恶意进程。Git hooks 是 Git 在提交、推送和接收等事件之前或之后执行的脚本。攻击者可以滥用 Git hooks 在系统上执行任意命令并建立持久性。 |
[域: 终端], [操作系统: Linux], [用例: 威胁检测], [战术: 持久性], [战术: 执行], [战术: 防御规避], [数据源: Elastic Defend] |
无 |
2 |
|
此规则检测 Linux 系统上 Git hook 文件的创建或修改。Git hooks 是 Git 在提交、推送和接收等事件之前或之后执行的脚本。它们用于自动化任务、强制执行策略和自定义 Git 的行为。攻击者可以滥用 Git hooks,通过在发生特定 Git 事件时执行恶意代码来在系统上保持持久性。 |
[域: 终端], [操作系统: Linux], [用例: 威胁检测], [战术: 持久性], [战术: 执行], [战术: 防御规避], [数据源: Elastic Defend] |
无 |
3 |
|
此规则检测来自 Git hook 脚本的可疑出站网络连接尝试。Git hooks 是 Git 在提交、推送和接收等事件之前或之后执行的脚本。攻击者可以滥用这些功能在系统上执行任意命令,建立持久性,或初始化与远程服务器的网络连接,并泄露数据或下载其他有效负载。 |
[域: 终端], [操作系统: Linux], [用例: 威胁检测], [战术: 持久性], [战术: 执行], [战术: 防御规避], [数据源: Elastic Defend] |
无 |
2 |
|
检测从存储库或组织中删除 GitHub 应用程序的操作。 |
[域: 云], [用例: 威胁检测], [战术: 执行], [数据源: Github] |
8.13.0 |
204 |
|
此规则检测何时向成员授予 GitHub 组织的组织所有者角色。此角色提供管理员级别的权限。应调查任何新的所有者角色以确定其有效性。未经授权的所有者角色可能表明您的组织内存在妥协,并提供对数据和设置的无限制访问权限。 |
[域: 云], [用例: 威胁检测], [用例: UEBA], [战术: 持久性], [数据源: Github] |
8.13.0 |
206 |
|
已撤销 PAT 对私有 GitHub 组织资源的访问权限。 |
[域: 云], [用例: 威胁检测], [用例: UEBA], [战术: 影响], [规则类型: BBR], [数据源: Github] |
8.13.0 |
204 |
|
此规则检测 GitHub 存储库的受保护分支的设置修改。分支保护规则可用于强制执行某些工作流程或要求,然后贡献者才能将更改推送到存储库中的分支。应调查并验证对这些受保护分支设置的更改是否为合法活动。未经授权的更改可能被用来降低您组织的安全态势,并使您暴露于未来的攻击之下。 |
[域: 云], [用例: 威胁检测], [战术: 防御规避], [数据源: Github] |
8.13.0 |
206 |
|
已创建新的 GitHub 存储库。 |
[域: 云], [用例: 威胁检测], [用例: UEBA], [策略: 执行], [规则类型: BBR], [数据源: Github] |
8.13.0 |
204 |
|
此规则检测何时在您的组织内删除 GitHub 存储库。存储库是组织内用于管理工作、与他人协作以及向公众发布产品的关键组成部分。应调查针对存储库的任何删除操作,以确定其有效性。未经授权删除组织存储库可能会导致知识产权的不可逆转损失,并表明您的组织内存在妥协。 |
[域: 云], [用例: 威胁检测], [用例: UEBA], [战术: 影响], [数据源: Github] |
8.13.0 |
203 |
|
此规则是“GitHub UEBA - 来自帐户的异常活动包”的一部分,并利用警报数据来确定同一用户在一小时的时间跨度内执行多个警报的时间。分析师可以使用它来优先处理分类和响应,因为这些警报是受损用户帐户或 PAT 的更高指标。 |
[域: 云], [用例: 威胁检测], [用例: UEBA], [战术: 执行], [规则类型: 高阶规则], [数据源: Github] |
8.13.0 |
101 |
|
GitHub 用户被阻止访问组织。 |
[域: 云], [用例: 威胁检测], [用例: UEBA], [战术: 影响], [规则类型: BBR], [数据源: Github] |
8.13.0 |
204 |
|
云端硬盘和文档是 Google Workspace 服务,允许用户利用 Google 云端硬盘和 Google 文档。对文件的访问基于用户所属的子组织单元的继承权限,该权限由管理员确定范围。通常,如果用户被删除,他们的文件可以由管理员转移给另一个用户。攻击者也可以滥用此服务将文件转移到攻击者帐户以进行潜在的泄露。 |
[域: 云], [数据源: Google Workspace], [战术: 收集], [资源: 调查指南] |
无 |
107 |
|
Google Workspace 管理员可以设置两步验证 (2SV),通过要求用户在使用登录凭据时验证其身份,为用户帐户添加额外的安全层。管理员可以从管理控制台强制执行 2SV,以及可接受的验证和注册期限的方法。2SV 需要在为组织部门中的用户启用之前在管理帐户上启用。攻击者可能会禁用 2SV 以降低访问有效帐户的安全要求。 |
[域:云], [数据源:Google Workspace], [用例:配置审计], [战术:持久性], [资源:调查指南] |
无 |
107 |
|
检测何时向服务帐户授予了域范围的授权委派。可以配置域范围的委派,以允许第三方和内部应用程序访问 Google Workspace 用户的数据。攻击者可能会配置域范围的委派来维持对其目标数据的访问权限。 |
[域:云],[数据源:Google Workspace],[用例:身份和访问审计],[资源:调查指南],[战术:持久性] |
无 |
207 |
|
将管理员角色分配给用户将授予他们访问 Google 管理控制台的权限,并授予他们管理员权限,从而允许他们访问和管理各种资源和应用程序。攻击者可能会创建一个新的管理员帐户以实现持久性,或者将管理员角色应用于现有用户以进行进一步的入侵活动。如果 Google Workspace 中启用了单点登录,则具有超级管理员权限的用户可以绕过它。 |
[域:云],[数据源:Google Workspace],[用例:身份和访问审计],[战术:持久性],[资源:调查指南] |
无 |
207 |
|
检测何时删除了自定义管理员角色。攻击者可能会删除自定义管理员角色,以影响系统管理员的权限或能力。 |
[域:云],[数据源:Google Workspace],[用例:身份和访问审计],[战术:影响],[资源:调查指南] |
无 |
206 |
|
管理 Windows 设备且启用了 Windows 设备管理的 Google Workspace 管理员还可以启用 BitLocker 驱动器加密,以减少在丢失或被盗计算机上未经授权的数据访问。具有有效帐户访问权限的攻击者可能会禁用 BitLocker 以访问添加到 Google Workspace 设备管理的端点上的敏感数据。 |
[域:云], [数据源:Google Workspace], [用例:配置审计], [战术:防御规避], [资源:调查指南] |
无 |
107 |
|
检测何时在 Google Workspace 中创建了自定义管理员角色。攻击者可能会创建自定义管理员角色,以提升其他用户帐户的权限并在其目标环境中保持持久性。 |
[域:云],[数据源:Google Workspace],[用例:身份和访问审计],[资源:调查指南],[战术:持久性] |
无 |
206 |
|
检测何时在 Google Workspace 中添加或修改了自定义 Gmail 路由。攻击者可以为出站邮件添加自定义电子邮件路由,以将这些电子邮件路由到他们选择的收件箱以进行数据收集。这允许攻击者从电子邮件和潜在的附件(例如发票或付款单据)中捕获敏感信息。默认情况下,来自当前 Google Workspace 用户帐户的所有电子邮件都会通过域的邮件服务器路由,以进行入站和出站邮件。 |
[域: 云], [数据源: Google Workspace], [战术: 收集], [资源: 调查指南] |
无 |
107 |
|
检测外部(匿名)用户何时查看、复制或下载了来自 Google Workspace 云端硬盘的加密密钥文件。攻击者可能会通过没有过期的恶意访问链接,获得对存储在私有云端硬盘中的加密密钥的访问权限。访问加密密钥可能允许攻击者访问敏感数据或代表用户进行身份验证。 |
[域:云],[数据源:Google Workspace],[用例:配置审计],[战术:凭证访问] |
无 |
4 |
|
检测何时对 Google Workspace 用户禁用多因素身份验证 (MFA) 强制。攻击者可能会禁用 MFA 强制,以削弱组织的安全控制。 |
[域:云],[数据源:Google Workspace],[用例:配置审计],[战术:影响],[资源:调查指南] |
无 |
208 |
|
检测用户何时从外部驱动器复制 Google 电子表格、表单、文档或脚本。添加了序列逻辑,以检测用户是否在不久之后通过 OAuth 授予了自定义 Google 应用程序权限。攻击者可能会向受害者发送包含云端硬盘对象链接的网络钓鱼电子邮件,其中 URI 中包含“复制”,从而将对象复制到受害者的云端硬盘中。如果对象中存在容器绑定脚本,则执行将需要通过 OAuth 授予权限,用户必须接受。 |
[域:云],[数据源:Google Workspace],[战术:初始访问],[资源:调查指南] |
无 |
7 |
|
检测何时修改了 Google Workspace 密码策略。攻击者可能会尝试修改密码策略,以削弱组织的安全控制。 |
[域:云],[数据源:Google Workspace],[用例:身份和访问审计],[战术:持久性],[资源:调查指南] |
无 |
206 |
|
检测何时更改 Google 应用商店限制以允许 Google Workspace 中的用户使用任何应用程序。攻击者创建的恶意 APK 可能会上传到 Google 应用商店,但不会安装在 Google Workspace 中管理的设备上。出于安全原因,管理员应设置限制以不允许应用商店中的任何应用程序。攻击者可能会在将恶意 APK 分发给最终用户之前,允许在 Google Workspace 环境中的移动设备上安装和执行任何应用程序。 |
[域:云], [数据源:Google Workspace], [用例:配置审计], [战术:防御规避], [资源:调查指南] |
无 |
108 |
|
检测何时修改了自定义管理员角色或其权限。攻击者可能会修改自定义管理员角色,以提升其他用户帐户的权限并在其目标环境中保持持久性。 |
[域:云],[数据源:Google Workspace],[用例:身份和访问审计],[资源:调查指南],[战术:持久性] |
无 |
206 |
|
检测何时在 Google Workspace 中恢复了之前被暂停的用户的帐户。攻击者可能会恢复暂停的用户帐户,以使用有效帐户维持对 Google Workspace 组织的访问权限。 |
[域:云],[数据源:Google Workspace],[用例:身份和访问审计],[战术:初始访问] |
无 |
3 |
|
Google Workspace 中的用户通常会被分配一个特定的组织单元,该组织单元授予他们对某些服务的权限以及从该组织单元继承的角色。攻击者可能会危及有效帐户,并更改用户所属的组织帐户,这可能会允许他们继承对以前无法访问的应用程序和资源的权限。 |
[域:云], [数据源:Google Workspace], [用例:配置审计], [战术:持久性], [资源:调查指南] |
无 |
107 |
|
检测首次修改组策略对象属性以向用户帐户添加权限或使用它们将用户添加为本地管理员的情况。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:特权提升],[数据源:Active Directory],[资源:调查指南],[用例:Active Directory 监控],[数据源:系统] |
8.14.0 |
211 |
|
检测使用 gpresult.exe 查询组策略对象的情况。攻击者可能会在破坏系统后的侦察阶段查询组策略对象,以更好地了解 Active Directory 环境以及升级权限或横向移动的可能方法。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:发现],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:系统],[数据源:Microsoft Defender for Endpoint],[数据源:Sysmon],[数据源:SentinelOne],[数据源:Crowdstrike] |
8.14.0 |
210 |
|
Halfbaked 是一种恶意软件系列,用于在有争议的网络中建立持久性。此规则检测 Halfbaked 植入信标用于命令和控制的网络活动算法。 |
[用例:威胁检测], [策略:命令和控制], [域:端点] |
无 |
104 |
|
此规则检测通过不寻常的父级可执行文件创建隐藏目录的情况。隐藏目录是默认情况下用户不可见的目录。攻击者经常使用它们来隐藏恶意文件或工具。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[战术:防御规避],[数据源:Elastic Defend],[战术:持久性] |
无 |
1 |
|
识别与攻击者可以向文件添加隐藏标志以将其隐藏起来以试图逃避检测相关的活动。 |
[域:端点],[操作系统:Linux],[操作系统:macOS],[用例:威胁检测],[战术:防御规避],[数据源:Elastic Defend],[数据源:Elastic Endgame],[数据源:Auditd Manager] |
无 |
3 |
|
机器学习作业检测到 RDP 会话中进程参数的数量异常高。执行复杂的攻击(例如横向移动)可能涉及使用复杂的命令、混淆机制、重定向和管道,这反过来会增加命令中的参数数量。 |
[用例:横向移动检测],[规则类型:ML],[规则类型:机器学习],[战术:横向移动] |
无 |
4 |
|
机器学习作业检测到 RDP 会话持续时间的平均值异常高。长时间的 RDP 会话可以通过会话持久性来逃避检测机制,并且可能用于执行诸如横向移动之类的任务,这可能需要不间断地访问受感染的机器。 |
[用例:横向移动检测],[规则类型:ML],[规则类型:机器学习],[战术:横向移动] |
无 |
4 |
|
检测在短时间内,来自单个个人访问令牌的大量唯一的私有存储库克隆事件。 |
[域:云],[用例:威胁检测],[用例:UEBA],[战术:执行],[数据源:Github] |
8.13.0 |
204 |
|
检测当 Okta 客户端地址对单个用户身份验证生成多个设备令牌哈希时,具有某个 Okta 用户身份验证事件阈值的情况。攻击者可能会尝试使用已知的用户名和密码列表从同一设备发起凭证填充或密码喷射攻击,以获得对用户帐户的未经授权的访问权限。 |
[用例:身份和访问审计],[数据源:Okta],[战术:凭证访问] |
8.15.0 |
203 |
|
识别大量 Okta 用户密码重置或帐户解锁尝试。攻击者可能会尝试使用这些方法获得对 Okta 用户帐户的未经授权的访问权限,并尝试融入其目标环境中的正常活动并逃避检测。 |
[用例:身份和访问审计], [数据源:Okta], [策略:防御规避] |
8.15.0 |
412 |
|
此规则识别出在短时间内,同一主机通过 pkill 大量(10 次)进程终止的情况。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[战术:影响],[资源:调查指南],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:Auditd Manager] |
无 |
112 |
|
此规则识别在短时间内从同一主机发起的进程终止(停止、删除或挂起)次数过多(10次)。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:影响], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统] |
8.14.0 |
212 |
|
机器学习作业检测到 RDP 会话持续时间异常高的差异。较长的 RDP 会话可用于通过会话持久性来规避检测机制,并且可能用于执行横向移动等任务,这些任务可能需要不间断地访问受感染的计算机。 |
[用例:横向移动检测],[规则类型:ML],[规则类型:机器学习],[战术:横向移动] |
无 |
4 |
|
检测从适用于 Linux 的 Windows 子系统在主机系统上创建和修改的文件。攻击者可能会启用和使用适用于 Linux 的 WSL 以避免检测。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:防御规避], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon] |
8.14.0 |
107 |
|
端点上的 hosts 文件用于控制手动 IP 地址到主机名的解析。hosts 文件是 DNS 主机名解析的第一个查找点,因此如果攻击者可以修改端点 hosts 文件,他们可以将流量路由到恶意基础设施。此规则检测 Microsoft Windows、Linux(Ubuntu 或 RHEL)和 macOS 系统上 hosts 文件的修改。 |
[域:端点], [操作系统:Linux], [操作系统:Windows], [操作系统:macOS], [用例:威胁检测], [策略:影响], [资源:调查指南], [数据源:Elastic Defend] |
8.14.0 |
210 |
|
Hping 在 Linux 主机上运行。Hping 是一个 FOSS 命令行数据包分析器,它能够构建用于各种网络安全测试应用程序的网络数据包,包括扫描和防火墙审计。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:发现], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Auditd Manager] |
无 |
108 |
|
识别服务器上的 Internet Information Services (IIS) HTTP 日志记录何时被禁用。通过 webshell 或其他机制获得 IIS 服务器访问权限的攻击者可以禁用 HTTP 日志记录作为一种有效的反取证措施。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:逃避防御], [数据源:Elastic Endgame], [资源:调查指南], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
312 |
|
此规则检测可能描述 IPSEC NAT 穿越流量的事件。IPSEC 是一种 VPN 技术,允许一个系统使用加密隧道与另一个系统进行通信。NAT 穿越使这些隧道能够在互联网上进行通信,其中一方位于 NAT 路由器网关后面。这在您的网络上可能很常见,但威胁行动者也使用这种技术来避免检测。 |
[策略:命令和控制], [域:端点], [用例:威胁检测], [数据源:PAN-OS] |
无 |
105 |
|
此规则监视在 Linux 系统上启用 IPv4 和 IPv6 转发的命令的执行。启用 IP 转发可用于在不同的网络接口之间路由网络流量,这可能会允许攻击者在网络之间进行枢轴移动、渗透数据或建立命令和控制通道。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[战术:命令和控制],[数据源:Elastic Defend] |
无 |
1 |
|
调试器和 SilentProcessExit 注册表项可以允许攻击者拦截文件的执行,导致执行不同的进程。攻击者可以滥用此功能来建立持久性。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:持久性], [策略:防御规避], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne] |
8.14.0 |
309 |
|
识别加载且具有无效代码签名的二进制文件。这可能表明试图伪装成已签名的二进制文件。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [规则类型:BBR], [数据源:Elastic Defend] |
无 |
2 |
|
识别滥用 Windows 更新自动更新客户端 (wuauclt.exe) 加载任意 DLL。此行为用作防御规避技术,将恶意活动与合法的 Windows 软件混淆。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [战术:执行], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
314 |
|
识别没有传输层安全性 (TLS) 和/或缺少身份验证,并且正在通过默认 Elasticsearch 端口接受入站网络连接的 Elasticsearch 节点。 |
[用例:威胁检测], [策略:初始访问], [域:端点] |
无 |
104 |
|
识别使用分布式组件对象模型 (DCOM) 从远程主机执行命令,这些命令通过 HTA 应用程序 COM 对象启动。此行为可能表明攻击者滥用 DCOM 应用程序进行横向移动,同时试图规避检测。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:横向移动], [数据源:Elastic Defend], [数据源:Sysmon] |
8.14.0 |
207 |
|
识别使用分布式组件对象模型 (DCOM) 从远程主机运行命令,这些命令通过 MMC20 应用程序 COM 对象启动。此行为可能表明攻击者滥用 DCOM 应用程序进行横向移动。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:横向移动], [策略:防御规避], [数据源:Elastic Defend], [数据源:Sysmon] |
8.14.0 |
208 |
|
识别使用分布式组件对象模型 (DCOM) 从远程主机运行命令,这些命令通过 ShellBrowserWindow 或 ShellWindows 应用程序 COM 对象启动。此行为可能表明攻击者滥用 DCOM 应用程序进行隐蔽的横向移动。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:横向移动], [数据源:Elastic Defend], [数据源:Sysmon] |
8.14.0 |
207 |
|
识别通过 Windows PowerShell 远程处理的远程执行。Windows PowerShell 远程处理允许用户在一个或多个远程计算机上运行任何 Windows PowerShell 命令。这可能表示横向移动。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:横向移动], [策略:执行], [数据源:Elastic Defend], [数据源:Sysmon] |
8.14.0 |
209 |
|
识别通过目标主机上的 Windows 远程管理 (WinRM) 远程 shell 进行的远程执行。这可能表示横向移动。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:横向移动], [数据源:Elastic Defend], [数据源:Sysmon] |
8.14.0 |
208 |
|
识别通过程序兼容性助手 (pcalua.exe) 或 forfiles.exe 的间接命令执行。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:防御规避], [数据源:Elastic Defend], [规则类型:BBR], [数据源:Elastic Endgame], [数据源:系统] |
8.14.0 |
104 |
|
识别通过 Windows 后台智能传输服务 (BITS) 下载的可执行文件和存档文件。攻击者可能会利用 Windows BITS 传输作业来下载远程有效负载。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:防御规避], [策略:命令和控制], [数据源:Elastic Defend] |
无 |
8 |
|
识别何时为 AWS EC2 中的 VPC 安全组添加或调整了指定的入站(入口)规则。此规则检测何时添加了允许来自任何 IP 地址或来自特定 IP 地址到常用远程访问端口(如 22 (SSH) 或 3389 (RDP))的流量的安全组规则。攻击者可能会添加这些规则以允许从任何位置远程访问 VPC 实例,从而增加攻击面并可能将实例暴露给未经授权的访问。 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [数据源:AWS EC2], [用例:威胁检测], [策略:防御规避] |
无 |
1 |
|
InstallUtil 是一个命令行实用程序,允许通过执行 .NET 二进制文件中指定的特定安装程序组件来安装和卸载资源。攻击者可能会使用 InstallUtil 通过受信任的 Windows 实用程序代理代码的执行。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:防御规避], [数据源:Elastic Defend], [规则类型:BBR], [数据源:Elastic Endgame], [数据源:系统] |
8.14.0 |
104 |
|
识别进行出站网络连接的 InstallUtil.exe。这可能表明恶意活动,因为攻击者经常利用 InstallUtil 执行代码并规避检测。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:防御规避], [数据源:Elastic Defend], [数据源:Sysmon] |
8.14.0 |
207 |
|
识别自定义应用程序兼容性 Shim 数据库的安装。攻击者滥用了此 Windows 功能,以隐蔽地在合法的 Windows 进程中获得持久性和任意代码执行。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:持久性], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne], [数据源:Elastic Endgame] |
8.14.0 |
309 |
|
识别与 Windows 安全支持提供程序 (SSP) 配置相关的注册表修改。攻击者可能会滥用此功能在环境中建立持久性。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:持久性], [策略:防御规避], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne] |
8.14.0 |
309 |
|
此规则检测使用 exec 命令针对容器启动的交互式 exec 事件。在 pod 中使用 exec 命令允许用户建立一个临时 shell 会话并在容器内部执行任何进程/命令。此规则专门针对允许与容器的 shell 进行实时交互的较高风险的交互式命令。恶意行为者可以使用此级别的访问权限进一步危害容器环境或尝试容器突破。 |
[数据源:Elastic Defend for Containers], [域:容器], [操作系统:Linux], [用例:威胁检测], [战术:执行] |
无 |
2 |
|
识别使用备用凭据和由不寻常进程进行的交互式登录尝试。攻击者可能会创建一个新令牌来提升权限并绕过访问控制。 |
[领域: 端点], [操作系统: Windows], [用例: 威胁检测], [战术: 权限提升], [数据源: 系统] |
8.14.0 |
104 |
|
识别何时通过 Perl 生成终端 (tty)。攻击者可能会在获得对主机的初始访问权限后,将简单的反向 shell 升级为完全交互式的 tty。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:执行], [数据源:Elastic Endgame], [数据源:Elastic Defend] |
无 |
108 |
|
识别何时通过 Python 生成终端 (tty)。攻击者可能会在获得对主机的初始访问权限后,将简单的反向 shell 升级为完全交互式的 tty。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:执行], [数据源:Elastic Endgame], [数据源:Elastic Defend] |
无 |
110 |
|
识别对 msDS-AllowedToDelegateTo 属性到 KRBTGT 的修改。攻击者可以使用此技术通过请求 KRBTGT 服务的票证来维护对域的持久性。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:持久性], [用例:Active Directory 监控], [数据源:Active Directory], [数据源:系统] |
8.14.0 |
208 |
|
识别使用 Kerberos 凭据缓存 (kcc) 实用程序来转储本地缓存的 Kerberos 票证的行为。攻击者可能会尝试以票证的形式转储凭据材料,这些票证可用于横向移动。 |
[领域:端点], [操作系统:macOS], [用例:威胁检测], [战术:凭据访问], [数据源:Elastic Defend] |
无 |
106 |
|
识别对帐户的 Kerberos 预身份验证选项的修改。拥有帐户的 GenericWrite/GenericAll 权限的攻击者可以恶意修改这些设置,以执行离线密码破解攻击,例如 AS-REP roasting。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:凭据访问], [战术:防御规避], [战术:特权提升], [资源:调查指南], [用例:活动目录监控], [数据源:活动目录], [数据源:系统] |
8.14.0 |
213 |
|
识别来自异常进程到标准 Kerberos 端口的网络连接。在 Windows 上,通常执行来自加入域的主机的 Kerberos 流量的唯一进程是 lsass.exe。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:凭据访问], [资源:调查指南], [数据源:Elastic Defend], [数据源:SentinelOne] |
8.13.0 |
210 |
|
检测通过系统调用加载 Linux 内核模块的行为。威胁参与者可能会利用 Linux 内核模块在系统上加载 rootkit,从而完全控制系统并能够躲避安全产品的检测。由于其他规则会通过系统实用程序或 .ko 文件监视 Linux 内核模块的添加,因此本规则通过 auditd_manager 在最低级别监视内核模块的添加,从而弥补了规避型 rootkit 利用的漏洞。 |
[数据源:Auditd Manager], [域:端点], [操作系统:Linux], [用例:威胁检测], [战术:持久化], [战术:防御规避] |
无 |
4 |
|
检测非 root 用户通过系统调用加载 Linux 内核模块的行为。威胁参与者可能会利用 Linux 内核模块在系统上加载 rootkit,从而完全控制系统并能够躲避安全产品的检测。由于其他规则会通过系统实用程序或 .ko 文件监视 Linux 内核模块的添加,因此本规则通过 auditd_manager 在最低级别监视内核模块的添加,从而弥补了规避型 rootkit 利用的漏洞。 |
[数据源:Auditd Manager], [域:端点], [操作系统:Linux], [用例:威胁检测], [战术:持久化], [战术:防御规避] |
无 |
3 |
|
此检测规则识别 kexec 的使用情况,有助于发现未经授权的内核替换和潜在的系统完整性损害。Kexec 是一个 Linux 功能,它允许加载和执行不同的内核,而无需经过典型的启动过程。恶意攻击者可以滥用 kexec 来绕过安全措施、提升权限、建立持久性或通过加载恶意内核来隐藏他们的活动,从而篡改系统的受信任状态,例如,实现虚拟机逃逸。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:持久化], [战术:特权提升], [战术:防御规避], [数据源:Elastic Defend], [数据源:Elastic Endgame], [数据源:Auditd Manager] |
无 |
7 |
|
检测使用 insmod 二进制文件加载 Linux 内核对象文件的行为。威胁参与者可以使用此二进制文件(如果他们具有 root 权限),在系统上加载 rootkit,从而完全控制系统并能够躲避安全产品的检测。以这种方式手动加载内核模块应该非常罕见,并且可能表明存在可疑或恶意行为。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:持久化], [威胁:Rootkit], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Auditd Manager] |
无 |
110 |
|
内核模块是可以在需要时加载和卸载到内核中的代码段。它们扩展了内核的功能,而无需重新启动系统。此规则识别删除内核模块的尝试。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:防御规避], [数据源:Elastic Endgame], [数据源:Elastic Defend] |
无 |
110 |
|
攻击者可能会从系统中收集 Keychain 存储数据,以获取凭据。Keychain 是 macOS 内置的跟踪用户密码和许多服务和功能(包括 Wi-Fi 和网站密码、安全笔记、证书和 Kerberos)的凭据的方式。 |
[领域:端点], [操作系统:macOS], [用例:威胁检测], [战术:凭据访问], [数据源:Elastic Defend] |
无 |
108 |
|
识别 .kirbi 文件的创建。此类文件的创建表明攻击者正在运行 Kerberos 票据转储实用程序(例如 Mimikatz),并且发生在诸如 Pass-The-Ticket (PTT) 之类的攻击之前,后者允许攻击者使用 Kerberos 票据来模拟用户。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:凭据访问], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Microsoft Defender for Endpoint], [数据源:Elastic Endgame], [数据源:Crowdstrike] |
8.14.0 |
311 |
|
此规则检测集群中何时授权未经身份验证的用户请求。攻击者可能会尝试使用匿名帐户来获取对集群的初始访问权限,或者避免对其在集群中的活动进行归属。此规则排除 /healthz、/livez 和 /readyz 端点,这些端点通常以匿名方式访问。 |
[数据源:Kubernetes], [战术:执行], [战术:初始访问], [战术:防御规避] |
无 |
6 |
|
此规则检测部署了一个或多个危险的 Linux 功能的容器。有能力部署添加了功能的容器的攻击者可能会使用此功能在集群内进行进一步的执行、横向移动或特权提升。此规则中检测到的功能已用于容器逃逸到主机。 |
[数据源:Kubernetes], [战术:执行], [战术:特权提升] |
无 |
5 |
|
此规则检测服务帐户何时对 API 服务器发出未经授权的资源请求。服务帐户遵循非常可预测的行为模式。服务帐户绝不应向 API 服务器发送未经授权的请求。此行为很可能表明存在威胁或集群中存在问题。攻击者可能已获得对凭据/令牌的访问权限,这可能是访问或创建资源以促进集群内进一步移动或执行的尝试。 |
[数据源:Kubernetes], [战术:发现] |
无 |
5 |
|
此规则检测尝试创建或修改类型为 NodePort 的服务的行为。NodePort 服务允许用户将一组标记的 pod 对外暴露到 Internet。这会在集群中具有该服务 pod 的每个工作节点上创建一个开放端口。当该开放端口接收到外部流量时,它会将流量通过代表它的服务定向到特定的 pod。恶意用户可以将服务配置为 Nodeport 类型,以拦截来自其他 pod 或节点的流量,从而绕过为集群中的负载均衡器配置的防火墙和其他网络安全措施。这会在集群和外部世界之间建立直接的通信方式,这可能被用于更恶意的行为,并且肯定会扩大集群的攻击面。 |
[数据源:Kubernetes], [战术:执行], [战术:持久化] |
无 |
203 |
|
此规则检测尝试使用主机 IPC 命名空间创建或修改 pod 的行为。这可以访问也使用主机 IPC 命名空间的任何 pod 使用的数据。如果主机上的任何进程或 pod 中的任何进程使用主机的进程间通信机制(共享内存、信号量数组、消息队列等),攻击者可以读取/写入这些相同的机制。他们可能会在 /dev/shm 中查找文件,或使用 ipcs 检查是否正在使用任何 IPC 工具。 |
[数据源:Kubernetes], [战术:执行], [战术:特权提升] |
无 |
204 |
|
此规则检测尝试创建或修改附加到主机网络的 pod 的行为。HostNetwork 允许 pod 使用节点网络命名空间。这样做会使 pod 可以访问主机 localhost 上运行的任何服务。攻击者可以使用此访问权限来窥探同一节点上其他 pod 的网络活动或绕过应用于其给定命名空间的限制性网络策略。 |
[数据源:Kubernetes], [战术:执行], [战术:特权提升] |
无 |
204 |
|
此规则检测尝试创建或修改附加到主机 PID 命名空间的 pod 的行为。HostPID 允许 pod 访问主机上运行的所有进程,并且可能允许攻击者采取恶意操作。与 ptrace 配对使用时,它可以用于提升容器之外的权限。与特权容器配对使用时,pod 可以查看主机上的所有进程。攻击者可以进入主机上的 init 系统(PID 1)。从那里,他们可以执行 shell 并继续将权限提升为 root。 |
[数据源:Kubernetes], [战术:执行], [战术:特权提升] |
无 |
204 |
|
此规则检测何时使用 hostPath 类型的敏感卷创建 pod。hostPath 卷类型会将来自节点的敏感文件或文件夹挂载到容器中。如果容器遭到入侵,攻击者可以使用此挂载来获取对节点的访问权限。具有对主机文件系统的无限制访问权限的容器有许多种方法可以提升权限,包括读取其他容器中的数据和访问更高权限 pod 的令牌。 |
[数据源:Kubernetes], [战术:执行], [战术:特权提升] |
无 |
204 |
|
此规则检测用户何时创建以特权模式运行的 pod/容器。高度特权的容器可以访问节点的资源,并打破容器之间的隔离。如果遭到入侵,攻击者可以使用特权容器来获取对底层主机的访问权限。获取对主机的访问权限可能会使攻击者有机会实现后续目标,例如建立持久性、在环境中横向移动或在主机上设置命令和控制通道。 |
[数据源:Kubernetes], [战术:执行], [战术:特权提升] |
无 |
204 |
|
此规则检测将控制器服务帐户附加到 kube-system 命名空间中运行的现有 pod 或新 pod 的请求。默认情况下,作为 API 服务器一部分运行的控制器利用托管在 kube-system 命名空间中的管理等效服务帐户。控制器服务帐户通常不会分配给正在运行的 pod,并且可能表明集群内的攻击者行为。可以创建或修改 kube-system 命名空间中的 pod 或 pod 控制器的攻击者,可以将其中一个管理等效服务帐户分配给 pod,并滥用其强大的令牌来提升权限并获得完全的集群控制。 |
[数据源:Kubernetes], [战术:执行], [战术:特权提升] |
无 |
6 |
|
此规则检测服务帐户或节点何时尝试通过 selfsubjectaccessreview 或 selfsubjectrulesreview API 枚举其自身权限。对于非人类身份(如服务帐户和节点)来说,这是一种非常不寻常的行为。攻击者可能已获得凭据/令牌,这可能是试图确定他们拥有哪些权限,以促进在集群内的进一步移动或执行。 |
[数据源:Kubernetes], [战术:发现] |
无 |
203 |
|
此规则检测用户尝试使用 exec 命令在 pod 中建立 shell 会话。在 pod 中使用 exec 命令允许用户建立临时 shell 会话并在 pod 中执行任何进程/命令。攻击者可能会调用 bash 来获得持久的交互式 shell,这将允许访问 pod 有权访问的任何数据,包括机密信息。 |
[数据源:Kubernetes], [策略:执行] |
无 |
203 |
|
识别本地安全机构子系统服务 (lsass.exe) 默认内存转储的创建。这可能表明通过受信任的系统实用程序(如任务管理器 (taskmgr.exe) 和 SQL Dumper (sqldumper.exe))或已知的渗透测试工具(如 Dumpert 和 AndrewSpecial)尝试进行凭据访问。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:凭据访问], [数据源:Elastic Endgame], [资源:调查指南], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne] |
8.14.0 |
311 |
|
识别对本地安全机构子系统服务 (LSASS) 对象访问的句柄请求,其中包含许多具有将内存转储到磁盘的功能的工具使用的特定访问掩码(0x1fffff、0x1010、0x120089)。此规则与工具无关,因为它已针对各种 LSASS 转储工具(如 SharpDump、Procdump、Mimikatz、Comsvcs 等)进行了验证。它在低级别检测到此行为,并且不依赖于特定的工具或转储文件名。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:凭据访问], [资源:调查指南], [数据源:系统] |
8.14.0 |
211 |
|
识别对 LSASS 句柄的访问尝试,这可能表明试图从 LSASS 内存中转储凭据。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:凭据访问], [策略:执行], [数据源:Elastic Defend], [数据源:Microsoft Defender for Endpoint] |
无 |
10 |
|
识别远程系统启动文件夹中可疑文件的创建。攻击者可能会滥用此功能,通过放置恶意脚本或可执行文件来进行横向移动,该脚本或可执行文件将在重新启动或用户登录后执行。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:横向移动], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne] |
8.14.0 |
309 |
|
攻击者可以通过安装一个新的启动代理来建立持久性,该代理使用 launchd 或 launchctl 将 plist 加载到相应的目录中,从而在登录时执行。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [策略:持久性], [数据源:Elastic Defend] |
无 |
106 |
|
表示启动守护程序的创建或修改,攻击者可能会使用该守护程序来重复执行恶意负载,作为持久性的一部分。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [策略:持久性], [数据源:Elastic Defend] |
无 |
106 |
|
此规则监视 unix 系统上最常见的剪贴板实用程序被不常见的进程组领导者使用的情况。攻击者可能会从用户在应用程序内或应用程序之间复制信息时收集存储在剪贴板中的数据。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:收集], [数据源:Elastic Defend], [数据源:Elastic Endgame], [数据源:Auditd Manager] |
无 |
5 |
|
识别创建新组的尝试。攻击者可能会创建新组以在系统上建立持久性。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:持久性], [资源:调查指南] |
无 |
6 |
|
此规则监视通过 gdb 进行的潜在内存转储。攻击者可能会利用内存转储技术来尝试从特权进程中提取机密信息。显示此行为的工具包括“truffleproc”和“bash-memory-dump”。默认情况下不应发生此行为,应彻底调查。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:凭据访问], [数据源:Elastic Defend], [数据源:Elastic Endgame], [数据源:Auditd Manager] |
无 |
3 |
|
识别滥用 Linux 二进制文件,通过生成交互式系统 shell 来突破受限 shell 或环境。从二进制文件生成 shell 的活动对于用户或系统管理员来说不是常见的行为,可能表明试图逃避检测,增加功能或增强攻击者的稳定性。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:执行], [数据源:Elastic Endgame], [数据源:Elastic Defend] |
无 |
113 |
|
此规则监视通过 SSH 进行的 X11 转发。X11 转发是一项功能,允许用户在远程服务器上运行图形应用程序,并在其本地计算机上显示该应用程序的图形用户界面。攻击者可以滥用 X11 转发来隧道传输基于 GUI 的工具,通过受感染的系统进行透视,并创建秘密通信通道,从而实现横向移动并促进对网络内系统的远程控制。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:命令和控制], [数据源:Elastic Defend], [数据源:Elastic Endgame] |
无 |
4 |
|
使用 uname 和其他暗示 Linux 系统信息发现的命令行来丰富进程事件。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:侦察], [规则类型:BBR], [数据源:Elastic Defend], [数据源:Elastic Endgame], [数据源:Auditd Manager] |
无 |
3 |
|
识别创建新用户的尝试。攻击者可能会添加新用户以在系统上建立持久性。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:持久性], [资源:调查指南] |
无 |
6 |
|
识别将用户添加到特权组的尝试。攻击者可能会将用户添加到特权组,以便在系统上建立持久性。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:持久性], [数据源:Elastic Endgame], [资源:调查指南], [数据源:Elastic Defend], [数据源:Auditd Manager] |
无 |
8 |
|
此规则监视通过 gdb 对 init 进程 (PID 1) 进行的潜在内存转储。攻击者可能会利用内存转储技术来尝试从特权进程中提取机密信息。显示此行为的工具包括“truffleproc”和“bash-memory-dump”。默认情况下不应发生此行为,应彻底调查。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:凭据访问], [数据源:Elastic Defend], [数据源:Elastic Endgame] |
无 |
6 |
|
识别对 LocalAccountTokenFilterPolicy 策略的注册表修改。如果此值存在(默认情况下不存在)且设置为 1,则在协商期间,来自管理员的所有本地成员的远程连接都将被授予完全高完整性令牌。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:防御规避], [策略:横向移动], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Microsoft Defender for Endpoint] |
8.14.0 |
312 |
|
表示计划任务的创建。攻击者可以使用它们来建立持久性、横向移动和/或提升权限。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:持久性], [数据源:Elastic Defend], [数据源:Sysmon] |
8.14.0 |
208 |
|
检测 Okta 用户帐户的多因素身份验证 (MFA) 停用且未后续重新激活。攻击者可能会停用 Okta 用户帐户的 MFA,以削弱该帐户的身份验证要求。 |
[策略:持久性], [用例:身份和访问审核], [数据源:Okta], [域:云] |
8.15.0 |
412 |
|
检测到 Google Workspace 组织何时禁用多因素身份验证 (MFA)。攻击者可能会尝试修改密码策略,以削弱组织的安全控制。 |
[域:云],[数据源:Google Workspace],[用例:身份和访问审计],[战术:持久性],[资源:调查指南] |
无 |
206 |
|
Microsoft Office 产品为用户和开发人员提供了控制运行和使用宏的安全设置的选项。攻击者可能会滥用这些安全设置来修改 Office 应用程序的默认行为,以信任未来的宏和/或禁用安全警告,这可能会增加他们建立持久性的机会。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:防御规避], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne] |
8.14.0 |
308 |
|
检测到 MacOS 安装程序包的执行,该安装程序包具有异常的子进程(例如 bash),然后立即通过可疑进程(例如 curl)建立网络连接。威胁参与者将构建和分发恶意 MacOS 安装程序包(扩展名为 .pkg),这些程序包通常会模仿有效的软件,以便说服和感染受害者,通常使用包文件(例如安装前/后脚本等)来下载其他工具或恶意软件。如果此规则触发,则应表明安装了恶意或可疑的包。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [策略:执行], [策略:命令和控制], [数据源:Elastic Defend] |
无 |
107 |
|
有监督的机器学习模型识别出一个 DNS 查询名称,该名称被 SUNBURST 恶意软件使用,并且预计是域生成算法的结果。 |
[域:网络], [域:端点], [数据源:Elastic Defend], [用例:域生成算法检测], [规则类型:ML], [规则类型:机器学习], [策略:命令和控制] |
无 |
5 |
|
有监督的机器学习模型识别出一个 DNS 查询名称,该名称预计是域生成算法 (DGA) 的结果,这可能表明命令和控制网络活动。 |
[域:网络], [域:端点], [数据源:Elastic Defend], [用例:域生成算法检测], [规则类型:ML], [规则类型:机器学习], [策略:命令和控制] |
无 |
5 |
|
有监督的机器学习模型识别出一个 DNS 查询名称,该名称具有来自域生成算法 (DGA) 的高概率,这可能表明命令和控制网络活动。 |
[域:网络], [域:端点], [数据源:Elastic Defend], [用例:域生成算法检测], [规则类型:ML], [规则类型:机器学习], [策略:命令和控制] |
无 |
5 |
|
有监督的机器学习模型 (ProblemChild) 识别出一个 Windows 可疑进程事件,该事件具有高概率的恶意活动。或者,该模型的阻止列表将该事件识别为恶意事件。 |
[操作系统:Windows], [数据源:Elastic Endgame], [用例:利用本地攻击检测], [规则类型:ML], [规则类型:机器学习], [策略:防御规避], [数据源:Elastic Defend] |
8.14.0 |
110 |
|
有监督的机器学习模型 (ProblemChild) 识别出一个 Windows 可疑进程事件,该事件具有低概率的恶意活动。或者,该模型的阻止列表将该事件识别为恶意事件。 |
[操作系统:Windows], [数据源:Elastic Endgame], [用例:利用本地攻击检测], [规则类型:ML], [规则类型:机器学习], [策略:防御规避], [数据源:Elastic Defend] |
无 |
8 |
|
Elastic Endgame 检测到恶意软件。单击 event.module 列中的 Elastic Endgame 图标或 rule.reference 列中的链接以获取更多信息。 |
[数据源:Elastic Endgame] |
无 |
103 |
|
Elastic Endgame 阻止了恶意软件。单击 event.module 列中的 Elastic Endgame 图标或 rule.reference 列中的链接以获取更多信息。 |
[数据源:Elastic Endgame] |
无 |
103 |
|
此规则识别从文件名末尾附加空格的可执行文件创建的进程。这可能表示试图将恶意文件伪装成良性文件以获得用户执行的尝试。当在某些文件的末尾添加空格时,操作系统将根据其真实文件类型而不是扩展名来执行该文件。攻击者可以通过更改文件的扩展名来隐藏程序的真实文件类型。然后,他们可以在名称末尾添加一个空格,以便在双击文件时操作系统自动执行该文件。 |
[域:端点], [操作系统:Linux], [操作系统:macOS], [用例:威胁检测], [策略:防御规避], [数据源:Elastic Defend] |
无 |
7 |
|
一名成员被从 GitHub 组织中移除,或者他们加入的邀请被移除。 |
[域: 云], [用例: 威胁检测], [用例: UEBA], [战术: 影响], [规则类型: BBR], [数据源: Github] |
8.13.0 |
204 |
|
识别具有不寻常扩展名的内存转储文件的创建,这可能表示试图将内存转储伪装成另一种文件类型以绕过安全防御。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:凭据访问], [策略:防御规避], [数据源:Elastic Defend], [规则类型:BBR] |
无 |
2 |
|
此规则检测 Linux 系统上的内存交换修改事件。内存交换修改可用于操纵系统的内存,并可能影响系统的性能。这种行为通常在部署诸如 XMRig 之类的挖矿软件的恶意软件中观察到。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:影响], [策略:执行], [数据源:Elastic Defend] |
无 |
1 |
|
此规则检测在默认 MOTD 文件目录中创建的潜在恶意文件。每日消息(MOTD)是在用户通过 SSH 或串行连接连接到 Linux 服务器时向用户显示的消息。Linux 系统包含多个位于“/etc/update-motd.d/”目录中的默认 MOTD 文件。每次用户通过 SSH 或串行连接连接时,这些脚本都以 root 用户身份运行。攻击者可能会创建恶意 MOTD 文件,每次用户通过执行后门脚本或命令连接到系统时,都会授予他们对目标的持久性。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:持久性], [资源:调查指南], [数据源:Elastic Defend] |
无 |
12 |
|
识别 Microsoft 365 中反网络钓鱼策略的删除。默认情况下,Microsoft 365 包含内置功能,可帮助保护用户免受网络钓鱼攻击。反网络钓鱼策略通过优化设置以更好地检测和阻止攻击来增强这种保护。 |
[域:云], [数据源:Microsoft 365], [用例:配置审计], [策略:初始访问] |
无 |
206 |
|
识别 Microsoft 365 中反网络钓鱼规则的修改。默认情况下,Microsoft 365 包含内置功能,可帮助保护用户免受网络钓鱼攻击。反网络钓鱼规则通过优化设置以更好地检测和阻止攻击来增强这种保护。 |
[域:云], [数据源:Microsoft 365], [用例:配置审计], [策略:初始访问] |
无 |
206 |
|
识别 Microsoft 365 中何时禁用 DomainKeys Identified Mail (DKIM) 签名配置。通过 Microsoft 365 中的 DKIM,从 Exchange Online 发送的消息将被加密签名。这将允许接收电子邮件系统验证消息是由组织授权的服务器生成的,而不是被欺骗的。 |
[域:云], [数据源:Microsoft 365], [策略:持久性] |
无 |
206 |
|
识别何时在 Microsoft 365 中删除了数据丢失防护 (DLP) 策略。攻击者可能会删除 DLP 策略以逃避现有的 DLP 监控。 |
[域:云], [数据源:Microsoft 365], [用例:配置审计], [策略:防御规避] |
无 |
206 |
|
识别何时在 Microsoft 365 中删除了恶意软件筛选器策略。恶意软件筛选器策略用于警告管理员,内部用户发送了包含恶意软件的消息。这可能表示需要调查的帐户或计算机泄露。删除恶意软件筛选器策略可能是为了逃避检测。 |
[域:云], [数据源:Microsoft 365], [用例:配置审计], [策略:防御规避] |
无 |
206 |
|
识别何时在 Microsoft 365 中删除或禁用恶意软件筛选器规则。攻击者或内部威胁可能希望修改恶意软件筛选器规则以逃避检测。 |
[域:云], [数据源:Microsoft 365], [用例:配置审计], [策略:防御规避] |
无 |
206 |
|
识别何时在 Microsoft 365 中向管理组分配了新角色。攻击者可能会尝试添加角色以在环境中保持持久性。 |
[域:云], [数据源:Microsoft 365], [用例:身份和访问审计], [策略:持久性] |
无 |
206 |
|
识别何时在 Microsoft 365 中禁用安全附件规则。安全附件规则可以扩展恶意软件防护,以包括将所有没有已知恶意软件签名的消息和附件路由到特殊的虚拟机监控程序环境。攻击者或内部威胁可能会禁用安全附件规则以泄露数据或逃避防御。 |
[域:云], [数据源:Microsoft 365], [用例:配置审计], [策略:防御规避] |
无 |
206 |
|
识别何时在 Microsoft 365 中禁用安全链接策略。Office 应用程序的安全链接策略将网络钓鱼保护扩展到包含超链接的文档,即使它们已传递给用户之后也是如此。 |
[域:云], [数据源:Microsoft 365], [用例:身份和访问审计], [策略:初始访问] |
无 |
206 |
|
识别 Microsoft 365 中的传输规则创建。作为最佳实践,不应将 Exchange Online 邮件传输规则设置为将电子邮件转发到组织外部的域。攻击者可能会创建传输规则以泄露数据。 |
[域:云], [数据源:Microsoft 365], [用例:配置审计], [策略:数据泄露] |
无 |
206 |
|
识别何时在 Microsoft 365 中禁用或删除了传输规则。邮件流规则(也称为传输规则)用于识别并对流经组织的消息采取操作。攻击者或内部威胁可能会修改传输规则以泄露数据或逃避防御。 |
[域:云], [数据源:Microsoft 365], [用例:配置审计], [策略:数据泄露] |
无 |
206 |
|
在 Azure Active Directory (Azure AD) 中,管理资源的权限是通过角色分配的。“全局管理员”是一种角色,使用户能够访问 Azure AD 中的所有管理功能,以及使用 Azure AD 身份的服务,例如 Microsoft 365 Defender 门户、Microsoft 365 合规中心、Exchange、SharePoint Online 和 Skype for Business Online。攻击者可以将用户添加为全局管理员,以保持访问权限并管理所有订阅及其设置和资源。 |
[域:云], [数据源:Microsoft 365], [用例:身份和访问审计], [策略:持久性] |
无 |
206 |
|
识别何时在 Microsoft 365 中创建了新的收件箱转发规则。收件箱规则根据条件处理收件箱中的消息并采取操作。在这种情况下,规则会将电子邮件转发到定义的地址。攻击者可以滥用收件箱规则来拦截和泄露电子邮件数据,而无需进行组织范围的配置更改或拥有相应的权限。 |
[域:云], [数据源:Microsoft 365], [用例:配置审计], [策略:收集] |
无 |
206 |
|
检测来自罕见位置的成功的 Microsoft 365 门户登录。罕见位置定义为通常不与用户帐户关联的位置。此行为可能表示攻击者试图从不寻常的位置或通过 VPN 访问 Microsoft 365 帐户。 |
[域:云], [数据源:Microsoft 365], [用例:威胁检测], [策略:初始访问] |
无 |
2 |
|
检测来自不可能的旅行位置的成功的 Microsoft 365 门户登录。不可能的旅行位置定义为在短时间内出现在两个不同国家/地区。此行为可能表示攻击者试图从泄露的帐户访问 Microsoft 365 帐户,或者恶意行为者试图从不同的位置访问 Microsoft 365 帐户。 |
[域:云], [数据源:Microsoft 365], [用例:威胁检测], [策略:初始访问] |
无 |
2 |
|
识别何时 Microsoft Cloud App Security 报告说用户已将可能感染了勒索软件的文件上传到云端。 |
[域:云], [数据源:Microsoft 365], [用例:配置审计], [策略:影响] |
无 |
206 |
|
识别何时在 Microsoft Teams 中允许自定义应用程序。如果组织需要 Teams 应用商店中不可用的应用程序,则可以将自定义应用程序开发为程序包并上传。攻击者可能会滥用此行为以在环境中建立持久性。 |
[域:云], [数据源:Microsoft 365], [用例:配置审计], [策略:持久性] |
无 |
207 |
|
识别何时在 Microsoft Teams 中启用了外部访问。外部访问允许 Teams 和 Skype for Business 用户与其他组织外部的用户进行通信。攻击者可能会启用外部访问或添加允许的域,以泄露数据或在环境中保持持久性。 |
[域:云], [数据源:Microsoft 365], [用例:配置审计], [策略:持久性] |
无 |
206 |
|
识别何时在 Microsoft Teams 中启用了来宾访问。Teams 中的来宾访问允许组织外部的人员访问团队和频道。攻击者可能会启用来宾访问以在环境中保持持久性。 |
[域:云], [数据源:Microsoft 365], [用例:配置审计], [策略:持久性] |
无 |
206 |
|
识别出用户删除了 Microsoft Cloud App Security 报告的不寻常的大量文件。 |
[域:云], [数据源:Microsoft 365], [用例:配置审计], [策略:影响] |
无 |
206 |
|
识别何时因超过安全合规中心的服务策略的发送限制而限制用户发送电子邮件。 |
[域:云], [数据源:Microsoft 365], [用例:配置审计], [策略:初始访问] |
无 |
206 |
|
MSBuild(Microsoft Build Engine)的实例启动了 PowerShell 脚本或 Visual C# 命令行编译器。此技术有时用于使用 Build Engine 部署恶意负载。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:防御规避], [策略:执行], [数据源:Elastic Defend], [数据源:系统] |
8.14.0 |
314 |
|
MSBuild(Microsoft Build Engine)的实例由脚本或 Windows 命令解释器启动。此行为不寻常,有时被恶意负载使用。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:防御规避], [策略:执行], [数据源:Elastic Defend] |
8.14.0 |
311 |
|
MSBuild(Microsoft Build Engine)的实例由 Explorer 或 WMI(Windows Management Instrumentation)子系统启动。此行为不寻常,有时被恶意负载使用。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [战术:执行], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
312 |
|
MSBuild(Microsoft Build Engine)的实例由 Excel 或 Word 启动。对于 Build Engine 而言,这是不寻常的行为,可能是由执行恶意脚本负载的 Excel 或 Word 文档引起的。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:逃避防御], [策略:执行], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
312 |
|
Microsoft Build Engine (MSBuild) 的一个实例在被重命名后启动。这是一种不常见的行为,可能表明有人试图在不被注意或未被检测到的情况下运行。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [战术:执行], [数据源:Elastic Endgame], [资源:调查指南], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint] |
8.14.0 |
213 |
|
识别由 Microsoft Exchange Server 统一消息 (UM) 服务生成的可疑进程。已观察到此活动利用 CVE-2021-26857。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:初始访问], [战术:横向移动], [数据源:Elastic Endgame], [用例:漏洞], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
311 |
|
识别由 Microsoft Exchange Server 统一消息 (UM) 服务写入的可疑文件。已观察到此活动利用 CVE-2021-26858。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:初始访问], [战术:横向移动], [数据源:Elastic Endgame], [用例:漏洞], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne] |
8.14.0 |
308 |
|
识别与 Microsoft Exchange 传输代理安装相关的 Cmdlet 和方法的使用。攻击者可能会利用恶意的 Microsoft Exchange 传输代理来执行响应攻击者定义的标准的任务,从而建立持久性。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:持久性], [数据源:PowerShell 日志], [规则类型:BBR] |
8.14.0 |
107 |
|
识别由 Microsoft Exchange Server worker 进程 (w3wp) 生成的可疑进程。此活动可能表明存在利用活动或访问现有 Web Shell 后门。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:初始访问], [战术:执行], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne] |
8.14.0 |
309 |
|
识别使用 aspnet_regiis 解密 Microsoft IIS 连接字符串的行为。通过 Web Shell 或类似方式获得 Microsoft IIS Web 服务器访问权限的攻击者可以使用 aspnet_regiis 命令解密和转储任何硬编码的连接字符串,例如 MSSQL 服务帐户密码。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:凭据访问], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
312 |
|
识别 Internet Information Services (IIS) 命令行工具 AppCmd 被用于列出密码。 通过 Web Shell 获得 IIS Web 服务器访问权限的攻击者可以使用 AppCmd 解密和转储 IIS AppPool 服务帐户密码。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:凭据访问], [数据源:Elastic Endgame], [数据源:Elastic Defend], [规则类型:BBR], [数据源:系统] |
8.14.0 |
214 |
|
识别从不受信任的路径打开 Microsoft 管理控制台文件的尝试。 攻击者可能会使用 MSC 文件进行初始访问和执行。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:执行], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:SentinelOne], [数据源:Microsoft Defender for Endpoint], [数据源:系统], [数据源:Crowdstrike] |
8.14.0 |
307 |
|
识别 Microsoft Defender 上的一个或多个功能被禁用。攻击者可能会禁用或篡改 Microsoft Defender 功能,以逃避检测并隐藏恶意行为。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [资源:调查指南], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne], [数据源:Elastic Endgame] |
8.14.0 |
314 |
|
识别来自默认 Mimikatz memssp 模块的密码日志文件。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:凭据访问], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Microsoft Defender for Endpoint] |
8.14.0 |
412 |
|
识别将 AmsiEnable 注册表项修改为 0 的行为,这将禁用反恶意软件扫描接口 (AMSI)。攻击者可以修改此项以禁用 AMSI 保护。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne] |
8.14.0 |
312 |
|
识别使用 bcdedit.exe 删除引导配置数据的行为。此策略有时被恶意软件或攻击者用作破坏性技术。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:影响],[资源:调查指南],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:系统],[数据源:Microsoft Defender for Endpoint],[数据源:Sysmon],[数据源:SentinelOne],[数据源:Crowdstrike] |
8.14.0 |
311 |
|
识别动态链接器预加载共享对象 (ld.so.preload) 的修改。攻击者可能会通过劫持用于加载库的动态链接器来执行恶意负载。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:权限提升], [数据源:Elastic Endgame], [数据源:Elastic Defend] |
无 |
209 |
|
此规则检测在容器内创建或修改动态链接器预加载共享对象 (ld.so.preload) 的行为。 Linux 动态链接器用于在运行时加载程序所需的库。 攻击者可以通过修改 /etc/ld.so.preload 文件以指向恶意库来劫持动态链接器。 这种行为可用于授予对系统资源的未授权访问,并已被用于逃避容器环境中恶意进程的检测。 |
[数据源:Elastic Defend for Containers], [域:容器], [战术:防御规避] |
无 |
1 |
|
识别使用内置 launchctl 命令修改环境变量的行为。 攻击者可能会通过劫持某些环境变量来加载任意库或绕过某些限制,从而执行他们自己的恶意负载。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [策略:防御规避], [数据源:Elastic Defend] |
无 |
206 |
|
攻击者可能会修改与 SSH 相关的二进制文件,以通过修补敏感函数来实现持久性或凭据访问,从而启用未授权访问或记录 SSH 凭据以进行数据泄露。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:凭据访问], [战术:持久性], [战术:横向移动], [数据源:Elastic Endgame], [数据源:Elastic Defend] |
无 |
110 |
|
识别使用内置的 defaults 命令更改 Safari 配置的行为。 攻击者可能会尝试启用或禁用某些 Safari 设置,例如从 Apple Events 启用 JavaScript,以便更容易地劫持用户浏览器。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [策略:防御规避], [数据源:Elastic Defend] |
无 |
106 |
|
攻击者可能会通过修补正常的授权过程或修改登录配置以允许未授权访问或提升权限,来修改标准身份验证模块以实现持久性。 |
[域:端点], [操作系统:macOS], [操作系统:Linux], [用例:威胁检测], [战术:凭据访问], [战术:持久性], [数据源:Elastic Defend] |
无 |
204 |
|
识别在注册表中修改 WDigest 安全提供程序以强制将用户的密码以明文形式存储在内存中的尝试。 这种行为可能表明攻击者试图削弱端点的安全配置。修改 UseLogonCredential 值后,攻击者可能会尝试从内存中转储明文密码。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:凭据访问], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint] |
8.14.0 |
211 |
|
识别 Active Directory 用户对象中 msPKIAccountCredentials 属性的修改。 攻击者可以滥用凭据漫游功能来覆盖任意文件以进行权限提升。 ms-PKI-AccountCredentials 包含来自凭据管理器存储的加密凭据对象的二进制大对象 (BLOB)、私钥、证书和证书请求。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [数据源:Active Directory], [战术:权限提升], [用例:Active Directory 监控], [数据源:系统] |
8.14.0 |
113 |
|
检测修改或删除 Okta 应用程序登录策略的尝试。 攻击者可能会尝试修改或删除 Okta 应用程序的登录策略,以便删除或削弱组织的安全控制。 |
[策略:持久性], [用例:身份和访问审计], [数据源:Okta] |
8.15.0 |
410 |
|
托管对象格式 (MOF) 文件可以通过 mofcomp.exe 在本地或远程编译。 攻击者可能会利用 MOF 文件在 Windows Management Instrumentation (WMI) 存储库中构建他们自己的命名空间和类,或使用 WMI 事件订阅建立持久性。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:执行], [数据源:Elastic Defend], [数据源:Microsoft Defender for Endpoint], [数据源:Elastic Endgame], [数据源:系统], [数据源:Crowdstrike] |
无 |
4 |
|
此规则检测在特权容器内使用 mount 实用程序。 mount 命令用于使设备或文件系统可供系统访问,然后将其根目录连接到本地文件系统上指定的挂载点。当在特权容器(即部署了主机所有功能的容器)内启动时,攻击者可以访问敏感的主机级别文件,这些文件可用于进一步的权限提升和容器逃逸到主机。应进一步调查正在运行的特权容器内对 mount 的任何使用情况。 |
[数据源: Elastic Defend for Containers], [域: 容器], [操作系统: Linux], [用例: 威胁检测], [策略: 权限提升] |
无 |
1 |
|
识别使用 net.exe 挂载 WebDav 或隐藏的远程共享的行为。这可能表明横向移动或为数据泄露做准备。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:初始访问], [战术:横向移动], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
311 |
|
识别 MsBuild.exe 建立出站网络连接的行为。这可能表明存在对抗性活动,因为 MsBuild 经常被攻击者利用来执行代码和逃避检测。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [资源:调查指南], [数据源:Elastic Defend], [数据源:Sysmon] |
8.14.0 |
210 |
|
识别 Mshta.exe 建立出站网络连接的行为。这可能表明存在对抗性活动,因为 Mshta 经常被攻击者利用来执行恶意脚本和逃避检测。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:防御规避], [数据源:Elastic Defend], [数据源:Sysmon] |
8.14.0 |
208 |
|
识别 MsiExec 服务子进程的执行,随后进行网络或 DNS 查找活动。攻击者可能滥用 Windows 安装程序进行初始访问和恶意软件传递。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:SentinelOne] |
8.14.0 |
201 |
|
识别何时为 Azure 用户帐户禁用了多因素身份验证 (MFA)。攻击者可能会禁用用户帐户的 MFA,以削弱该帐户的身份验证要求。 |
[域:云], [数据源:Azure], [用例:身份和访问审计], [资源:调查指南], [策略:持久性] |
无 |
105 |
|
此规则使用警报数据来确定何时触发了涉及同一用户的多个不同警报。分析师可以使用此信息来确定优先级,进行分类和响应,因为这些用户更有可能被入侵。 |
[用例:威胁检测], [规则类型:高阶规则] |
无 |
3 |
|
此规则使用警报数据来确定何时触发了涉及同一主机的攻击不同阶段的多个警报。分析师可以使用此信息来确定优先级,进行分类和响应,因为这些主机更有可能被入侵。 |
[用例:威胁检测], [规则类型:高阶规则] |
无 |
4 |
|
此规则检测到特定 Okta 参与者在单个 Okta 会话中具有多个设备令牌哈希。这可能表明身份验证会话已被劫持或正在被多个设备使用。攻击者可能会劫持会话以获得对 Okta 管理控制台、应用程序、租户或其他资源的未经授权的访问权限。 |
[用例:身份和访问审计], [数据源:Okta], [战术:凭证访问], [域:SaaS] |
8.15.0 |
304 |
|
识别来自同一源地址的多次登录失败,然后成功登录。攻击者通常会使用通用或已知密码对多个用户进行暴力破解登录尝试,以尝试获取对帐户的访问权限。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:凭据访问], [资源:调查指南], [数据源:系统] |
8.14.0 |
111 |
|
识别来自同一源地址并在短时间内发生的多次连续登录失败。攻击者通常会使用通用或已知密码对多个用户进行暴力破解登录尝试,以尝试获取对帐户的访问权限。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:凭据访问], [资源:调查指南], [数据源:系统] |
8.14.0 |
110 |
|
检测到用户使用相同的用户帐户和不同的会话 ID 启动了多个 Okta 会话。这可能表明攻击者窃取了用户的会话 cookie,并正在从不同位置使用该 cookie 来访问用户的帐户。 |
[用例:身份和访问审计], [数据源:Okta], [战术:横向移动] |
8.15.0 |
206 |
|
检测到在代理后面为多个用户报告了具有相同设备令牌哈希的 Okta 用户身份验证事件。 |
[用例:身份和访问审计],[数据源:Okta],[战术:凭证访问] |
8.15.0 |
206 |
|
检测到为来自同一客户端地址的多个用户报告了超出某个阈值的 Okta 用户身份验证事件。攻击者可能会尝试从同一设备启动凭证填充或密码喷洒攻击,方法是使用已知用户名和密码列表来获得对用户帐户的未经授权的访问权限。 |
[用例:身份和访问审计],[数据源:Okta],[战术:凭证访问] |
8.15.0 |
203 |
|
检测到在短时间内为多个用户报告了大量 Okta 用户身份验证事件。攻击者可能会尝试从同一设备启动凭证填充或密码喷洒攻击,方法是使用已知用户名和密码列表来获得对用户帐户的未经授权的访问权限。 |
[用例:身份和访问审计],[数据源:Okta],[战术:凭证访问] |
8.15.0 |
203 |
|
Windows 凭据管理器允许您创建、查看或删除用于登录网站、连接的应用程序和网络的已保存凭据。攻击者可能会滥用此功能来列出或转储凭据管理器中存储的已保存用户名和密码。这也可以在准备横向移动时执行。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:凭证访问], [数据源:系统] |
8.14.0 |
111 |
|
此规则可帮助您在设置时测试和练习使用 Elastic Security 的警报。这并不是威胁活动的迹象。 |
[用例:引导式入门] |
无 |
3 |
|
识别执行 wbadmin 以访问域控制器中的 NTDS.dit 文件。来自 Backup Operators 等组的具有权限的攻击者可以滥用该实用程序来执行凭证访问并破坏域。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:凭据访问], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
203 |
|
识别 Active Directory 域数据库 (ntds.dit) 或安全帐户管理器 (SAM) 文件的复制操作。这些文件包含敏感信息,包括哈希域和/或本地凭据。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:凭证访问], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne], [数据源:Sysmon], [数据源:Crowdstrike] |
8.14.0 |
315 |
|
识别使用 unshare 来操作系统命名空间的可疑行为。Unshare 可用于提升权限或逃脱容器安全边界。威胁行为者已利用此二进制文件使自己逃脱到主机并访问其他资源或提升权限。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:权限提升], [数据源:Elastic Endgame], [数据源:Elastic Defend] |
无 |
9 |
|
此规则检测在容器内运行的已建立的 netcat 侦听器。Netcat 是一种用于通过网络连接读取和写入数据的实用程序,它可以用于恶意目的,例如建立后门以实现持久性或泄露数据。 |
[数据源:Elastic Defend for Containers], [域:容器], [操作系统:Linux], [用例:威胁检测], [战术:执行] |
无 |
2 |
|
监视通过 rlwrap 执行 netcat 侦听器。rlwrap 是一个readline 包装器,一个使用 GNU Readline 库的小实用程序,允许编辑任何命令的键盘输入。此实用程序可以与 netcat 结合使用以获得更稳定的反向 shell。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:执行], [数据源:Elastic Defend], [数据源:Elastic Endgame] |
无 |
3 |
|
识别 Netsh 助手 DLL 的添加,netsh.exe 支持添加这些 DLL 以扩展其功能。攻击者可能会滥用此机制在每次执行实用程序时执行恶意负载,这可以通过管理员或计划任务来完成。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:持久性], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne], [数据源:Sysmon] |
8.14.0 |
202 |
|
此规则监视来自 kworker 进程的网络连接。kworker 或内核工作进程是内核工作队列机制的一部分。它们负责执行已计划在内核空间中完成的工作,其中可能包括处理中断、后台活动和其他内核相关任务。攻击者可能会尝试伪装成内核工作进程来逃避检测。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[战术:命令和控制],[数据源:Elastic Defend] |
无 |
6 |
|
此规则监视 cat 命令的执行,然后由同一进程进行连接尝试。Cat 能够通过将其读取输出重定向到 /dev/tcp 或 /dev/udp 通道来通过 tcp/udp 通道传输数据。此活动非常可疑,应进行调查。攻击者可能会利用此功能将工具或文件传输到网络中的另一台主机或在尝试逃避该过程中的检测时泄露数据。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[战术:命令和控制],[数据源:Elastic Defend] |
无 |
6 |
|
此规则识别由 SSH 守护进程子进程发起的出口互联网连接。此行为表明 shell 配置文件或其他机制的更改,该机制会在发生新的 SSH 登录时启动一个进程。攻击者还可以为 SSH 守护进程设置后门以实现持久性、呼叫 C2 或窃取凭据。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[战术:持久性],[数据源:Elastic Defend] |
无 |
3 |
|
此检测规则解决了 CUPS 打印系统中的多个漏洞,包括 CVE-2024-47176、CVE-2024-47076、CVE-2024-47175 和 CVE-2024-47177。具体来说,此规则检测由 foomatic-rip 的子进程发起的网络连接。这些缺陷会影响 cups-browsed、libcupsfilters、libppd 和 foomatic-rip 等组件,从而允许未经身份验证的远程攻击者通过精心设计的 UDP 数据包或网络欺骗来操作 IPP URL 或注入恶意数据。当启动打印作业时,这可能会导致任意命令执行。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [用例:漏洞], [战术:命令和控制], [数据源:Elastic Defend] |
无 |
1 |
|
监视具有读取、写入和执行内存区域权限的 unix 二进制文件的执行,然后进行网络连接。mprotect() 系统调用用于更改已分配的内存区域的访问保护。此系统调用允许进程修改其虚拟地址空间中页面的权限,启用或禁用这些页面的读取、写入和执行等权限。内存上的 RWX 权限在许多情况下过于宽松,应(尤其是在结合出站网络连接时)进行彻底分析。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:执行], [数据源:Elastic Defend], [数据源:Auditd Manager] |
无 |
3 |
|
识别 certutil.exe 正在建立网络连接。攻击者可能会滥用 certutil.exe 从远程 URL 下载证书或恶意软件。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:命令和控制], [资源:调查指南], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Elastic Endgame], [规则类型:BBR] |
8.14.0 |
215 |
|
已编译的 HTML 文件 (.chm) 通常作为 Microsoft HTML 帮助系统的一部分进行分发。攻击者可能会将恶意代码隐藏在 CHM 文件中,并将其传递给受害者以执行。CHM 内容由 HTML 帮助可执行程序 (hh.exe) 加载。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:执行], [资源:调查指南], [数据源:Elastic Defend], [数据源:Sysmon] |
8.14.0 |
208 |
|
识别 msxsl.exe 正在建立网络连接。这可能表明存在对抗性活动,因为攻击者经常利用 msxsl.exe 来执行恶意脚本并逃避检测。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:防御规避], [数据源:Elastic Defend], [数据源:Sysmon] |
8.14.0 |
206 |
|
此规则监视涉及程序编译事件、其执行以及随后的网络连接事件的序列。此行为可能表明已设置与命令和控制服务器的反向 tcp 连接。攻击者可能会生成反向 shell 以在目标系统上建立持久性。 |
[域: 端点], [操作系统: Linux], [用例: 威胁检测], [策略: 执行], [数据源: Elastic Defend] |
无 |
6 |
|
识别正在建立网络连接的本机 Windows 工具 regsvr32.exe、regsvr64.exe、RegSvcs.exe 或 RegAsm.exe。这可能表明攻击者通过签名的 Microsoft 二进制文件绕过允许列表或运行任意脚本。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:执行], [战术:防御规避], [资源:调查指南], [数据源:Elastic Defend], [数据源:Sysmon] |
8.14.0 |
208 |
|
使用受信任的数字证书签名的二进制文件可以在受数字签名验证保护的 Windows 系统上执行。攻击者可能会使用这些二进制文件“就地取材”并执行可能绕过应用程序允许列表和签名验证的恶意文件。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [资源:调查指南], [数据源:Elastic Defend], [数据源:Sysmon] |
8.14.0 |
208 |
|
检测由 "sudo" 二进制文件发起的网络连接。这种行为不常见,可能发生在反向 Shell 代码被注入到通过 "sudo" 以提升的权限运行的进程中的情况下。攻击者可能会尝试将 Shell 代码注入到以 root 身份运行的进程中,以提升权限。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:权限提升], [数据源:Elastic Defend], [数据源:Elastic Endgame] |
无 |
3 |
|
检测通过基于 GNOME 和 XFCE 的 Linux 发行版的跨桌面组 (XDG) 自动启动条目发起的网络连接。XDG 自动启动条目可用于在用户登录时执行任意命令或脚本。此规则有助于识别潜在的恶意活动,即攻击者可能修改了 XDG 自动启动脚本以在系统上建立持久性。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[战术:持久性],[数据源:Elastic Defend] |
无 |
3 |
|
识别网络登录提供程序注册表的修改。攻击者可能会注册一个流氓网络登录提供程序模块,以实现持久性,和/或通过在用户登录期间拦截明文身份验证凭据来访问凭据。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:持久性], [战术:凭据访问], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint] |
8.14.0 |
213 |
|
识别非 root 用户进程能够为可用的网络命名空间创建 RAW 和 PACKET 套接字类型的能力。如果未部署防火墙来限制数据包类型和内容,则具有此能力的恶意进程可能会利用主机之间的路由,绕过网络访问控制,并以其他方式篡改主机网络。 CAP_NET_RAW 功能允许进程绑定到可用命名空间中的任何地址,从而允许非 root 用户嗅探网络流量。该规则通过使用新的术语规则类型来识别以前未知的具有 CAP_NET_RAW 功能的执行进程。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:发现], [数据源:Elastic Defend], [规则类型:BBR] |
无 |
4 |
|
机器学习作业在网络日志中检测到罕见的目标国家/地区名称。这可能是由于初始访问、持久性、命令和控制或数据泄露活动造成的。例如,当用户点击网络钓鱼电子邮件中的链接或打开恶意文档时,可能会发送请求以下载并运行来自通常不出现在网络流量或业务工作流程中的国家/地区的服务器的有效负载。恶意软件实例和持久性机制可能会与其原籍国的命令和控制 (C2) 基础设施进行通信,这对于源网络来说可能是不寻常的目标国家/地区。 |
[用例:威胁检测], [规则类型:ML], [规则类型:机器学习] |
无 |
104 |
|
识别通过注册表修改禁用网络级身份验证 (NLA) 的尝试。网络级身份验证 (NLA) 是 Windows 上的一项功能,它为远程桌面 (RDP) 连接提供额外的安全层,因为它要求用户先进行身份验证,然后才允许完全 RDP 会话。攻击者可以禁用 NLA 以启用需要访问 Windows 登录屏幕而无需身份验证的持久性方法,例如辅助功能持久性方法,如粘滞键。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [数据源:Elastic Defend], [数据源:Elastic Endgame], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne], [数据源:Sysmon] |
8.14.0 |
203 |
|
识别使用 Exchange PowerShell cmdlet Set-CASMailbox 添加新的 ActiveSync 允许的设备。攻击者可能会以用户电子邮件为目标来收集敏感信息。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:持久性], [战术:执行], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
311 |
|
此规则检测何时在您的组织帐户中安装了新的 GitHub 应用。 GitHub 应用扩展了 GitHub 在 GitHub 内外的功能。安装应用后,它将被授予读取或修改您的存储库和组织数据的权限。应该只安装受信任的应用,并且应该调查任何新安装的应用以验证其合法性。未经授权的应用安装可能会降低您组织的安全态势,并使您暴露在未来的攻击中。 |
[域: 云], [用例: 威胁检测], [战术: 执行], [数据源: Github] |
8.13.0 |
204 |
|
检测何时将新成员作为所有者添加到 GitHub 组织中。此角色提供管理员级别的权限。应调查任何新的所有者角色以确定其有效性。未经授权的所有者角色可能表示您的组织内部存在泄露,并提供对数据和设置的无限制访问。 |
[域: 云], [用例: 威胁检测], [用例: UEBA], [战术: 持久性], [数据源: Github] |
8.13.0 |
206 |
|
检测 Okta 行为检测已识别出新身份验证行为的事件。 |
[用例:身份和访问审计], [战术:初始访问], [数据源:Okta] |
8.15.0 |
206 |
|
检测 Okta 中的超级管理员或组织管理员创建新身份提供程序 (IdP) 的情况。 |
[用例:身份和访问审计], [战术:持久性], [数据源:Okta] |
8.15.0 |
205 |
|
已将新用户添加到 GitHub 组织。 |
[域: 云], [用例: 威胁检测], [用例: UEBA], [策略: 持久性], [规则类型: BBR], [数据源: Github] |
8.13.0 |
204 |
|
识别新的或修改的联合域,该域可用于在 O365 和外部身份提供程序之间创建信任。 |
[域:云], [数据源:Microsoft 365], [用例:身份和访问审计], [战术:权限提升] |
无 |
207 |
|
Nping 在 Linux 主机上运行。 Nping 是 Nmap 工具套件的一部分,能够为各种安全测试应用程序构建原始数据包,包括拒绝服务测试。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:发现], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Auditd Manager] |
无 |
108 |
|
识别指定哪些管道可以匿名访问的 NullSessionPipe 注册表修改。这可能表明攻击者通过使添加的管道对所有人可用,从而准备横向移动。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:横向移动], [战术:防御规避], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne] |
8.14.0 |
310 |
|
检测到用户报告为网络钓鱼或恶意软件的电子邮件的发生。安全意识培训对于领先于诈骗者和威胁参与者至关重要,因为安全产品可以被绕过,并且用户仍然可能收到恶意消息。教育用户报告可疑消息有助于识别安全控制中的差距,并防止恶意软件感染和商业电子邮件泄露攻击。 |
[域:云], [数据源:Microsoft 365], [战术:初始访问] |
无 |
206 |
|
识别具有大量单点登录 (SSO) 错误的帐户。过多的登录错误可能表示尝试暴力破解密码或 SSO 令牌。 |
[域:云],[数据源:Microsoft 365],[用例:身份和访问审计],[战术:凭据访问] |
无 |
207 |
|
识别分配访问另一个邮箱内容的权限。攻击者可能会利用受损的帐户向目标组织网络中的其他帐户发送消息,同时创建收件箱规则,以便消息可以绕过垃圾邮件/网络钓鱼检测机制。 |
[域:云], [数据源:Microsoft 365], [用例:配置审计], [策略:持久性] |
无 |
206 |
|
检测邮箱审核绕过关联的发生。邮箱审核负责记录指定的邮箱事件(如访问文件夹或消息或永久删除消息)。但是,某些授权帐户(如第三方工具使用的帐户或用于合法监控的帐户)所采取的操作可能会创建大量邮箱审核日志条目,并且可能不是您组织感兴趣的。因此,管理员可以创建绕过关联,允许某些帐户执行其任务而不被记录。攻击者可以滥用此允许列表机制来隐藏所采取的操作,因为邮箱审核将不记录该帐户所做的任何活动。 |
[域:云], [数据源:Microsoft 365], [战术:初始访问], [战术:防御规避] |
无 |
206 |
|
识别 Microsoft Office "Office Test" 注册表项的修改,这是一个注册表位置,可用于指定每次启动 MS Office 应用程序时将执行的 DLL。攻击者可以滥用此功能以在受损主机上获得持久性。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:持久性], [战术:防御规避], [数据源:Elastic Defend], [数据源:Elastic Endgame], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne] |
8.13.0 |
103 |
|
识别来自单个 IP 地址的大量 Okta 用户身份验证失败尝试,这可能表明暴力破解或密码喷射攻击。攻击者可能会尝试暴力破解或密码喷射攻击,以获得对用户帐户的未经授权的访问。 |
[用例:身份和访问审计], [策略:凭据访问], [数据源:Okta] |
8.15.0 |
412 |
|
检测 Okta FastPass 何时阻止用户对网络钓鱼网站进行身份验证。 |
[策略: 初始访问], [用例: 身份和访问审计], [数据源: Okta] |
8.15.0 |
307 |
|
检测通过第三方身份提供程序 (IdP) 执行身份验证的登录事件。 |
[用例:身份和访问审计], [战术:初始访问], [数据源:Okta] |
8.15.0 |
206 |
|
Okta ThreatInsight 是一项功能,它提供有关身份验证和授权过程的有价值的调试数据,这些数据记录在系统中。在此数据中,有一个名为 threat_suspected 的特定字段,它表示 Okta 对身份验证或授权工作流程的内部评估。当此字段设置为 True 时,表示存在潜在的凭据访问技术,例如密码喷射、暴力破解、重放攻击和其他类似威胁。 |
[用例:身份和访问审计], [数据源:Okta] |
8.15.0 |
409 |
|
用户已启动会话模拟,授予他们使用他们正在模拟的用户的权限访问环境的权限。这可能表明 Okta 管理员访问权限,并且仅应在请求和预期时发生。 |
[用例:身份和访问审计], [策略:凭据访问], [数据源:Okta] |
8.15.0 |
411 |
|
检测到特定 Okta 参与者从不同的地理位置启动了多个会话。攻击者可能会尝试通过使用已知用户名和密码列表从不同位置获得对用户帐户的未经授权的访问来发起攻击。 |
[用例:身份和访问审计], [数据源:Okta], [战术:初始访问] |
8.15.0 |
303 |
|
识别上传到 OneDrive 的文件被文件扫描引擎检测为恶意软件的情况。攻击者可以利用文件共享和组织存储库在公司内部横向传播并扩大其访问权限。用户可能会在不知情的情况下共享这些恶意文件,从而使攻击者有机会获得对环境中其他端点的初始访问权限。 |
[域:云], [数据源:Microsoft 365], [战术:横向移动] |
无 |
206 |
|
此规则识别 openssl 客户端或服务器何时被用于建立连接。攻击者可能会使用 openssl 建立到远程服务器的安全连接或创建安全服务器以接收连接。此活动可能被用于外泄数据或建立命令和控制通道。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:执行], [数据源:Elastic Defend], [数据源:Elastic Endgame] |
无 |
2 |
|
识别 PowerShell 进程加载任务计划程序 COM DLL,然后在短时间内建立出站 RPC 网络连接的情况。这可能表明通过计划任务进行横向移动或远程发现。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:执行], [数据源:Elastic Defend], [数据源:Sysmon] |
8.14.0 |
209 |
|
识别与滥用 Outlook 主页功能进行命令和控制或持久化相关的注册表项的修改。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:命令和控制], [战术:持久化], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne] |
8.14.0 |
201 |
|
识别用于阻止检测的父进程欺骗。攻击者可能会欺骗新进程的父进程标识符 (PPID) 以逃避进程监控防御或提升权限。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [战术:特权提升], [数据源:Elastic Defend] |
无 |
107 |
|
识别使用 Windows 文件系统实用程序 (fsutil.exe) 来收集有关连接到计算机系统的外围设备和组件的信息的情况。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:发现], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
311 |
|
Elastic Endgame 检测到权限盗窃。单击事件模块列中的 Elastic Endgame 图标或规则参考列中的链接以获取更多信息。 |
[数据源:Elastic Endgame],[用例:威胁检测],[战术:特权提升] |
无 |
103 |
|
Elastic Endgame 阻止了权限盗窃。单击事件模块列中的 Elastic Endgame 图标或规则参考列中的链接以获取更多信息。 |
[数据源:Elastic Endgame],[用例:威胁检测],[战术:特权提升] |
无 |
103 |
|
攻击者可以使用后台智能传输服务 (BITS) SetNotifyCmdLine 方法来执行程序,该程序在作业完成数据传输或作业进入指定状态后运行,以便在系统上保持持久性。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:持久化], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Microsoft Defender for Endpoint] |
8.14.0 |
410 |
|
识别 DirectoryService 插件 (dsplug) 文件的创建或修改。DirectoryService 守护程序在每次系统启动时启动,并在崩溃后自动重新加载。它会扫描并执行位于 DirectoryServices 插件文件夹中的包,攻击者可能会滥用这些包来维持持久性。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [策略:持久性], [数据源:Elastic Defend] |
无 |
106 |
|
攻击者可以通过修改现有的 macOS dock 属性列表来建立持久性,以便在调用时执行恶意应用程序而不是预期的应用程序。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [策略:持久性], [数据源:Elastic Defend] |
无 |
107 |
|
检测文件夹操作脚本的修改。当附加该脚本的文件夹添加或删除项目时,或当其窗口被打开、关闭、移动或调整大小时,将执行文件夹操作脚本。攻击者可能会滥用此功能,利用恶意脚本来建立持久性。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [战术:执行], [战术:持久化], [数据源:Elastic Defend] |
无 |
107 |
|
识别一种利用 NtSetValueKey 本机 API 创建隐藏(空终止)注册表项的持久化机制。攻击者可能会使用此方法来隐藏系统实用程序(如注册表编辑器 (regedit))。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:持久化], [战术:防御规避], [战术:执行], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon] |
8.14.0 |
209 |
|
识别 K 桌面环境 (KDE) 自动启动脚本或桌面文件的创建或修改,这些文件将在每次用户登录时执行。攻击者可能会滥用此方法来实现持久性。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:持久化], [数据源:Elastic Endgame], [数据源:Elastic Defend] |
无 |
114 |
|
识别使用 Defaults 命令在 MacOS 中安装登录或注销钩子的情况。攻击者可能会滥用此功能,通过插入在登录或注销时执行的代码来在环境中建立持久性。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [策略:持久性], [数据源:Elastic Defend] |
无 |
107 |
|
检测通过滥用 Microsoft Office 加载项在端点上建立持久性的尝试。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:持久化], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne] |
8.14.0 |
308 |
|
检测通过安装恶意 Microsoft Outlook VBA 模板在端点上建立持久性的尝试。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:持久化], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne] |
8.14.0 |
307 |
|
识别 PowerShell 配置文件的创建或修改。PowerShell 配置文件是在 PowerShell 启动时执行以自定义用户环境的脚本,攻击者可能会滥用该脚本以在 PowerShell 很常见的环境中保持持久性。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:持久化], [战术:特权提升], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne] |
8.14.0 |
209 |
|
可以使用作业来计划在指定日期和时间执行的程序或脚本。攻击者可能会滥用任务计划功能来促进恶意代码的初始或重复执行。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:持久化], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Microsoft Defender for Endpoint] |
8.14.0 |
411 |
|
检测 Microsoft 兼容性评估程序计划任务的成功劫持,以建立具有系统完整性级别的持久性。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:持久化], [战术:特权提升], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:System], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
312 |
|
识别 Microsoft Update Orchestrator 服务的潜在劫持,以建立具有 SYSTEM 完整性级别的持久性。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:持久化], [战术:特权提升], [用例:漏洞], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne] |
8.14.0 |
312 |
|
攻击者可以使用 Windows Management Instrumentation (WMI) 来安装事件筛选器、提供程序、使用者和绑定,这些筛选器、提供程序、使用者和绑定会在定义事件发生时执行代码。攻击者可能会利用 WMI 的功能来订阅事件,并在该事件发生时执行任意代码,从而在系统上提供持久性。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:持久性], [战术:执行], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
313 |
|
识别使用 Windows Management Instrumentation StdRegProv(注册表提供程序)来修改常被滥用的注册表位置以实现持久性。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:持久化], [数据源:Elastic Endgame], [数据源:Elastic Defend] |
无 |
109 |
|
识别 Windows 安装程序进程 msiexec.exe 何时通过计划任务或启动创建新的持久性条目。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:持久化], [战术:防御规避], [数据源:Elastic Defend] |
无 |
1 |
|
识别脚本引擎在启动文件夹中创建文件,或在启动文件夹中创建脚本文件。攻击者可能会滥用此技术来在环境中保持持久性。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:持久性], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne] |
8.14.0 |
312 |
|
识别新端口转发规则的创建。攻击者可能会滥用此技术来绕过网络分段限制。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:命令和控制], [战术:防御规避], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Microsoft Defender for Endpoint] |
8.14.0 |
413 |
|
检测用户何时向 Azure 注册的应用程序授予权限,或管理员何时向应用程序授予租户范围的权限。攻击者可能会创建 Azure 注册的应用程序,该应用程序请求访问联系信息、电子邮件或文档等数据。 |
[域:云], [数据源:Azure], [数据源:Microsoft 365], [用例:身份和访问审计], [资源:调查指南], [战术:初始访问] |
无 |
213 |
|
此规则检测网络事件中已知的命令和控制模式。已知 FIN7 威胁组织使用此命令和控制技术,同时在其目标网络中保持持久性。 |
[用例:威胁检测], [战术:命令和控制], [域:端点], [数据源:PAN-OS] |
无 |
106 |
|
检测针对 Okta 组织进行的可能的拒绝服务 (DoS) 攻击。攻击者可能会尝试通过对其 Okta 服务执行 DoS 攻击来中断组织的业务运营。 |
[用例:身份和访问审计], [数据源:Okta], [策略:影响] |
8.15.0 |
409 |
|
Active Directory 集成 DNS (ADIDNS) 是 AD DS 的核心组件之一,它利用 AD 的访问控制和复制来保持域一致性。它将 DNS 区域存储为 AD 对象,这是一个强大的功能,但也引入了一些安全问题,例如通配符记录,主要是因为创建 DNS 命名记录的默认权限(任何经过身份验证的用户)。攻击者可以创建通配符记录来重定向未明确匹配区域中包含的记录的流量,从而成为中间人并能够以类似于 LLMNR/NBNS 欺骗的方式滥用 DNS。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:凭证访问], [数据源:Active Directory], [用例:Active Directory 监控], [数据源:系统] |
8.14.0 |
103 |
|
识别上传到 AWS S3 存储桶的潜在勒索软件说明。此规则检测具有常见勒索软件说明文件扩展名(例如 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [数据源:AWS S3], [用例:威胁检测], [策略:影响] |
8.13.0 |
3 |
|
通过监控持续生成高输入令牌计数、提交大量请求并接收大响应的用户来检测潜在的资源耗尽或数据泄露尝试。此行为可能表明试图使系统过载或提取异常大量的数据,可能泄露敏感信息或导致服务中断。 |
[域:LLM], [数据源:AWS Bedrock], [数据源:Amazon Web Services], [数据源:AWS S3], [用例:潜在过载], [用例:资源耗尽], [Mitre Atlas: LLM04] |
8.13.0 |
3 |
|
识别对域对象中的 nTSecurityDescriptor 属性进行修改的情况,该属性具有与 DCSync 相关的用户/计算机帐户的权限。攻击者可以使用此后门重新获得对任何用户/计算机的哈希的访问权限。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:凭证访问], [数据源:Active Directory], [用例:Active Directory 监控], [数据源:系统] |
8.14.0 |
104 |
|
识别尝试通过命令行向管理组添加帐户的情况。这可能表明特权提升活动。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [战术:特权提升], [数据源:Elastic Defend] |
无 |
206 |
|
识别出执行的 PowerShell 脚本中包含与不同反恶意软件扫描接口 (AMSI) 绕过相关的关键字。攻击者可能会尝试先禁用 AMSI,然后再执行其他恶意 PowerShell 脚本以躲避检测。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:防御规避], [数据源:PowerShell 日志], [资源:调查指南] |
8.14.0 |
110 |
|
应用程序 Shim 的创建是为了在操作系统代码库随时间变化时实现软件的向后兼容性。攻击者滥用了此 Windows 功能,以隐蔽地在合法的 Windows 进程中获取持久性和任意代码执行。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:持久性], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
312 |
|
通过阈值规则查询 “检测到段错误” 预构建规则信号索引,检测潜在的缓冲区溢出攻击,该规则在短时间内至少有 100 个段错误警报。短时间内出现大量段错误可能表示应用程序利用尝试。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:权限提升], [策略:初始访问], [用例:漏洞], [规则类型:高阶规则] |
无 |
3 |
|
监视文件系统挂载,然后执行 chroot 的行为。如果有足够的权限,容器内的用户可以挂载主机的根文件系统,并利用 chroot 逃脱其容器化环境。这种行为模式非常不常见,应进行调查。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:权限提升], [域:容器], [数据源:Elastic Defend] |
无 |
2 |
|
此规则监视可能表示攻击者尝试在 PostgreSQL 环境中执行任意代码的可疑活动。攻击者可以通过未经授权访问面向公众的 PostgreSQL 数据库或利用漏洞(例如远程命令执行和 SQL 注入攻击)来执行代码,这可能会导致未经授权的访问和恶意操作,并为未经授权的访问和恶意操作提供后渗透活动。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:执行], [数据源:Elastic Endgame], [数据源:Elastic Defend] |
无 |
7 |
|
识别通过组件对象模型 (COM) 启动 Internet Explorer (iexplore.exe) 进行异常网络连接的实例。攻击者可能会滥用 COM 通过 Internet Explorer 来避免可疑进程建立网络连接并绕过基于主机的防火墙限制。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:命令和控制], [数据源:Elastic Defend] |
无 |
106 |
|
此规则检测从容器内部修改 cgroup notify_on_release 文件。当 cgroup 中启用 notify_on_release 标志 (1) 时,每当 cgroup 中的最后一个任务退出或附加到另一个 cgroup 时,就会运行 release_agent 文件中指定的命令并从主机调用。具有 SYS_ADMIN 功能的特权容器使威胁参与者可以挂载 cgroup 目录并修改 notify_on_release 标志,以便利用此功能,该功能可用于进一步的权限提升和容器逃逸到主机。 |
[数据源: Elastic Defend for Containers], [域: 容器], [操作系统: Linux], [用例: 威胁检测], [策略: 权限提升] |
无 |
1 |
|
此规则检测从特权容器内部修改 CGroup release_agent 文件。release_agent 是在 CGroup 上的任何进程终止时执行的脚本,并从主机调用。具有 SYS_ADMIN 功能的特权容器使威胁参与者可以挂载 CGroup 目录并修改 release_agent,该 release_agent 可用于进一步的权限提升和容器逃逸到主机。 |
[数据源: Elastic Defend for Containers], [域: 容器], [操作系统: Linux], [用例: 威胁检测], [策略: 权限提升] |
无 |
1 |
|
识别出执行带有调试进程参数的基于 Chromium 的浏览器,这可能表明尝试窃取身份验证 Cookie。攻击者可能会窃取 Web 应用程序或服务会话 Cookie,并使用它们以经过身份验证的用户的身份访问 Web 应用程序或 Internet 服务,而无需凭据。 |
[域:端点], [操作系统:Linux], [操作系统:Windows], [操作系统:macOS], [用例:威胁检测], [策略:凭据访问], [数据源:Elastic Defend] |
8.14.0 |
207 |
|
此规则识别用户帐户何时启动 Active Directory 复制过程。攻击者可以使用 DCSync 技术获取单个帐户或整个域的凭据信息,从而危及整个域。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:凭据访问], [策略:权限提升], [数据源:Active Directory], [资源:调查指南], [用例:Active Directory 监控], [数据源:系统] |
8.14.0 |
215 |
|
识别出通过未知调用跟踪模块通过 DuplicateHandle 对 LSASS 句柄的可疑访问。这可能表明尝试绕过 NtOpenProcess API 以躲避检测并转储 LSASS 内存以进行凭据访问。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:凭据访问], [数据源:Sysmon] |
8.14.0 |
308 |
|
识别出来自指向 DBGHelp.dll 或 DBGCore.dll 的调用跟踪的可疑 LSASS 句柄访问,这两个文件都导出 MiniDumpWriteDump 方法,该方法可用于转储 LSASS 内存内容以准备进行凭据访问。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:凭据访问], [策略:执行], [数据源:Sysmon] |
8.14.0 |
310 |
|
识别出创建或修改中等大小的内存转储文件,这可能表明尝试从进程内存访问凭据。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:凭据访问], [数据源:Elastic Defend], [规则类型:BBR] |
无 |
3 |
|
识别出可疑的重命名 COMSVCS.DLL 映像加载,该映像导出 MiniDump 函数,该函数可用于转储进程内存。这可能表明尝试转储 LSASS 内存,同时绕过基于命令行的检测,以准备进行凭据访问。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:凭据访问], [策略:防御规避], [数据源:Sysmon] |
8.14.0 |
208 |
|
MSBuild(Microsoft Build Engine)的实例加载了负责 Windows 凭据管理的 DLL(动态链接库)。此技术有时用于凭据转储。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:凭据访问], [策略:防御规避], [资源:调查指南], [数据源:Elastic Defend], [数据源:Sysmon] |
8.14.0 |
210 |
|
识别出执行已知的 Windows 实用程序,这些实用程序通常被滥用来转储 LSASS 内存或 Active Directory 数据库 (NTDS.dit),以准备进行凭据访问。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:凭据访问], [策略:防御规避], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne], [数据源:Sysmon] |
8.14.0 |
315 |
|
跨站点脚本 (XSS) 是一种将恶意脚本注入受信任网站的攻击类型。在 XSS 攻击中,攻击者使用良性 Web 应用程序发送恶意代码,通常以浏览器端脚本的形式发送。此检测规则识别出此类浏览器端脚本的潜在恶意执行。 |
[数据源:APM], [用例:威胁检测], [策略:初始访问], [规则类型:BBR] |
无 |
2 |
|
人口分析机器学习作业检测到潜在的 DGA(域生成算法)活动。此类活动通常被恶意软件命令和控制 (C2) 通道使用。此机器学习作业查找发出 DNS 请求的源 IP 地址,这些请求具有聚合的高概率是 DGA 活动。 |
[用例:域生成算法检测], [规则类型:ML], [规则类型:机器学习], [策略:命令和控制] |
无 |
5 |
|
识别出在重命名后或从非标准路径启动的已知易受 DLL 搜索顺序劫持攻击的 Windows 受信任程序。这是一种不常见的行为,可能表明尝试通过在这些进程之一的内存空间内侧加载恶意 DLL 来逃避防御。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:防御规避], [数据源:Elastic Endgame], [策略:执行], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint] |
8.14.0 |
211 |
|
识别出在重命名后或从非标准路径启动的已知易受 DLL 搜索顺序劫持攻击的 Windows 受信任程序的实例。这是一种不常见的行为,可能表明尝试通过在这些进程之一的内存空间内侧加载恶意 DLL 来逃避防御。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:防御规避], [策略:执行], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint] |
8.14.0 |
211 |
|
此规则识别出从同一主机执行的具有显式查询类型的 nslookup.exe 大量执行 (15)。这可能表明利用 DNS 协议的命令和控制活动。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:命令和控制], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne], [数据源:Sysmon] |
8.14.0 |
311 |
|
机器学习作业检测到向特定目标端口进行的数据泄露。超出组织正常流量模式的数据传输模式可能表示通过命令和控制通道进行泄露。 |
[用例:数据泄露检测], [规则类型:ML], [规则类型:机器学习], [策略:泄露] |
无 |
4 |
|
机器学习作业检测到向特定地理位置(按 IP 地址)进行的数据泄露。向超出组织正常流量模式的地理位置进行的数据传输可能表示通过命令和控制通道进行泄露。 |
[用例:数据泄露检测], [规则类型:ML], [规则类型:机器学习], [策略:泄露] |
无 |
4 |
|
机器学习作业检测到向特定地理位置(按区域名称)进行的数据泄露。向超出组织正常流量模式的地理位置进行的数据传输可能表示通过命令和控制通道进行泄露。 |
[用例:数据泄露检测], [规则类型:ML], [规则类型:机器学习], [策略:泄露] |
无 |
4 |
|
机器学习作业检测到向特定地理位置(按区域名称)进行的数据泄露。向超出组织正常流量模式的地理位置进行的数据传输可能表示通过命令和控制通道进行泄露。 |
[用例:数据泄露检测], [规则类型:ML], [规则类型:机器学习], [策略:泄露] |
无 |
4 |
|
此规则查找在 Linux 系统上使用特定参数的常见数据分割工具,这些参数表明数据分割是为了进行数据泄露。数据分割是攻击者使用的一种技术,将数据分割成较小的部分以避免检测并泄露数据。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:数据泄露], [数据源:Elastic Defend] |
无 |
1 |
|
Microsoft 连接管理器配置文件安装程序 (CMSTP.exe) 是一个命令行程序,用于安装连接管理器服务配置文件,这些配置文件接受安装信息文件 (INF) 文件。攻击者可能会滥用 CMSTP,通过提供包含恶意命令的 INF 文件来代理恶意代码的执行。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [数据源:Elastic Defend], [规则类型:BBR], [数据源:Sysmon], [数据源:Elastic Endgame], [数据源:系统] |
8.14.0 |
105 |
|
此规则检测在 Linux 系统上创建或重命名 Doas 配置文件的行为。攻击者可能会创建或修改 Doas 配置文件以提升权限,并在尝试逃避检测时以其他用户身份执行命令。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:防御规避], [数据源:Elastic Defend], [数据源:Elastic Endgame] |
无 |
1 |
|
识别 PRoot 工具的执行,这是一个用于 chroot、mount --bind 和 binfmt_misc 的用户空间实现的开源工具。攻击者可以利用开源工具 PRoot 将其操作范围扩展到多个 Linux 发行版,并简化他们所需的工作。在正常的威胁情境中,攻击的范围受到每个 Linux 发行版不同配置的限制。使用 PRoot,它可以为攻击者提供跨不同 Linux 发行版(如 Ubuntu、Fedora 和 Alpine)的一致操作环境。PRoot 还提供仿真功能,允许运行基于其他架构(如 ARM)构建的恶意软件。被称为“自带文件系统 (BYOF)”的后渗透技术可被威胁参与者用于执行恶意负载或提升权限,或执行网络扫描或协调对环境的另一次攻击。尽管 PRoot 最初的开发并非出于恶意目的,但它可以很容易地调整为恶意目的。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:防御规避], [数据源:Elastic Defend], [数据源:Elastic Endgame] |
无 |
7 |
|
此规则监控禁用 AppArmor 的潜在尝试。AppArmor 是一个 Linux 安全模块,它强制执行细粒度的访问控制策略,以限制特定应用程序和进程可以访问的操作和资源。攻击者可能会禁用安全工具,以避免他们的工具和活动被检测到。 |
[领域:端点], [操作系统:Linux], [用例:威胁检测], [战术:防御规避], [数据源:Elastic Defend], [数据源:Elastic Endgame], [数据源:Auditd Manager] |
无 |
7 |
|
识别禁用 Security-Enhanced Linux (SELinux) 的潜在尝试,SELinux 是一个 Linux 内核安全功能,用于支持访问控制策略。攻击者可能会禁用安全工具,以避免他们的工具和活动被检测到。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:逃避防御], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Auditd Manager] |
无 |
110 |
|
识别加载 Active Directory 相关模块的进程,然后连接到 ADWS 专用 TCP 端口。攻击者可能会滥用 ADWS Windows 服务,该服务允许通过此 Web 服务查询 Active Directory。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:发现], [数据源:Elastic Defend] |
无 |
2 |
|
识别浏览器进程何时导航到 Microsoft 帮助页面,然后生成一个提升的进程。这可能表明成功利用了易受攻击的 Windows 安装程序修复程序进行提权。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:特权提升], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Microsoft Defender for Endpoint] |
8.14.0 |
202 |
|
Filter Manager 控制程序 (fltMC.exe) 二进制文件可能被攻击者滥用,以卸载过滤器驱动程序并规避防御措施。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [数据源:Elastic Endgame], [资源:调查指南], [数据源:Elastic Defend], [数据源:Microsoft Defender for Endpoint], [数据源:系统] |
8.14.0 |
213 |
|
识别多个 Windows Filtering Platform 阻止事件,其中进程名称与端点安全软件相关。攻击者可能会添加恶意的 WFP 规则,以阻止端点安全发送遥测数据。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [数据源:Elastic Defend], [数据源:系统] |
8.14.0 |
104 |
|
此规则检测通过 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[战术:持久性],[数据源:Elastic Defend] |
无 |
2 |
|
它识别通过远程 SSH 进行的潜在恶意 shell 执行,并检测到 sshd 服务在成功执行后不久突然终止的情况,这表明存在类似于 XZ 后门的异常行为。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:凭据访问], [战术:持久性], [战术:横向移动], [数据源:Elastic Defend] |
无 |
4 |
|
攻击者可能会利用未加引号的服务路径漏洞来提升权限。通过将可执行文件放置在未加引号的服务可执行文件路径中较高层的目录中,Windows 将从其定义路径变量而不是更深层目录中的良性可执行文件本地启动此可执行文件,从而导致代码执行。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:特权提升], [数据源:Elastic Defend], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne], [数据源:Elastic Endgame], [数据源:Sysmon], [数据源:系统] |
8.14.0 |
203 |
|
识别在短时间内从同一源地址针对用户帐户的多个外部连续登录失败。攻击者通常会使用常见或已知密码在多个用户之间进行暴力破解登录尝试,以试图获取对这些帐户的访问权限。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:凭据访问] |
无 |
7 |
|
识别使用浏览器从远程 URL 和可疑的父进程下载文件的行为。攻击者可能会使用浏览器来避免入口工具传输限制。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:命令和控制], [资源:调查指南], [数据源:Windows], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne], [数据源:Sysmon], [数据源:Crowdstrike] |
8.14.0 |
203 |
|
识别 Certreq 发出 HTTP Post 请求的行为。攻击者可能会滥用 Certreq 来下载文件或将数据上传到远程 URL。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [战术:命令和控制], [战术:数据泄露], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
210 |
|
识别 Foxmail 客户端生成一个子进程,该子进程的参数指向 Foxmail 临时目录。这可能表明成功利用 Foxmail 漏洞,通过恶意电子邮件进行初始访问和执行。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:初始访问], [战术:执行], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:系统], [数据源:Elastic Endgame], [数据源:SentinelOne], [数据源:Microsoft Defender for Endpoint], [数据源:Crowdstrike] |
8.14.0 |
202 |
|
此规则检测 Linux 系统上潜在的十六进制负载执行。攻击者可能会使用十六进制编码来混淆负载并规避检测机制。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:防御规避], [战术:执行], [数据源:Elastic Defend] |
无 |
1 |
|
识别创建将从 macOS 登录窗口中隐藏的本地帐户的尝试。这可能表明试图在维持使用单独本地帐户的持久性的同时,逃避用户注意。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [策略:持久性], [数据源:Elastic Defend] |
无 |
106 |
|
识别使用 hidepid 参数执行 mount 进程的行为,这会使进程对系统中的其他用户不可见。使用 Linux 内核版本 3.2+(或 RHEL/CentOS v6.5+ 及更高版本)的攻击者可以向其他用户隐藏该进程。当执行 hidepid=2 选项来挂载 /proc 文件系统时,只有 root 用户可以看到所有进程,而登录用户只能看到他们自己的进程。这为攻击者提供了一种防御规避机制,使其进程执行对 ps、top、pgrep 等所有其他命令都不可见。通过 Linux 内核加固 hidepid 选项,用户所要做的就是使用该选项重新挂载 /proc 文件系统,现在可以对其进行监控和检测。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:逃避防御], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Auditd Manager] |
无 |
9 |
|
识别在短时间内从同一源地址针对用户帐户的多个内部连续登录失败。攻击者通常会使用常见或已知密码在多个用户之间进行暴力破解登录尝试,以试图获取对这些帐户的访问权限。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:凭据访问] |
无 |
11 |
|
Mimikatz 是一种凭据转储程序,能够获取纯文本 Windows 帐户登录名和密码,以及许多其他功能,使其可用于测试网络安全。此规则检测 Invoke-Mimikatz PowerShell 脚本等。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:凭据访问], [资源:调查指南], [数据源:PowerShell 日志] |
8.14.0 |
210 |
|
识别 JAVA 通过网络向 LDAP、RMI 或 DNS 标准端口发出的出站网络连接,然后识别可疑的 JAVA 子进程。这可能表明试图利用 JAVA/NDI(Java 命名和目录接口)注入漏洞。 |
[域:端点], [操作系统:Linux], [操作系统:macOS], [用例:威胁检测], [战术:执行], [用例:漏洞], [数据源:Elastic Defend] |
无 |
104 |
|
识别使用 Bifrost 的情况,这是一个已知的 macOS Kerberos 渗透测试工具,可用于转储缓存的 Kerberos 票证或尝试未经授权的身份验证技术,例如传递票证/哈希和 Kerberoasting。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [战术:凭据访问], [战术:横向移动], [数据源:Elastic Defend] |
无 |
106 |
|
攻击者可以利用本地安全机构 (LSA) 身份验证包提供的自动启动机制,通过在 Windows 注册表中放置对二进制文件的引用来实现权限提升或持久化。然后,当加载身份验证包时,该二进制文件将由 SYSTEM 执行。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:权限提升], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Microsoft Defender for Endpoint] |
无 |
106 |
|
识别通过 PssCaptureSnapShot 创建 LSASS 进程克隆的情况,其中父进程是初始 LSASS 进程实例。这可能表明有人试图逃避检测并转储 LSASS 内存以获取凭据访问权限。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:凭据访问], [数据源:Sysmon], [数据源:系统] |
8.14.0 |
208 |
|
识别通过 PssCaptureSnapShot 对 LSASS 句柄的可疑访问,其中同一个进程执行两次连续的进程访问,并针对 LSASS 的两个不同实例。这可能表明有人试图逃避检测并转储 LSASS 内存以获取凭据访问权限。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:凭据访问], [数据源:Sysmon] |
8.14.0 |
310 |
|
识别在网络共享上创建或更改 Windows 可执行文件的情况。攻击者可能会在受感染环境中的系统之间传输工具或其他文件。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:横向移动], [资源:调查指南], [数据源:Elastic Defend] |
无 |
109 |
|
识别通过将用户的 UID 设置为 0 来创建新后门用户的尝试。攻击者可能会更改用户的 UID 为 0,以在系统上建立持久性。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:持久性], [数据源:Elastic Endgame], [资源:调查指南], [数据源:Elastic Defend], [数据源:Auditd Manager] |
无 |
8 |
|
识别 mimipenguin 漏洞利用脚本的执行,该脚本是 Windows 工具 mimikatz 的 Linux 版本。Mimipenguin 漏洞利用脚本用于转储当前登录用户的明文密码。该工具利用了已知的漏洞 CVE-2018-20781。恶意行为者可以通过转储进程并提取极有可能包含明文密码的行来利用内存中的明文凭据。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:凭据访问], [用例:漏洞], [数据源:Elastic Defend] |
无 |
7 |
|
识别 unshadow 工具的执行,该工具是主机上密码破解工具 John the Ripper 的一部分。恶意行为者可以使用该工具检索 /etc/shadow 和 /etc/password 文件的组合内容。使用该工具生成的组合文件,恶意威胁行为者可以将其用作密码破解实用程序的输入,或者通过收集受害者的凭据信息为未来的操作做好准备。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:凭据访问], [数据源:Elastic Defend], [数据源:Elastic Endgame] |
无 |
8 |
|
监控攻击者可能用于恶意目的的不同进程的执行情况。此规则的警报应进一步调查,因为蓝队人员和系统管理员也通常使用黑客工具。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:执行], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Auditd Manager] |
无 |
4 |
|
识别一个进程在短时间内针对本地 Linux 用户帐户执行的多次连续登录尝试。攻击者可能会尝试使用默认单词列表或一组自定义密码在不同的用户上暴力破解登录尝试,以尝试获取对这些帐户的访问权限。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:凭据访问], [数据源:Elastic Defend] |
无 |
7 |
|
此规则识别大规模文件加密事件的序列,以及在 1 秒时间范围内由同一进程执行的包含勒索软件关键字的文件名的 .txt 文件的创建。勒索软件是一种恶意软件,它会加密受害者的文件或系统,并要求支付赎金(通常以加密货币支付)以换取解密密钥。勒索软件攻击的一个重要指标是对文件系统的大规模加密,之后会在文件中添加新的文件扩展名。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:影响], [数据源:Elastic Defend] |
无 |
10 |
|
此规则监控一组可用于隧道和端口转发的 Linux 实用程序。攻击者可以利用隧道和端口转发技术来绕过网络防御,建立隐藏的通信通道,并获得对内部资源的未授权访问,从而促进数据渗漏、横向移动和远程控制。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:命令和控制], [数据源:Elastic Defend], [数据源:Elastic Endgame] |
无 |
7 |
|
识别尝试通过 HTTP 使用 Windows 打印机后台处理程序服务作为目标来强制进行本地 NTLM 身份验证的情况。攻击者可以将此原语与其他技术结合使用,以提升受感染系统上的权限。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:凭据访问], [战术:防御规避], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
311 |
|
识别可疑的浏览器进程实例,例如未签名或使用不寻常证书签名的实例,这可能表明有人试图隐藏恶意活动、绕过安全功能(如允许列表)或欺骗用户执行恶意软件。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [战术:持久性], [规则类型:BBR], [数据源:Elastic Defend] |
无 |
5 |
|
识别名称类似于合法商业应用程序但缺少原始开发人员签名的可执行文件。攻击者可能会通过恶意广告、论坛帖子和教程欺骗用户下载伪装成合法应用程序的恶意可执行文件,从而有效地获得初始访问权限。 |
[域:端点], [数据源:Elastic Defend], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [战术:初始访问], [战术:执行] |
无 |
4 |
|
识别可疑的通信应用实例,包括未签名的和重命名的,这可能表明有人试图隐藏恶意活动、绕过安全功能(如允许列表)或欺骗用户执行恶意软件。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [数据源:Elastic Defend] |
无 |
6 |
|
识别默认 system32 DLL 的可疑实例,这些实例要么未签名,要么使用非 MS 证书签名。这可能表明有人试图伪装成系统 DLL、执行 DLL 搜索顺序劫持或对合法 DLL 进行后门处理和重新签名。 |
[域:端点], [数据源:Elastic Defend], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [战术:持久性], [规则类型:BBR] |
无 |
105 |
|
识别默认 system32 可执行文件的可疑实例,这些实例要么未签名,要么使用非 MS 证书签名。这可能表明有人试图伪装成系统可执行文件或对合法可执行文件进行后门处理和重新签名。 |
[域:端点], [数据源:Elastic Defend], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [战术:持久性], [规则类型:BBR] |
无 |
5 |
|
识别并非由原始开发人员签名的与 VLC 相关的 DLL 实例。攻击者可能会将其有效负载命名为合法应用程序,以融入环境,或者将恶意代码嵌入合法应用程序中,通过加入真实且无害的代码来欺骗机器学习算法。 |
[域:端点], [数据源:Elastic Defend], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [战术:持久性], [规则类型:BBR] |
无 |
4 |
|
监控 Unix 实用程序的执行情况,这些实用程序可能被用作内存地址查找器。攻击者可能会利用内置实用程序来查找特定的内存地址,从而允许未来进行潜在的操作/利用。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:发现], [规则类型:BBR], [数据源:Elastic Defend], [数据源:Elastic Endgame] |
无 |
3 |
|
此检测规则识别用于系统指纹识别的可疑 Linux 系统文件读取样本,Metasploit Meterpreter shell 利用该样本来收集有关其正在执行 shell 的目标的信息。检测到此模式表示 Meterpreter shell 连接成功。 |
[数据源:Auditd Manager], [域:端点], [操作系统:Linux], [用例:威胁检测], [战术:执行] |
无 |
7 |
|
识别以特殊字符开头创建的可疑 zip 文件。macOS 上的沙箱 Microsoft Office 应用程序允许写入以特殊字符开头的文件,这些文件可以与自动启动位置结合使用以实现沙箱规避。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [策略:防御规避], [数据源:Elastic Defend] |
无 |
106 |
|
Windows 包含辅助功能,可以在用户登录之前通过组合键启动。攻击者可以修改这些程序的启动方式,以在不登录系统的情况下获取命令提示符或后门。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:持久性], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint] |
8.14.0 |
212 |
|
此规则识别潜在的端口扫描。端口扫描是攻击者用来系统地扫描目标系统或网络以查找开放端口的方法,允许他们识别可用的服务和潜在的漏洞。通过映射出开放端口,攻击者可以收集关键信息,以计划和执行有针对性的攻击,获得未授权访问权限、损害安全性,并可能导致数据泄露、未授权控制或进一步利用目标系统或网络。此规则建议阈值逻辑来检查来自一个源主机到 20 个或更多目标端口的连接尝试。 |
[域:网络], [战术:发现], [战术:侦察], [用例:网络安全监控], [数据源:Elastic Defend], [数据源:PAN-OS] |
无 |
7 |
|
此阈值规则监控能够执行网络扫描的 Unix 实用程序的快速执行。攻击者可能会利用内置工具(例如 ping、netcat 或 socat)在网络中执行 ping 扫描,同时尝试逃避检测,或者由于受感染的主机上缺少可用的网络映射工具。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:侦察], [数据源:Elastic Defend], [数据源:Elastic Endgame], [数据源:Auditd Manager] |
无 |
3 |
|
攻击者可能会查找在远程系统上共享的文件夹和驱动器,以识别收集信息的来源作为收集的先兆,并识别潜在的横向移动的感兴趣系统。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:发现], [战术:收集], [规则类型:BBR], [数据源:系统] |
8.14.0 |
106 |
|
此规则识别潜在的网络扫描行为。网络扫描是攻击者用来扫描目标网络的一种方法,通过识别活跃主机、开放端口和可用服务来收集有关漏洞和弱点的信息。这种侦察活动有助于他们规划后续攻击,并利用潜在的入口点进行未经授权的访问、数据盗窃或其他恶意活动。此规则提出阈值逻辑,以检查来自一个源主机到常用网络服务的 10 个或更多目标主机的连接尝试。 |
[域:网络], [战术:发现], [战术:侦察], [用例:网络安全监控], [数据源:Elastic Defend], [数据源:PAN-OS] |
无 |
8 |
|
识别可能通过通常与 HTTP/HTTPS 不相关的端口配对进行通信的恶意进程。例如,使用 8443 端口或 440 端口而不是传统的 80 端口和 443 端口的 HTTP。攻击者可能会更改协议使用的标准端口,以绕过过滤或混淆对网络数据的分析/解析。 |
[域:端点], [操作系统:Linux], [操作系统:macOS], [用例:威胁检测], [战术:命令和控制], [规则类型:BBR], [数据源:Elastic Defend], [数据源:Elastic Endgame] |
无 |
5 |
|
识别可能通过通常与 SSH 不相关的端口配对进行通信的恶意进程。例如,使用 2200 端口或 2222 端口而不是传统的 22 端口的 SSH。攻击者可能会更改协议使用的标准端口,以绕过过滤或混淆对网络数据的分析/解析。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:命令和控制], [操作系统:macOS], [数据源:Elastic Defend] |
无 |
6 |
|
检测攻击者是否滥用多因素身份验证机制,通过重复发出登录请求,直到用户最终接受 Okta 推送通知为止。攻击者可能会尝试绕过为组织配置的 Okta MFA 策略,以获取未经授权的访问权限。 |
[用例:身份和访问审计], [策略:凭据访问], [数据源:Okta] |
8.15.0 |
207 |
|
识别正在创建或写入已知 SSH 后门日志文件的安全外壳 (SSH) 客户端或服务器进程。攻击者可能会修改与 SSH 相关的二进制文件以实现持久性或通过修补敏感功能来启用未经授权的访问或记录 SSH 凭据以进行外泄,从而获取凭据访问权限。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:持久性], [战术:凭据访问], [数据源:Elastic Endgame], [数据源:Elastic Defend] |
无 |
110 |
|
攻击者可能会尝试通过 Windows 远程桌面协议 (RDP) 连接到远程系统,以实现横向移动。攻击者可能会避免使用 Microsoft 终端服务客户端 (mstsc.exe) 二进制文件来建立 RDP 连接,以逃避检测。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:横向移动], [数据源:Elastic Defend], [规则类型:BBR] |
无 |
4 |
|
攻击者可能会使用被盗的密码哈希值来传递哈希,以便在环境中进行横向移动,从而绕过正常的系统访问控制。哈希传递 (PtH) 是一种在不访问用户明文密码的情况下作为用户进行身份验证的方法。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:横向移动], [数据源:系统] |
8.14.0 |
106 |
|
识别对 Atom 桌面文本编辑器初始化文件的修改。攻击者可能会在 init.coffee 文件中添加恶意 JavaScript 代码,该代码将在 Atom 应用程序打开时执行。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [策略:持久性], [数据源:Elastic Defend] |
无 |
106 |
|
此规则利用文件完整性监控 (FIM) 集成来检测 Linux 系统上常用于持久性的文件的文件修改。该规则检测对常用于 cron 作业、systemd 服务、每日消息 (MOTD)、SSH 配置、shell 配置、运行时控制、init 守护程序、passwd/sudoers/shadow 文件、Systemd udevd 和 XDG/KDE 自动启动条目的文件的修改。要利用此规则,需要将查询中指定的路径添加到 Elastic Security 应用程序中的 FIM 策略中。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:持久性], [战术:权限提升], [数据源:文件完整性监控] |
无 |
4 |
|
识别登录窗口属性列表 (plist) 的创建或修改。攻击者可能会修改 plist 文件,以便在系统启动或用户登录期间运行程序,以实现持久性。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [策略:持久性], [数据源:Elastic Defend] |
无 |
108 |
|
识别定期任务的默认配置的创建或修改。攻击者可能会滥用定期任务来执行恶意代码或维持持久性。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [策略:持久性], [数据源:Elastic Defend] |
无 |
106 |
|
识别对时间提供程序的修改。攻击者可能会通过注册并启用恶意 DLL 作为时间提供程序来建立持久性。Windows 使用时间提供程序架构来从网络中的其他网络设备或客户端获取准确的时间戳。时间提供程序以 DLL 文件的形式实现,该文件位于 System32 文件夹中。W32Time 服务在 Windows 启动期间启动并加载 w32time.dll。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:持久化], [战术:特权提升], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne] |
8.14.0 |
311 |
|
识别端口监视器和打印处理器注册表修改。攻击者可能会滥用端口监视器和打印处理器在系统启动期间运行恶意 DLL,如果权限允许为该 DLL 写入完全限定的路径名,则该恶意 DLL 将作为 SYSTEM 执行,以实现权限提升和/或持久性。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:权限提升], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Microsoft Defender for Endpoint] |
无 |
108 |
|
检测 PowerShell 脚本中已知的 PowerShell 攻击工具作者姓名。攻击者通常使用开箱即用的攻击工具而不修改代码,这些代码可能仍然包含作者的工件。此规则识别在用于红队演习的常用 PowerShell 脚本中找到的常见作者句柄。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:执行], [数据源:PowerShell 日志] |
8.14.0 |
104 |
|
检测 PowerShell 脚本中已知的 PowerShell 攻击工具函数名称。攻击者通常使用开箱即用的攻击工具而不修改代码。此规则旨在利用这一点。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:执行], [数据源:PowerShell 日志] |
8.14.0 |
213 |
|
识别包含模式和已知方法的脚本,这些模式和方法混淆 PowerShell 代码。攻击者可以使用混淆技术来绕过 PowerShell 安全保护措施,例如反恶意软件扫描接口 (AMSI)。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [数据源:PowerShell 日志] |
8.14.0 |
103 |
|
检测可以执行哈希传递 (PtH) 攻击、拦截和中继 NTLM 质询以及执行其他中间人 (MitM) 攻击的 PowerShell 脚本。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:凭据访问], [资源:调查指南], [数据源:PowerShell 日志] |
8.14.0 |
104 |
|
识别使用安全复制协议 (SCP) 通过滥用将安全外壳守护程序 (sshd) 自动添加到完整磁盘访问的授权应用程序列表来本地复制文件。这可能表示试图绕过 macOS 隐私控制来访问敏感文件。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [战术:权限提升], [战术:防御规避], [数据源:Elastic Defend] |
无 |
107 |
|
识别使用 sqlite3 直接修改透明度、同意和控制 (TCC) SQLite 数据库。这可能表示试图绕过 macOS 隐私控制,包括访问系统摄像头、麦克风、地址簿和日历等敏感资源。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [策略:防御规避], [数据源:Elastic Defend] |
无 |
107 |
|
此规则监视 Docker 运行时套接字的使用情况,以提升 Linux 系统上的权限。默认情况下,Docker 套接字只能由 root 用户和 docker 组写入。具有写入这些套接字权限的攻击者可能能够创建和运行容器,从而允许他们提升权限并进一步访问主机文件系统。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:权限提升], [域:容器], [数据源:Elastic Defend] |
无 |
5 |
|
此规则检测通过 Looney Tunables (CVE-2023-4911) 进行的潜在权限提升尝试。Looney Tunables 是 GNU C 库的动态加载程序在处理 GLIBC_TUNABLES 环境变量时存在的缓冲区溢出漏洞。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:权限提升], [用例:漏洞], [数据源:Elastic Defend] |
无 |
4 |
|
此规则监视在没有 root 权限的情况下通过交互式 shell 与 Linux 容器交互的进程的执行情况。runc 和 ctr 等实用程序是通用的命令行实用程序,用于通过 root 权限与容器交互。在对这些实用程序的访问配置错误的系统上,攻击者可能能够创建和运行容器,该容器会挂载根文件夹或生成易受容器逃逸攻击影响的特权容器,这可能允许他们提升权限并进一步访问主机文件系统。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:权限提升], [域:容器], [数据源:Elastic Defend] |
无 |
5 |
|
识别试图通过 Linux 窗口管理器包 Enlightenment 中的缺陷来利用本地权限提升 CVE-2022-37706 的行为。0.25.4 之前的 Enlightenment 中的 enlightenment_sys 允许本地用户获得权限,因为它被设置为 setuid root,并且系统库函数错误地处理以 /dev/.. 子字符串开头的路径名。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:权限提升], [用例:漏洞], [数据源:Elastic Defend] |
无 |
2 |
|
识别 InstallerTakeOver (CVE-2021-41379) 默认 PoC 执行的潜在利用。成功利用允许无特权用户将权限提升到 SYSTEM。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:权限提升], [资源:调查指南], [用例:漏洞], [数据源:Elastic Defend] |
无 |
111 |
|
识别 DAC(自主访问控制)文件权限的潜在权限提升利用。该规则识别通过功能包括 CAP_DAC_OVERRIDE(其中进程可以绕过所有读取写入和执行检查)或 CAP_DAC_READ_SEARCH(其中进程可以读取任何文件或对目录执行任何可执行权限)的可疑进程对敏感文件路径进行的 DAC 检查利用。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:权限提升], [数据源:Elastic Defend] |
无 |
3 |
|
识别试图通过 Ubuntu 对 OverlayFS 的修改中的缺陷来利用本地权限提升 (CVE-2023-2640 和 CVE-2023-32629) 的行为。这些缺陷允许创建专门的可执行文件,这些可执行文件在执行时会授予在受影响的计算机上将权限提升为 root 的能力。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:权限提升], [用例:漏洞], [数据源:Elastic Defend] |
无 |
5 |
|
识别试图通过不安全的环境变量注入来利用 polkit pkexec (CVE-2021-4034) 中的本地权限提升的行为。成功利用允许无特权用户将权限提升为 root 用户。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:权限提升], [数据源:Elastic Endgame], [用例:漏洞], [数据源:Elastic Defend] |
无 |
108 |
|
此检测规则监控通过 Python 执行具有 setuid 或 setgid 功能的系统命令,然后将 uid 或 gid 更改为 root 用户。此事件序列可能表示特权提升成功。Setuid(设置用户 ID)和 setgid(设置组 ID)是类 Unix 操作系统功能,使进程能够根据文件所有者或组以提升的权限运行。威胁行为者可以利用这些属性将特权提升为正在执行的二进制文件上设置的特权。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:权限提升], [数据源:Elastic Defend] |
无 |
3 |
|
此规则监控涉及程序编译事件,然后是其执行以及随后将 UID 权限更改为 root 权限的序列。此行为可能表示正在执行内核或软件特权提升漏洞。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:权限提升], [用例:漏洞], [数据源:Elastic Defend] |
无 |
4 |
|
识别对默认服务的注册表修改,这些修改可能会将特权提升为 SYSTEM。来自 Server Operators 等组的攻击者可能会更改服务的 ImagePath 以控制其下的可执行文件或执行命令。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:执行],[策略:特权提升],[数据源:Elastic Defend],[数据源:Sysmon] |
8.14.0 |
102 |
|
sudoers 文件指定用户或组可以运行的命令以及从哪个终端运行。攻击者可以利用这些配置以其他用户身份执行命令或生成具有更高权限的进程。 |
[域:端点],[操作系统:Linux],[操作系统:macOS],[用例:威胁检测],[策略:特权提升],[数据源:Elastic Defend] |
无 |
104 |
|
此规则监控 UID 大于允许的最大 UID 大小 (INT_MAX) 的用户执行 systemd-run 命令。一些较旧的 Linux 版本受到一个漏洞的影响,该漏洞允许 UID 大于 INT_MAX 的用户帐户通过 systemd-run 生成 shell 来提升权限。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:权限提升], [数据源:Elastic Defend], [数据源:Elastic Endgame] |
无 |
5 |
|
识别可疑的计算机帐户名称重命名事件,这可能表示试图利用 CVE-2021-42278 将权限从标准域用户提升为具有域管理员权限的用户。CVE-2021-42278 是一个安全漏洞,允许潜在的攻击者通过 samAccountName 属性欺骗来模拟域控制器。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:持久化],[策略:特权提升],[用例:Active Directory 监控],[数据源:Active Directory],[用例:漏洞],[数据源:系统] |
8.14.0 |
209 |
|
识别经常被攻击的 Microsoft Office 应用程序(Word、PowerPoint、Excel)的子进程,这些进程具有不寻常的进程参数和路径。在利用 Office 应用程序或来自带有恶意宏的文档时经常会观察到此行为。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:防御规避],[策略:特权提升],[策略:初始访问],[规则类型:BBR],[数据源:Elastic Defend] |
无 |
2 |
|
检测恶意软件和安全工具常用滥用的 Windows API 函数,以加载恶意代码或将其注入到远程进程中。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:防御规避],[策略:执行],[资源:调查指南],[数据源:PowerShell 日志] |
8.14.0 |
213 |
|
此规则监控 Chisel 客户端实用程序利用的常见命令行标志,然后进行连接尝试。Chisel 是一种命令行实用程序,用于创建和管理 TCP 和 UDP 隧道,从而实现端口转发和机器之间的安全通信。攻击者可以滥用 Chisel 实用程序来建立秘密通信通道、绕过网络限制,并通过创建允许未经授权访问内部系统的隧道来执行恶意活动。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[战术:命令和控制],[数据源:Elastic Defend] |
无 |
6 |
|
此规则监控 Chisel 服务器实用程序利用的常见命令行标志,然后在 1 分钟的时间跨度内接收连接。Chisel 是一种命令行实用程序,用于创建和管理 TCP 和 UDP 隧道,从而实现端口转发和机器之间的安全通信。攻击者可以滥用 Chisel 实用程序来建立秘密通信通道、绕过网络限制,并通过创建允许未经授权访问内部系统的隧道来执行恶意活动。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[战术:命令和控制],[数据源:Elastic Defend] |
无 |
6 |
|
识别 EarthWorm 隧道程序的执行。攻击者可能会在单独的协议中对进出受害者系统的网络通信进行隧道传输,以避免检测和网络过滤,或启用对其他无法访问的系统的访问。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[策略:命令和控制],[数据源:Elastic Endgame],[数据源:Elastic Defend] |
无 |
110 |
|
此规则利用 auditd 监控使用 openat 系统调用扫描 /proc 目录中不同进程的进程。这强烈表明使用了 pspy 实用程序。攻击者可能会利用 pspy 进程监控实用程序来监控系统进程,而无需 root 权限,以便找到潜在的特权提升向量。 |
[数据源:Auditd Manager],[域:端点],[操作系统:Linux],[用例:威胁检测],[策略:发现] |
无 |
8 |
|
此规则识别来自同一主机且具有相同文件名的 System 虚拟进程创建的大量 (20) 文件创建事件,该文件名包含类似于勒索软件注释文件的关键字,并且都在短时间内发生。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:影响],[资源:调查指南],[数据源:Elastic Defend],[数据源:Elastic Endgame],[数据源:Microsoft Defender for Endpoint],[数据源:Sysmon],[数据源:SentinelOne] |
8.14.0 |
207 |
|
识别传入的 SMB 连接,然后创建名称类似于勒索软件注释文件的文件。这可能表示通过 SMB 协议进行的远程勒索软件攻击。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:影响],[资源:调查指南],[数据源:Elastic Defend] |
无 |
3 |
|
通过识别来自其他主机到拥有该帐户的 DC 的、使用域控制器计算机帐户的身份验证事件,来识别针对域控制器 (DC) 的潜在中继攻击。攻击者可能会在利用强制身份验证捕获 DC 哈希后中继该哈希。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:凭据访问],[数据源:Elastic Defend],[数据源:Active Directory],[用例:Active Directory 监控],[数据源:系统] |
8.14.0 |
102 |
|
识别通过 Web 服务器执行的可疑命令,这可能表明存在漏洞和远程 shell 访问。攻击者可能会利用 Web 应用程序中的漏洞来通过 Web 服务器执行命令,或放置一个后门文件,该文件可能会被滥用以获取代码执行,作为一种持久化机制。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[策略:持久化],[策略:初始访问],[数据源:Elastic Endgame],[用例:漏洞],[资源:调查指南],[数据源:Elastic Defend] |
无 |
7 |
|
识别对注册表的远程访问,以潜在地转储来自安全帐户管理器 (SAM) 注册表配置单元中的凭据数据,为凭据访问和权限提升做准备。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:横向移动],[策略:凭据访问],[资源:调查指南],[数据源:Elastic Defend] |
无 |
111 |
|
识别远程桌面协议 (RDP) Shadow 注册表的修改或指示活动 RDP 影子会话的进程执行。攻击者可能会滥用 RDP 影子功能来监视或控制其他用户活动的 RDP 会话。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:横向移动], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne] |
8.14.0 |
309 |
|
识别使用 SSH 实用程序通过反向 SSH 隧道建立 RDP 的潜在用法。攻击者可以使用它来启用原本无法到达其预期目标的网络数据包的路由。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:命令和控制],[策略:横向移动],[资源:调查指南],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:SentinelOne],[数据源:Microsoft Defender for Endpoint],[数据源:系统],[数据源:Crowdstrike] |
8.14.0 |
416 |
|
识别执行内置的 Windows 安装程序 msiexec.exe 以安装远程包。攻击者可能会滥用 msiexec.exe 来启动本地或网络可访问的 MSI 文件。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:初始访问],[策略:防御规避],[数据源:Elastic Defend] |
无 |
3 |
|
此检测规则识别与 TCP 反向 shell 活动相关的可疑网络流量模式。此活动包括父子关系,其中网络事件之后是 shell 进程的创建。攻击者可能会建立 Linux TCP 反向 shell 以获得对目标系统的远程访问。 |
[域: 端点], [操作系统: Linux], [用例: 威胁检测], [策略: 执行], [数据源: Elastic Defend] |
无 |
9 |
|
识别执行具有可疑参数的 shell 进程,这可能表示反向 shell 活动。 |
[域:端点],[操作系统:Linux],[操作系统:macOS],[用例:威胁检测],[策略:执行],[资源:调查指南],[数据源:Elastic Defend] |
无 |
109 |
|
监视具有能够在 /dev/tcp 通道中打开套接字的进程参数的后台进程的执行。这可能表示创建了后门反向连接,应进一步调查。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:执行], [数据源:Elastic Defend], [数据源:Elastic Endgame] |
无 |
4 |
|
此检测规则识别与 TCP 反向 shell 活动相关的可疑网络流量模式。此活动包括网络事件,然后是创建具有可疑命令行参数的 shell 进程。攻击者可能会建立 Linux TCP 反向 shell 以获得对目标系统的远程访问。 |
[域: 端点], [操作系统: Linux], [用例: 威胁检测], [策略: 执行], [数据源: Elastic Defend] |
无 |
3 |
|
此检测规则识别从传入网络连接后的 Java JAR 应用程序执行的 Linux shell 进程。此行为可能表示通过 Java 应用程序进行反向 shell 活动。 |
[域: 端点], [操作系统: Linux], [用例: 威胁检测], [策略: 执行], [数据源: Elastic Defend] |
无 |
8 |
|
此检测规则检测通过以下链创建 shell 的过程:执行可疑二进制文件(位于常用的滥用位置或手动执行),然后是网络事件,最后生成 shell。无阶段反向 tcp shell 会显示此行为。攻击者可能会生成反向 shell,以在目标系统上建立持久性。 |
[域: 端点], [操作系统: Linux], [用例: 威胁检测], [策略: 执行], [数据源: Elastic Defend] |
无 |
7 |
|
此检测规则检测通过可疑进程链创建 shell 的过程。从单个进程初始化的、由指定实用程序生成的任何反向 shell,然后进行网络连接尝试,都将通过此规则捕获。攻击者可能会生成反向 shell,以在目标系统上建立持久性。 |
[域: 端点], [操作系统: Linux], [用例: 威胁检测], [策略: 执行], [数据源: Elastic Defend] |
无 |
9 |
|
此检测规则识别与 UDP 反向 Shell 活动相关的可疑网络流量模式。此活动包括由同一进程执行的 execve、socket 和 connect 系统调用样本,其中 auditd.data.a0-1 指示 UDP 连接,并以出口连接事件结束。攻击者可能会建立 Linux UDP 反向 Shell,以绕过传统的防火墙限制,并秘密地获得对目标系统的远程访问权限。 |
[数据源:Auditd Manager], [域:端点], [操作系统:Linux], [用例:威胁检测], [战术:执行] |
无 |
7 |
|
识别能够下载文件的进程,这些进程的命令行参数中包含指向 SSH-IT 自主 SSH 蠕虫的 URL。此蠕虫在用户每次使用 ssh 时都会拦截传出的 SSH 连接。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[策略:横向移动],[数据源:Elastic Defend],[数据源:Elastic Endgame],[数据源:Auditd Manager] |
无 |
3 |
|
此规则识别潜在的基于 SYN 的端口扫描。SYN 端口扫描是攻击者采用的一种技术,通过向多个端口发送 SYN 数据包并观察响应来扫描目标网络中的开放端口。攻击者使用此方法来识别可能容易受到攻击的潜在入口点或服务,从而允许他们发起有针对性的攻击或获得对系统或网络的未经授权的访问,从而损害其安全性,并可能导致数据泄露或其他恶意活动。此规则提出了阈值逻辑,以检查来自一个源主机的使用每个端口 2 个或更少的数据包尝试连接到 10 个或更多目标端口的情况。 |
[域:网络], [战术:发现], [战术:侦察], [用例:网络安全监控], [数据源:Elastic Defend], [数据源:PAN-OS] |
无 |
7 |
|
检测通过使用 Sysinternals SDelete 实用程序安全删除文件而生成的文件名模式,该实用程序通过多次文件覆盖和重命名操作来删除文件。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:防御逃避],[策略:影响],[数据源:Elastic Endgame],[资源:调查指南],[数据源:Elastic Defend],[数据源:Sysmon],[数据源:Microsoft Defender for Endpoint],[数据源:SentinelOne] |
8.14.0 |
309 |
|
识别对 Active Directory 计算机或用户对象中的 msDS-KeyCredentialLink 属性的修改。攻击者可以滥用对该对象的控制权并创建密钥对,将原始公钥附加到属性中,并获得对目标用户或计算机对象的持久且隐秘的访问权限。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:凭据访问],[数据源:Active Directory],[资源:调查指南],[用例:Active Directory 监控],[数据源:系统] |
8.14.0 |
212 |
|
识别通过命令行使用标准系统实用程序访问 /etc/shadow 文件的情况。在将权限提升为 root 之后,威胁行为者可能会尝试读取或转储此文件以获取有效的凭据。他们可能会利用这些凭据在不被察觉的情况下横向移动并访问其他资源。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[策略:权限提升],[策略:凭据访问],[数据源:Elastic Endgame],[数据源:Elastic Defend] |
无 |
209 |
|
识别 SharpRDP 的潜在行为,SharpRDP 是一种可以通过远程桌面协议 (RDP) 对远程目标执行身份验证命令执行的工具,用于横向移动。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:横向移动],[数据源:Elastic Defend] |
无 |
108 |
|
此规则监控一组 Linux 二进制文件的执行,这些二进制文件可能容易受到通配符注入的攻击,并且具有可疑的命令行标志,然后是一个 shell 派生事件。Linux 通配符注入是一种安全漏洞,攻击者可以通过操纵包含通配符(例如 *、?、[])的命令或输入来执行意外的操作或访问敏感数据,方法是欺骗系统以意想不到的方式解释通配符字符。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[策略:权限提升],[策略:执行],[数据源:Elastic Defend] |
无 |
6 |
|
FTP(文件传输协议)暴力破解攻击是一种攻击方法,攻击者系统地尝试不同的用户名和密码组合,以获取对 FTP 服务器的未经授权的访问,如果成功,其影响可能包括未经授权的数据访问、操纵或盗窃,从而损害服务器的安全性和完整性,并可能暴露敏感信息。此规则识别来自同一源地址且在短时间内针对特定用户帐户的多次连续身份验证失败,随后是成功的身份验证。 |
[数据源:Auditd Manager],[域:端点],[操作系统:Linux],[用例:威胁检测],[策略:凭据访问] |
无 |
7 |
|
RDP(远程桌面协议)暴力破解攻击涉及攻击者反复尝试各种用户名和密码组合,以通过 RDP 获得对远程计算机的未经授权的访问,如果成功,其潜在影响可能包括对受损系统的未经授权的控制、数据盗窃或在网络内发起进一步攻击的能力,从而危及目标系统的安全性和机密性,并可能损害整个网络基础设施。此规则识别在短时间内针对特定用户帐户的多次连续身份验证失败,随后是成功的身份验证。 |
[数据源:Auditd Manager],[域:端点],[操作系统:Linux],[用例:威胁检测],[策略:凭据访问] |
无 |
7 |
|
识别来自同一源地址的多次 SSH 登录失败,随后是成功的登录。攻击者可以尝试使用通用或已知密码登录多个用户,以获取对帐户的访问权限。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:凭据访问] |
无 |
11 |
|
识别位于 /usr/bin/sudo 的 sudo 二进制文件的创建。攻击者可能会劫持默认的 sudo 二进制文件,并将其替换为自定义的二进制文件或脚本,该脚本可以读取用户的明文密码以提升权限或在每次执行 sudo 二进制文件时启用对系统的持久性。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[策略:权限提升],[策略:持久性],[数据源:Elastic Defend] |
无 |
107 |
|
此规则监控在 CVE-2019-14287 中利用的可疑 sudo 命令的执行,以将权限提升为 root。Sudo 不会验证指定用户 ID 的存在,而是继续使用可以任意选择的用户 ID 执行。通过使用 sudo 权限,命令“sudo -u#-1”转换为 ID 0,代表 root 用户。此漏洞可能适用于 v1.28 之前的 sudo 版本。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[策略:权限提升],[数据源:Elastic Defend],[用例:漏洞],[数据源:Elastic Endgame],[数据源:Auditd Manager] |
无 |
4 |
|
此规则通过监控调试器 (gdb) 进程的使用以及 sudo 进程执行期间成功的 uid 更改事件,检测潜在的通过进程注入进行的 sudo 令牌操纵攻击。Sudo 令牌操纵攻击是通过注入到具有有效 sudo 令牌的进程来执行的,攻击者可以使用该令牌来激活自己的 sudo 令牌。此攻击需要启用 ptrace,并且存在一个与当前用户具有相同 uid 的有效 sudo 令牌的活动进程。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:权限提升], [数据源:Elastic Defend] |
8.16.0 |
107 |
|
此规则监控使用内置的 Linux DebugFS 实用程序在没有 root 权限的情况下访问磁盘设备的情况。属于“disk”组的 Linux 用户拥有足够的权限通过 DebugFS 访问机器内的所有数据。攻击者可能会利用 DebugFS 与“disk”权限结合来读取 root 拥有的敏感文件,例如 shadow 文件、root ssh 私钥或其他可能允许他们进一步提升权限的敏感文件。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:权限提升], [数据源:Elastic Defend] |
无 |
6 |
|
此规则监控潜在的可疑文件编辑。在 Linux 中,当通过编辑器编辑文件时,会创建一个临时的 .swp 文件。通过监控此 .swp 文件的创建,我们可以检测到可疑文件的潜在编辑。此规则的执行并不是文件被编辑的明确标志,因为仅通过编辑器打开文件就会触发此事件。攻击者可能会更改此规则中添加的任何文件,以建立持久性、提升权限或在系统上执行侦察。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[策略:持久性],[策略:权限提升],[数据源:Elastic Endgame],[数据源:Elastic Defend] |
无 |
5 |
|
此规则监控执行带有命令行标志的“chown”和“chmod”命令,这些标志可能表明存在通配符注入攻击。Linux 通配符注入是一种安全漏洞,攻击者可以通过操纵包含通配符(例如 *、?、[])的命令或输入来执行意外的操作或访问敏感数据,方法是欺骗系统以意想不到的方式解释通配符字符。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[策略:权限提升],[策略:凭据访问],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:Auditd Manager] |
无 |
5 |
|
识别何时将非交互式终端 (tty) 升级为完全交互式 shell。在获得对主机的初始访问权限后,攻击者可能会将简单的反向 shell 升级为完全交互式 tty,以便获得更稳定的连接。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:执行], [数据源:Elastic Endgame], [数据源:Elastic Defend] |
无 |
3 |
|
识别可以访问和解密存储在 MSSQL 数据库中的 Veeam 凭据的命令。攻击者可以使用 Veeam 凭据来定位备份,作为勒索软件攻击等破坏性操作的一部分。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:防御逃避],[策略:凭据访问],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:系统],[数据源:Microsoft Defender for Endpoint],[数据源:Sysmon],[数据源:SentinelOne],[数据源:Crowdstrike] |
8.14.0 |
203 |
|
识别 DNS 记录的创建,该记录可能旨在启用 WPAD 欺骗。攻击者可以禁用全局查询阻止列表 (GQBL) 并创建“wpad”记录,以利用运行具有默认设置的 WPAD 的主机进行权限提升和横向移动。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:凭证访问], [数据源:Active Directory], [用例:Active Directory 监控], [数据源:系统] |
8.14.0 |
103 |
|
识别潜在的 Windows Server Update Services (WSUS) 滥用以执行 psexec 以实现横向移动。WSUS 仅限于执行 Microsoft 签名的二进制文件,这限制了可以使用的 Microsoft 发布的工具的可执行文件。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:横向移动],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:Sysmon],[数据源:SentinelOne],[数据源:Microsoft Defender for Endpoint],[数据源:系统],[数据源:Crowdstrike] |
8.14.0 |
205 |
|
此规则使用警报数据来确定何时在多个主机中触发恶意软件签名。分析人员可以使用此规则来确定优先级、进行分类和响应,因为这可能表明存在广泛的恶意软件感染。 |
[域:端点],[数据源:Elastic Defend],[用例:威胁检测],[策略:执行],[规则类型:高阶规则] |
8.13.0 |
2 |
|
识别具有匹配的命令行和进程可执行值的 Windows 错误报告进程 (WerFault.exe 或 Wermgr.exe) 的可疑实例,这些实例正在执行传出的网络连接。这可能表示存在伪装尝试,以逃避可疑子进程行为检测。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [资源:调查指南], [数据源:Elastic Defend], [数据源:Sysmon] |
8.14.0 |
209 |
|
此检测规则识别何时 SCNotification.exe 加载不受信任的 DLL,这是一个攻击者尝试劫持/模拟 Windows 用户会话的潜在指标。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [数据源:Elastic Defend] |
无 |
1 |
|
通过监控易受攻击的命令行参数以及异常的命令行长度,检测 curl CVE-2023-38545 的潜在利用。curl 版本 ⇐ 8.3 中的一个漏洞使得 curl 在 SOCKS5 代理握手期间容易受到基于堆的缓冲区溢出攻击。请升级到 curl 版本 >= 8.4 以修补此漏洞。此漏洞利用可以在使用或不使用环境变量的情况下执行。为了提高可见性,请根据此规则的设置指南中的说明启用 http_proxy、HTTPS_PROXY 和 ALL_PROXY 环境变量的收集。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[用例:漏洞],[战术:执行],[数据源:Elastic Defend] |
无 |
6 |
|
识别来自同一主机的 macOS SSH KeyGen 进程执行次数过多(20 次)。攻击者可能会尝试暴力破解攻击,以获取对用户帐户的未授权访问。 |
[领域:端点], [操作系统:macOS], [用例:威胁检测], [战术:凭据访问], [数据源:Elastic Defend] |
无 |
108 |
|
识别通过利用 CVE-2022-38028 劫持打印后台处理服务执行的提权尝试。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:权限提升],[策略:防御规避],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:Sysmon],[数据源:Microsoft Defender for Endpoint],[数据源:SentinelOne] |
8.14.0 |
203 |
|
检测攻击者是否滥用多因素身份验证机制,通过重复发出登录请求,直到用户最终接受 Okta 推送通知为止。攻击者可能会尝试绕过为组织配置的 Okta MFA 策略,以获取未经授权的访问权限。 |
[用例:身份和访问审计], [策略:凭据访问], [数据源:Okta] |
8.15.0 |
413 |
|
此规则监控通过 screen 和 tmux 执行的可疑命令。当启动命令并直接分离时,命令将通过其父进程在后台执行。攻击者可能会利用 screen 或 tmux 执行命令,同时试图逃避检测。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:防御规避], [数据源:Elastic Defend], [数据源:Elastic Endgame] |
无 |
5 |
|
检测包含 Invoke-NinjaCopy 上使用的默认导出函数的 PowerShell 脚本。攻击者可以使用 Invoke-NinjaCopy 读取通常被锁定的 SYSTEM 文件,例如 NTDS.dit 文件或注册表配置单元。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:凭据访问],[数据源:PowerShell 日志],[资源:调查指南] |
8.14.0 |
108 |
|
检测具有从 LSA 转储 Kerberos 票据能力的 PowerShell 脚本,这可能表明攻击者试图获取凭据以进行横向移动。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:凭据访问],[数据源:PowerShell 日志] |
8.14.0 |
107 |
|
检测具有请求 Kerberos 票据能力的 PowerShell 脚本,这是 Kerberoasting 工具包破解服务帐户的常见步骤。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:凭据访问], [资源:调查指南], [数据源:PowerShell 日志] |
8.14.0 |
213 |
|
检测在 PowerShell 脚本中使用可用于捕获用户按键的 Win32 API 函数。攻击者使用此技术来捕获用户输入,以查找凭据和/或其他有价值的数据。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:收集], [资源:调查指南], [数据源:PowerShell 日志] |
8.14.0 |
215 |
|
检测可用于从邮箱收集数据的 PowerShell 脚本。攻击者可能会以用户电子邮件为目标,以收集敏感信息。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:收集],[数据源:PowerShell 日志],[资源:调查指南] |
8.14.0 |
109 |
|
此规则检测能够使用 WindowsErrorReporting 或 Dbghelp.dll MiniDumpWriteDump 转储进程内存的 PowerShell 脚本。攻击者可以使用此工具转储 LSASS 并获取凭据访问权限。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:凭据访问], [资源:调查指南], [数据源:PowerShell 日志] |
8.14.0 |
210 |
|
检测在 PowerShell 脚本中使用 PSReflect。攻击者利用 PSReflect 作为库,使 PowerShell 能够访问 win32 API 函数。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:执行],[资源:调查指南],[数据源:PowerShell 日志] |
8.14.0 |
313 |
|
识别通过修改注册表禁用 PowerShell 脚本块日志记录的尝试。攻击者可能会禁用此日志记录,以隐藏其在主机上的活动并逃避检测。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne] |
8.14.0 |
310 |
|
识别与存档压缩活动相关的 Cmdlet 和方法的使用。攻击者通常会压缩和加密数据,为外泄做准备。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:收集],[数据源:PowerShell 日志],[规则类型:BBR] |
8.14.0 |
208 |
|
识别与发现活动相关的 Cmdlet 和方法的使用。攻击者可以使用它们来执行各种态势感知相关的活动,例如枚举用户、共享、会话、域信任、组等。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:收集],[策略:发现],[数据源:PowerShell 日志],[规则类型:BBR] |
8.14.0 |
209 |
|
识别在 PowerShell 脚本中使用与文件加密/解密相关的 Cmdlet 和方法,恶意软件和攻击性安全工具可以滥用它们来加密数据或解密有效负载以绕过安全解决方案。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:防御规避], [数据源:PowerShell 日志], [资源:调查指南] |
8.14.0 |
109 |
|
识别与 Windows 事件日志删除活动相关的 Cmdlet 和方法的使用。攻击者通常会这样做,以试图逃避检测或销毁系统上的取证证据。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:防御规避],[数据源:PowerShell 日志],[规则类型:BBR] |
8.14.0 |
208 |
|
识别使用 WinRM 执行远程执行活动相关的 Cmdlet 和方法的使用。攻击者可以滥用 WinRM 使用内置工具执行横向移动。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:发现],[策略:执行],[数据源:PowerShell 日志],[规则类型:BBR] |
8.14.0 |
107 |
|
识别使用 WinRM 执行远程执行活动相关的 Cmdlet 和方法的使用。攻击者可以滥用 WinRM 使用内置工具执行横向移动。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:横向移动],[策略:执行],[数据源:PowerShell 日志],[规则类型:BBR] |
8.14.0 |
208 |
|
检测包含与令牌模拟/盗窃相关的 PowerShell 函数、结构或 Windows API 函数的脚本。攻击者可以复制然后模拟另一个用户的令牌,以提升权限并绕过访问控制。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:权限提升],[数据源:PowerShell 日志] |
8.14.0 |
114 |
|
识别可以访问和解密存储在 MSSQL 数据库中的 Veeam 凭据的 PowerShell 脚本。攻击者可以使用 Veeam 凭据来攻击备份,作为勒索软件攻击等破坏性操作的一部分。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:凭据访问],[数据源:PowerShell 日志] |
8.14.0 |
103 |
|
检测可用于录制网络摄像头视频的 PowerShell 脚本。攻击者可以捕获此信息来敲诈或监视受害者。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:收集],[数据源:PowerShell 日志] |
8.14.0 |
106 |
|
识别包含攻击者可以滥用以禁用 Windows Defender 功能的 cmdlet 和参数的 PowerShell 脚本。攻击者可以篡改防病毒软件,以降低执行其有效负载时的检测风险。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:防御规避],[数据源:PowerShell 日志],[规则类型:BBR] |
8.14.0 |
103 |
|
检测包含与 Windows 共享枚举活动相关的 PowerShell 函数、结构或 Windows API 函数的脚本。攻击者,主要是勒索软件组织,通常会识别和检查网络共享,寻找用于加密和/或外泄的关键信息。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:发现],[策略:收集],[策略:执行],[资源:调查指南],[数据源:PowerShell 日志] |
8.14.0 |
111 |
|
此规则检测在 PowerShell 脚本中使用与发现相关的 Windows API 函数。攻击者可以使用这些函数来执行各种态势感知相关的活动,例如枚举用户、共享、会话、域信任、组等。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:发现],[策略:收集],[策略:执行],[资源:调查指南],[数据源:PowerShell 日志] |
8.14.0 |
316 |
|
识别在 PowerShell 脚本中组合使用 .NET 功能进行解压缩和 base64 解码,恶意软件和安全工具大量使用它们来反混淆有效负载并将其直接加载到内存中以绕过防御。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:防御规避],[资源:调查指南],[数据源:PowerShell 日志] |
8.14.0 |
314 |
|
检测可以录制音频的 PowerShell 脚本,这是流行的后期利用工具中的常见功能。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:收集], [资源:调查指南], [数据源:PowerShell 日志] |
8.14.0 |
212 |
|
检测可以获取剪贴板内容的 PowerShell 脚本,攻击者可以滥用它来检索敏感信息,例如凭据、消息等。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:收集],[数据源:PowerShell 日志],[资源:调查指南] |
8.14.0 |
210 |
|
检测可以截取屏幕截图的 PowerShell 脚本,这是后期利用工具包和远程访问工具 (RAT) 中的常见功能。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:收集], [资源:调查指南], [数据源:PowerShell 日志] |
8.14.0 |
210 |
|
此检测规则解决了 CUPS 打印系统中的多个漏洞,包括 CVE-2024-47176、CVE-2024-47076、CVE-2024-47175 和 CVE-2024-47177。具体来说,此规则检测通过默认打印机用户 (lp) 从 foomatic-rip 父进程进行的 shell 执行。这些缺陷影响诸如 cups-browsed、libcupsfilters、libppd 和 foomatic-rip 之类的组件,允许远程未经身份验证的攻击者通过精心制作的 UDP 数据包或网络欺骗来操纵 IPP URL 或注入恶意数据。当启动打印作业时,这可能会导致任意命令执行。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[用例:漏洞],[战术:执行],[数据源:Elastic Defend] |
无 |
2 |
|
此规则检测 Linux 系统上的私钥搜索活动。搜索私钥可能表明攻击者试图提升权限或外泄敏感信息。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[策略:发现],[数据源:Elastic Defend] |
无 |
1 |
|
识别在执行进程(授予 CAP_CHOWN 和/或 CAP_FOWNER 功能)后,可疑文件或二进制的所有权发生更改的情况。在 Linux 中,CAP_CHOWN 功能允许进程更改文件的所有者,而 CAP_FOWNER 允许它绕过需要文件所有权的操作(如读取、写入和执行)的权限检查。攻击者可能会滥用这些功能来获取对文件的未授权访问。 |
[数据源:Auditd Manager],[域:端点],[操作系统:Linux],[用例:威胁检测],[策略:权限提升],[数据源:Elastic Defend] |
无 |
3 |
|
识别在进程(被授予 CAP_SETUID 和/或 CAP_SETGID 功能)执行后,用户访问权限提升至 UID/GID 0(root)的情况。在 Linux 中,CAP_SETUID 和 CAP_SETGID 功能允许进程分别更改其 UID 和 GID,从而控制用户和组的身份管理。攻击者可能会利用错误配置进行利用,以将其权限提升到 root。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:权限提升], [数据源:Elastic Defend] |
无 |
4 |
|
识别 GDB(被授予 CAP_SYS_PTRACE 功能)执行后,用户访问权限提升至 UID/GID 0(root)的情况。在 Linux 中,CAP_SYS_PTRACE 功能授予进程使用 ptrace 系统调用的能力,该调用通常用于调试,并允许进程跟踪和控制其他进程。攻击者可能会利用此功能来钩住并注入到以 root 权限运行的进程中,以将其权限提升到 root。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:权限提升], [数据源:Elastic Defend] |
无 |
2 |
|
识别通过命名管道模拟进行的特权提升尝试。攻击者可能会滥用此技术,例如利用 Metasploit 的 meterpreter getsystem 命令。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:特权提升],[资源:调查指南],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:系统],[数据源:Microsoft Defender for Endpoint],[数据源:Sysmon],[数据源:SentinelOne],[数据源:Crowdstrike] |
8.14.0 |
312 |
|
识别通过恶意命名管道模拟进行的特权提升尝试。攻击者可能会通过伪装成已知的命名管道并操纵特权进程连接到该管道来滥用此技术。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:特权提升],[数据源:Sysmon] |
8.14.0 |
206 |
|
识别对 root crontab 文件的修改。攻击者可能会覆盖此文件,通过利用特权文件写入或移动相关的漏洞来获得 root 权限的代码执行。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [战术:特权提升], [数据源:Elastic Defend] |
无 |
106 |
|
识别进程以用户/组 ID 0(root)执行,且实际用户/组 ID 不是 0 的情况。这表明该进程已被授予 SUID/SGID 权限,允许其以提升的权限运行。攻击者可能会利用错误配置进行利用,以将其权限提升到 root,或建立持久性后门。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[策略:权限提升],[策略:持久性],[数据源:Elastic Defend] |
8.16.0 |
105 |
|
识别通过恶意 Windows 目录(Windir)环境变量进行的特权提升尝试。这是一个已知的原语,通常与其他漏洞结合使用以提升权限。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:特权提升],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:Sysmon],[数据源:Microsoft Defender for Endpoint],[数据源:SentinelOne] |
8.14.0 |
308 |
|
识别在短时间内,从同一源地址针对管理员帐户的多次连续登录失败。攻击者通常会尝试使用常见或已知的密码对多个用户进行暴力破解登录尝试,以尝试获取帐户访问权限。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:凭据访问], [资源:调查指南], [数据源:系统] |
8.14.0 |
110 |
|
此规则利用 new_terms 规则类型来识别从不寻常的父进程创建潜在不安全的 docker 容器的情况。攻击者可以使用 |
[域:端点], [域:容器], [操作系统:Linux], [用例:威胁检测], [战术:执行], [数据源:Elastic Defend] |
无 |
2 |
|
识别用于创建提升的子进程的父进程欺骗。攻击者可能会欺骗新进程的父进程标识符 (PPID),以逃避进程监控防御或提升权限。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:特权提升],[数据源:Elastic Defend] |
无 |
7 |
|
已编译的 HTML 文件 (.chm) 通常作为 Microsoft HTML 帮助系统的一部分进行分发。攻击者可能会将恶意代码隐藏在 CHM 文件中,并将其传递给受害者以执行。CHM 内容由 HTML 帮助可执行程序 (hh.exe) 加载。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:执行],[数据源:Elastic Endgame],[资源:调查指南],[数据源:Elastic Defend],[数据源:系统],[数据源:Microsoft Defender for Endpoint],[数据源:Sysmon],[数据源:SentinelOne],[数据源:Crowdstrike] |
8.14.0 |
312 |
|
识别通过 getcap 命令对整个文件系统进行递归进程能力枚举。恶意用户可能会操纵已识别的功能来获得 root 权限。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:发现], [数据源:Elastic Defend], [数据源:Elastic Endgame] |
无 |
2 |
|
此规则检测使用 setcap 实用程序设置进程功能的情况。setcap 实用程序用于设置二进制文件的功能,使其能够在无需以 root 身份运行的情况下执行特权操作。攻击者可以使用此功能通过创建后门来建立持久性,或通过滥用系统上的错误配置来提升权限。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[策略:持久性],[策略:权限提升],[数据源:Elastic Endgame],[数据源:Elastic Defend] |
无 |
1 |
|
识别模拟另一个用户登录会话令牌的进程的创建。攻击者可能会使用不同的令牌创建新进程,以提升权限并绕过访问控制。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:特权提升],[数据源:Elastic Defend] |
无 |
3 |
|
识别以 SYSTEM 身份运行并模拟 Windows 核心二进制文件权限的进程的创建。攻击者可能会使用不同的令牌创建新进程,以提升权限并绕过访问控制。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:特权提升],[数据源:Elastic Defend] |
无 |
6 |
|
识别使用备用凭据创建进程的情况。攻击者可能会使用不同的令牌创建新进程,以提升权限并绕过访问控制。 |
[领域: 端点], [操作系统: Windows], [用例: 威胁检测], [战术: 权限提升], [数据源: 系统] |
8.14.0 |
110 |
|
此规则识别可用于枚举正在运行的进程的命令的执行情况。攻击者可能会枚举进程以识别已安装的应用程序和安全解决方案。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:发现],[规则类型:BBR],[数据源:Elastic Defend],[数据源:Elastic Endgame],[数据源:系统] |
8.14.0 |
106 |
|
识别攻击者可以使用内置工具来发现端点上正在运行的进程的情况。 |
[域:端点],[操作系统:Linux],[操作系统:macOS],[用例:威胁检测],[战术:发现],[规则类型:BBR],[数据源:Elastic Defend],[数据源:Elastic Endgame] |
无 |
3 |
|
识别从可疑的默认 Windows 目录执行进程的情况。攻击者有时会这样做,以将恶意软件隐藏在可信路径中。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:防御逃避],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:系统],[数据源:Microsoft Defender for Endpoint],[数据源:Sysmon],[数据源:SentinelOne] |
8.14.0 |
313 |
|
Elastic Endgame 检测到进程注入。单击 event.module 列中的 Elastic Endgame 图标或 rule.reference 列中的链接以获取更多信息。 |
[数据源:Elastic Endgame],[用例:威胁检测],[战术:特权提升] |
无 |
103 |
|
Elastic Endgame 阻止了进程注入。单击 event.module 列中的 Elastic Endgame 图标或 rule.reference 列中的链接以获取更多信息。 |
[数据源:Elastic Endgame],[用例:威胁检测],[战术:特权提升] |
无 |
103 |
|
MSBuild(Microsoft Build Engine)的一个实例在另一个进程中创建了一个线程。此技术有时用于逃避检测或提升权限。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:防御逃避],[战术:特权提升],[数据源:Sysmon] |
8.14.0 |
207 |
|
每日消息 (MOTD) 是用户通过 SSH 或串行连接连接到 Linux 服务器时呈现给用户的消息。Linux 系统包含多个位于 "/etc/update-motd.d/" 目录中的默认 MOTD 文件。每当用户通过 SSH 或串行连接连接时,这些脚本都会以 root 用户身份运行。攻击者可能会创建恶意的 MOTD 文件,通过执行后门脚本或命令,在每次用户连接到系统时授予他们对目标的持久性。此规则检测通过 MOTD 实用程序执行的潜在恶意进程。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[战术:持久性],[数据源:Elastic Endgame],[资源:调查指南],[数据源:Elastic Defend] |
无 |
10 |
|
识别从临时文件存储范例 (tmpfs) 目录 /var/run 目录中的进程 ID (PID)、锁定或重启文件启动的新进程。在 Linux 上,PID 文件通常保存进程 ID 以跟踪先前运行的副本并管理其他任务。某些 Linux 恶意软件使用 /var/run 目录来保存数据、可执行文件和其他任务,将其自身或这些文件伪装成合法的 PID 文件。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[战术:执行],[威胁:BPFDoor],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:Auditd Manager] |
无 |
109 |
|
识别进程终止事件后紧接着删除其可执行文件的情况。恶意软件工具和攻击者在系统上删除或创建的其他非原生文件可能会留下痕迹以指示发生了什么。删除这些文件可能发生在入侵期间,或者作为入侵后过程的一部分,以最大限度地减少攻击者的足迹。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:防御逃避],[数据源:Elastic Endgame],[资源:调查指南],[数据源:Elastic Defend] |
无 |
110 |
|
识别攻击者包含尾随空格字符来模仿常规文件的情况,伪装他们的活动以逃避默认的文件处理机制。 |
[域:端点],[操作系统:Linux],[操作系统:macOS],[用例:威胁检测],[战术:防御逃避],[规则类型:BBR],[数据源:Elastic Defend],[数据源:Elastic Endgame],[数据源:Auditd Manager] |
无 |
2 |
|
识别从伪装成 Windows Program Files 目录的目录执行的情况。这些路径是可信的,通常托管可信的第三方程序。攻击者可能会利用伪装以及低权限来绕过允许这些文件夹的检测。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:防御规避], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
312 |
|
识别使用 osascript 通过标准输入执行脚本的情况,这些脚本可能会使用恶意对话框提示用户输入凭据。 |
[领域:端点], [操作系统:macOS], [用例:威胁检测], [战术:凭据访问], [数据源:Elastic Defend] |
无 |
208 |
|
此规则监控 ProxyChains 实用程序的执行情况。ProxyChains 是一种命令行工具,它可以通过中间代理路由网络连接,从而增强匿名性并允许访问受限资源。攻击者可以利用 ProxyChains 实用程序隐藏其真实源 IP 地址,逃避检测,并通过一系列代理服务器执行恶意活动,从而可能掩盖他们的身份和意图。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[战术:命令和控制],[数据源:Elastic Defend],[数据源:Elastic Endgame],[数据源:Auditd Manager] |
无 |
4 |
|
识别使用 SysInternals 工具 PsExec.exe 进行网络连接的情况。这可能是横向移动的迹象。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:执行],[战术:横向移动],[资源:调查指南],[数据源:Elastic Defend],[数据源:Sysmon] |
8.14.0 |
209 |
|
检测异常进程 (xattr) 删除隔离属性的行为。在 macOS 中,当应用程序或程序从互联网下载时,会在文件上设置一个隔离标志。此属性会在执行时被 Apple 的 Gatekeeper 防御程序读取。攻击者可能会禁用此属性以逃避防御。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [策略:防御规避], [数据源:Elastic Defend] |
无 |
109 |
|
此规则识别可用于查询 Windows 注册表的命令的执行。攻击者可能会查询注册表以了解关于主机的态势感知,例如已安装的安全软件、程序和设置。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:侦察], [规则类型:BBR], [数据源:Elastic Defend] |
无 |
105 |
|
此规则检测可能表明使用了来自互联网的 RDP 流量的网络事件。RDP 通常被系统管理员用来远程控制系统进行维护或使用共享资源。它几乎不应该直接暴露在互联网上,因为它经常被威胁行为者作为初始访问或后门向量来针对和利用。 |
[策略:命令和控制], [域:端点], [用例:威胁检测], [数据源:PAN-OS] |
无 |
104 |
|
识别启用远程桌面协议 (RDP) 访问的注册表写入修改。这可能表明攻击者正在准备横向移动。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:横向移动], [战术:防御逃避], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne] |
8.14.0 |
312 |
|
识别使用 ROT 密码进行字母替换的 Python 脚本的执行。攻击者可能会使用此方法在合法的 Python 包中编码和混淆部分恶意代码。 |
[域:端点], [操作系统:Windows], [操作系统:macOS], [用例:威胁检测], [战术:防御逃避], [数据源:Elastic Defend] |
无 |
1 |
|
此规则检测可能表明使用了来自互联网的 RPC 流量的网络事件。RPC 通常被系统管理员用来远程控制系统进行维护或使用共享资源。它几乎不应该直接暴露在互联网上,因为它经常被威胁行为者作为初始访问或后门向量来针对和利用。 |
[战术:初始访问], [域:端点], [用例:威胁检测], [数据源:PAN-OS] |
无 |
104 |
|
此规则检测可能表明使用了到互联网的 RPC 流量的网络事件。RPC 通常被系统管理员用来远程控制系统进行维护或使用共享资源。它几乎不应该直接暴露在互联网上,因为它经常被威胁行为者作为初始访问或后门向量来针对和利用。 |
[战术:初始访问], [域:端点], [用例:威胁检测], [数据源:PAN-OS] |
无 |
104 |
|
此规则利用 new_terms 规则类型来识别由异常父进程安装的 RPM 包。RPM 是 Linux 系统(如 Red Hat、CentOS 和 Fedora)中使用的软件包管理系统。攻击可能会在 RPM 包中植入后门以获取初始访问权限,或安装恶意 RPM 包以维持持久性。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[战术:持久性],[数据源:Elastic Defend] |
无 |
2 |
|
Elastic Endgame 检测到勒索软件。单击 event.module 列中的 Elastic Endgame 图标或 rule.reference 列中的链接以获取更多信息。 |
[数据源:Elastic Endgame] |
无 |
103 |
|
Elastic Endgame 阻止了勒索软件。单击 event.module 列中的 Elastic Endgame 图标或 rule.reference 列中的链接以获取更多信息。 |
[数据源:Elastic Endgame] |
无 |
103 |
|
此规则尝试识别从 AWS SecretsManager 快速检索密钥的尝试。攻击者可能会尝试使用 |
[领域: 云], [数据源: AWS], [数据源: 亚马逊云服务], [数据源: AWS Secrets Manager], [战术: 凭证访问], [资源: 调查指南] |
无 |
1 |
|
当从 Rapid7 Threat Command 集成收集的 CVE 与客户环境中发现的漏洞匹配时,将触发此规则。 |
[操作系统:Windows], [数据源:Elastic Endgame], [数据源:Windows], [数据源:网络], [数据源:Rapid7 Threat Command], [规则类型:威胁匹配], [资源:调查指南], [用例:漏洞], [用例:资产可见性], [用例:持续监控] |
8.13.0 |
103 |
|
一个机器学习作业检测到 CloudTrail 消息中出现异常错误。这些可能是尝试或成功持久化、权限提升、防御逃避、发现、横向移动或收集的副产品。 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [规则类型:ML], [规则类型:机器学习], [资源:调查指南] |
无 |
209 |
|
此规则检测通过 SMB 协议进行的罕见的互联网网络连接。SMB 通常用于通过恶意 UNC 路径注入来泄露 NTLM 凭据。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:数据泄露], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne] |
8.14.0 |
208 |
|
一个机器学习作业在身份验证日志中发现了一个不寻常的用户名。不寻常的用户名是检测通过新的或休眠的用户帐户进行的凭证访问的一种方法。不活动的用户帐户(因为用户已离开组织)重新变为活动状态可能是由于使用被盗帐户密码进行的凭证访问。威胁行为者有时也会创建新用户,作为在被入侵的 Web 应用程序中保持持久性的一种手段。 |
[用例:身份和访问审计], [用例:威胁检测], [规则类型:ML], [规则类型:机器学习], [战术:初始访问], [资源:调查指南] |
无 |
105 |
|
检测尝试通过使用 AppCert DLL 创建注册表项来维持持久性的行为。AppCert DLL 由每个使用通用 API 函数创建进程的进程加载。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:持久性], [战术:权限提升], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Microsoft Defender for Endpoint] |
8.14.0 |
412 |
|
AppInit DLL 是动态链接库 (DLL),它们被加载到在 Microsoft Windows 操作系统上创建用户界面(加载 user32.dll)的每个进程中。AppInit DLL 机制用于将自定义代码加载到用户模式进程中,从而允许自定义用户界面和基于 Windows 的应用程序的行为。将这些 DLL 添加到注册表位置的攻击者可以执行具有提升权限的代码,类似于进程注入,并在机器上提供可靠且持久的持久性。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:持久性], [战术:防御逃避], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne] |
8.14.0 |
311 |
|
识别对计算机帐户的 DnsHostName 属性的远程更新。如果设置的新值是有效的域控制器 DNS 主机名,并且主体计算机名称不是域控制器,那么很可能是为了利用 CVE-2022-26923 的准备步骤,试图将权限从标准域用户提升为域管理员权限。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:权限提升], [用例:Active Directory 监控], [数据源:Active Directory], [用例:漏洞], [数据源:系统] |
8.14.0 |
208 |
|
识别使用网络 shell 实用程序 (netsh.exe) 在 Windows 防火墙中启用入站远程桌面协议 (RDP) 连接的行为。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:逃避防御], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
312 |
|
识别尝试从可疑路径打开远程桌面文件的行为。攻击者可能会滥用 RDP 文件进行初始访问。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:初始访问], [战术:命令和控制], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne] |
8.14.0 |
1 |
|
识别由虚拟系统进程创建的文件的执行。这可能表明通过网络文件共享进行横向移动。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:横向移动], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend] |
无 |
114 |
|
识别尝试将远程文件复制到隐藏网络共享的行为。这可能表明横向移动或数据暂存活动。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:横向移动], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
312 |
|
识别通过 TeamViewer 传输会话远程下载的可执行文件或脚本文件。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:命令和控制], [资源:调查指南], [数据源:Elastic Defend], [数据源:SentinelOne] |
8.13.0 |
212 |
|
识别正在使用 desktopimgdownldr 实用程序下载远程文件。攻击者可能会使用 desktopimgdownldr 下载任意文件,作为 certutil 的替代方法。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:命令和控制], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne], [数据源:Sysmon], [数据源:Crowdstrike] |
8.14.0 |
314 |
|
识别正在使用 Windows Defender 配置实用程序 (MpCmdRun.exe) 下载远程文件。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:命令和控制], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
314 |
|
识别正在使用 powershell.exe 从不受信任的远程目标下载可执行文件。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:命令和控制], [资源:调查指南], [数据源:Elastic Defend] |
无 |
110 |
|
识别正在使用内置 Windows 脚本解释器 (cscript.exe 或 wscript.exe) 从远程目标下载可执行文件。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:命令和控制], [战术:执行], [资源:调查指南], [数据源:Elastic Defend], [数据源:Sysmon] |
8.14.0 |
210 |
|
检测使用 systemsetup 命令启用远程 SSH 登录的行为。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [策略:横向移动], [数据源:Elastic Defend] |
无 |
106 |
|
识别在目标主机上创建的远程计划任务。这可能表明攻击者正在横向移动。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:横向移动], [资源:调查指南], [数据源:Elastic Defend], [数据源:Sysmon] |
8.14.0 |
210 |
|
识别来自远程源的计划任务创建。这可能表明攻击者正在横向移动。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:横向移动], [数据源:系统] |
8.14.0 |
109 |
|
使用内置命令发现远程系统信息,这些信息可能被用于横向移动。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:发现], [资源:调查指南], [数据源:Elastic Defend], [数据源:Elastic Endgame], [规则类型:BBR] |
8.14.0 |
214 |
|
识别网络登录,随后使用相同的 LogonId 创建 Windows 服务。这可能表明横向移动,但如果管理员经常这样做,则会产生噪音。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:横向移动], [战术:持久性], [数据源:系统] |
8.14.0 |
107 |
|
识别通过 Microsoft Office 进程使用 Microsoft.XMLDOM COM 接口执行托管的 XSL 脚本的行为。此行为可能表示敌对活动,旨在在系统上执行恶意 JScript 或 VBScript。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:初始访问],[策略:防御规避],[数据源:Elastic Defend] |
无 |
3 |
|
识别通过远程过程调用 (RPC) 远程执行 Windows 服务的情况。这可能表明横向移动,但如果管理员经常这样做,则会产生大量噪声。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:横向移动], [资源:调查指南], [数据源:Elastic Defend], [数据源:Sysmon] |
8.14.0 |
213 |
|
识别可疑的 AutoIt 进程执行。编写为 AutoIt 脚本的恶意软件倾向于重命名 AutoIt 可执行文件以避免检测。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:防御规避],[数据源:Elastic Endgame],[资源:调查指南],[数据源:Elastic Defend],[数据源:Sysmon],[数据源:Microsoft Defender for Endpoint] |
8.14.0 |
211 |
|
识别进程名称为单个字符,与原始文件名不同的进程执行。这通常是攻击者在分阶段、执行临时实用程序或试图绕过基于进程名称的安全检测时所为。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:防御规避],[数据源:Elastic Endgame],[资源:调查指南],[数据源:Elastic Defend],[数据源:Sysmon],[数据源:Microsoft Defender for Endpoint] |
8.14.0 |
210 |
|
此规则检测 Linux 系统上根证书的安装。攻击者可能会在受感染的系统上安装根证书,以避免在连接到其命令和控制服务器时发出警告。根证书在公钥密码术中用于识别根证书颁发机构 (CA)。安装根证书后,系统或应用程序将信任根信任链中已由根证书签名的证书。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:防御规避], [数据源:Elastic Defend] |
无 |
2 |
|
识别 GDB(被授予 CAP_SYS_PTRACE 功能)执行的实例,之后由 UID/GID 0(root)发起出站网络连接。在 Linux 中,CAP_SYS_PTRACE 功能授予进程使用 ptrace 系统调用的能力,该系统调用通常用于调试,并允许进程跟踪和控制其他进程。攻击者可能会利用此功能来钩住并注入具有 root 权限运行的进程,以便执行 shell 代码并获得具有 root 权限的反向 shell。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[策略:特权提升],[策略:执行],[策略:命令和控制],[数据源:Elastic Defend] |
无 |
2 |
|
检测内部主机从 Internet 下载的 Roshal 存档 (RAR) 文件或 PowerShell 脚本。获得对系统的初始访问权限,然后下载编码或加密的工具以进行横向移动是攻击者的一种常见做法,作为保护其更有价值的工具和策略、技术和程序 (TTP) 的一种方式。对于托管网络来说,这可能是非典型的行为,可能表明存在恶意软件、数据泄露或命令和控制。 |
[用例:威胁检测], [战术:命令和控制], [域:端点], [数据源:PAN-OS] |
无 |
104 |
|
识别何时删除 Route53 解析器查询日志配置。删除 Route53 解析器查询日志配置后,解析器将停止记录指定配置的 DNS 查询和响应。攻击者可能会删除查询日志配置以逃避检测或掩盖其踪迹。 |
[域:云],[数据源:AWS],[数据源:Amazon Web Services],[数据源:Amazon Route53],[用例:日志审计],[资源:调查指南],[策略:防御规避] |
无 |
2 |
|
此规则检测 SELinux 配置文件的创建或重命名。SELinux 是一个安全模块,提供访问控制安全策略。修改 SELinux 配置文件可能表示试图通过禁用或修改安全工具来损害防御。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:防御规避], [数据源:Elastic Endgame], [数据源:Elastic Defend] |
无 |
1 |
|
识别对注册的主题接口包 (SIP) 提供程序的修改。Windows 加密系统使用 SIP 提供程序来验证系统上的文件签名。这可能是试图绕过签名验证检查或将代码注入到关键进程中。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:防御规避],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:Sysmon],[数据源:Microsoft Defender for Endpoint],[数据源:SentinelOne] |
8.14.0 |
310 |
|
此规则检测可能表明使用到 Internet 的 Windows 文件共享(也称为 SMB 或 CIFS)流量的网络事件。SMB 通常在网络内部用于在受信任的系统之间共享文件、打印机和其他系统资源。它几乎永远不应该直接暴露给 Internet,因为它经常被威胁行为者作为初始访问或后门向量或数据泄露的目标和利用。 |
[战术:初始访问], [域:端点], [用例:威胁检测], [数据源:PAN-OS] |
无 |
104 |
|
识别可能可疑的进程,这些进程不受信任或利用环境的二进制文件 (LOLBin) 通过端口 445 建立服务器消息块 (SMB) 网络连接。Windows 文件共享通常通过 SMB 实现,SMB 在主机之间使用端口 445 进行通信。合法连接通常由内核(PID 4)建立。此规则有助于检测可能是端口扫描程序、漏洞利用程序或试图通过利用 SMB 连接在网络内进行横向移动的用户级进程。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:横向移动], [资源:调查指南], [数据源:Elastic Defend] |
无 |
112 |
|
此规则检测可能表明在 TCP 端口 26 上使用 SMTP 的事件。此端口通常由多个流行的邮件传输代理使用,以避免与默认 SMTP 端口 25 冲突。此端口也被一个名为 BadPatch 的恶意软件家族用于 Windows 系统的命令和控制。 |
[策略:命令和控制], [域:端点], [用例:威胁检测], [数据源:PAN-OS] |
无 |
105 |
|
安全外壳 (SSH) authorized_keys 文件指定允许哪些用户使用公钥身份验证登录服务器。攻击者可能会修改它,通过添加自己的公钥来在受害者主机上保持持久性。 |
[域:端点],[操作系统:Linux],[操作系统:macOS],[用例:威胁检测],[策略:横向移动],[策略:持久性],[数据源:Elastic Defend] |
无 |
206 |
|
此规则检测在容器内部创建或修改 authorized_keys 或 sshd_config 文件。安全外壳 (SSH) authorized_keys 文件指定允许哪些用户使用公钥身份验证登录服务器。攻击者可能会修改它,通过添加自己的公钥来在受害者主机上保持持久性。容器内部意外和未经授权的 SSH 使用可能表示存在风险,应进行调查。 |
[数据源:Elastic Defend for Containers],[域:容器],[操作系统:Linux],[用例:威胁检测],[策略:持久性],[策略:横向移动] |
无 |
3 |
|
此规则检测在正在运行的容器内部建立的传入 SSH 连接。应避免在容器内部运行 ssh 守护进程,并在必要时密切监控。如果攻击者获得有效的凭据,他们可以使用它来获得初始访问权限或在受感染的环境中建立持久性。 |
[数据源:Elastic Defend for Containers],[域:容器],[操作系统:Linux],[用例:威胁检测],[策略:初始访问],[策略:横向移动] |
无 |
2 |
|
此规则识别使用 ssh-keygen 工具创建 SSH 密钥的情况,该工具是用于生成 SSH 密钥的标准实用程序。用户通常创建 SSH 密钥以使用远程服务进行身份验证。但是,威胁行为者可以利用此工具在网络中横向移动或通过生成未经授权的 SSH 密钥来保持持久性,从而授予他们对系统的 SSH 访问权限。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[策略:横向移动],[策略:持久性],[数据源:Elastic Endgame],[数据源:Elastic Defend] |
无 |
3 |
|
此规则检测从容器内部执行的 SSH 或 SSHD 进程。这包括客户端 ssh 二进制文件和服务器 ssh 守护进程进程。应避免在容器内部使用 SSH,并在必要时密切监控。通过有效的凭据,攻击者可能会横向移动到其他容器或通过容器突破移动到基础主机。他们还可以使用有效的 SSH 凭据作为持久性机制。 |
[数据源:Elastic Defend for Containers],[域:容器],[操作系统:Linux],[用例:威胁检测],[策略:横向移动],[策略:持久性] |
无 |
2 |
|
此规则检测 Linux 系统上 SSL 证书的删除。攻击者可能会删除 SSL 证书以破坏信任控制并对系统产生负面影响。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[策略:防御规避],[策略:影响],[数据源:Elastic Defend] |
无 |
1 |
|
识别 AWS 资源通过 SSM 建立到 EC2 实例的会话的首次发生。攻击者可能会使用 AWS Systems Manager 建立到 EC2 实例的会话以在该实例上执行命令。这可用于获得对实例的访问权限并执行诸如特权提升之类的操作。此规则有助于检测给定 AWS 资源的此活动的首次发生。 |
[域:云],[数据源:AWS],[数据源:Amazon Web Services],[数据源:AWS SSM],[用例:威胁检测],[策略:横向移动] |
无 |
1 |
|
攻击者可能会向文件或目录添加 setuid 或 setgid 位,以便使用所有者用户或组的权限运行文件。攻击者可以利用这一点来执行 shell 转义或利用具有 setuid 或 setgid 位的应用程序中的漏洞,以便在不同用户的上下文中运行代码。此外,攻击者可以在他们自己的恶意软件上使用此机制,以确保他们将来能够在提升的上下文中执行。 |
[域:端点],[操作系统:Linux],[操作系统:macOS],[用例:威胁检测],[策略:特权提升],[数据源:Elastic Defend] |
无 |
105 |
|
此规则监视结合 SUID 和 SGUID 权限参数使用“find”命令的情况。SUID(设置用户 ID)和 SGID(设置组 ID)是 Linux 中的特殊权限,允许程序使用文件所有者或组的权限(而不是运行程序用户的权限)执行。如果攻击者能够枚举并找到配置错误的二进制文件,他们可能能够利用此错误配置,通过利用特权程序中的漏洞或内置功能来提升特权。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[策略:发现],[策略:特权提升],[数据源:Elastic Defend] |
无 |
6 |
|
被称为 SUNBURST 的恶意软件以 SolarWind 的 Orion 商业软件为目标进行命令和控制。此规则检测 SUNBURST 后门的后利用命令和控制活动。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:命令和控制], [资源:调查指南], [数据源:Elastic Defend] |
无 |
108 |
|
计划任务是通过 cscript.exe、wscript.exe 或 powershell.exe 由 Windows 脚本创建的。攻击者可以滥用它来建立持久性。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:持久性],[策略:执行],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:Sysmon] |
8.14.0 |
208 |
|
检测组策略对象属性的修改,以在 GPO 控制的对象中执行计划任务。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:权限提升], [战术:横向移动], [数据源:Active Directory], [资源:调查指南], [用例:Active Directory 监控], [数据源:系统] |
8.14.0 |
212 |
|
识别通过注册表启用 Windows 计划任务 AT 命令的尝试。攻击者可能使用此方法进行横向移动或本地持久化。自 Windows 8 和 Windows Server 2012 以来,AT 命令已被弃用,但仍保留以实现向后兼容。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [战术:执行], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne] |
8.14.0 |
310 |
|
识别由 ScreenConnect 服务器进程 (ScreenConnect.Service.exe) 生成的可疑进程。此活动可能表明存在利用活动或对现有 Web Shell 后门的访问。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:初始访问], [战术:执行], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
203 |
|
识别当屏幕保护程序 plist 文件被意外进程修改时。攻击者可以通过创建恶意屏幕保护程序 (.saver) 文件并配置屏幕保护程序 plist 文件,使其在每次激活屏幕保护程序时执行代码,从而在 macOS 端点上保持持久性。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [策略:持久性], [数据源:Elastic Defend] |
无 |
107 |
|
识别使用 Windows 实用程序 rundll32.exe 或 mshta.exe 通过 HTML 应用程序执行脚本。攻击者可以通过使用签名二进制文件代理执行恶意内容来绕过基于进程和/或签名的防御。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [数据源:系统], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Microsoft Defender for Endpoint] |
8.14.0 |
201 |
|
识别以 SYSTEM 身份运行并模拟 Windows 核心二进制文件权限的进程的创建。攻击者可能会使用不同的令牌创建新进程,以提升权限并绕过访问控制。 |
[领域: 端点], [操作系统: Windows], [用例: 威胁检测], [战术: 权限提升], [数据源: 系统] |
8.14.0 |
108 |
|
Windows 凭据管理器允许您创建、查看或删除用于登录网站、连接的应用程序和网络的已保存凭据。攻击者可能会滥用此功能来列出或转储凭据管理器中存储的已保存用户名和密码。这也可以在准备横向移动时执行。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:凭据访问], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
312 |
|
此规则检测 Linux 系统上通过常用实用程序对敏感安全文件的访问。攻击者可能会尝试使用常用实用程序读取敏感文件,以收集有关系统及其安全配置的信息。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[策略:发现],[数据源:Elastic Defend] |
无 |
1 |
|
识别使用 Windows Management Instrumentation Command (WMIC) 来发现某些系统安全设置,例如防病毒或主机防火墙详细信息。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:发现], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [规则类型:BBR], [数据源:系统] |
8.14.0 |
214 |
|
识别使用 grep 命令来发现已知的第三方 macOS 和 Linux 安全工具,例如防病毒或主机防火墙详细信息。 |
[域:端点], [操作系统:macOS], [操作系统:Linux], [用例:威胁检测], [战术:发现], [资源:调查指南], [数据源:Elastic Defend] |
无 |
110 |
|
监视内核日志中的段错误消息。段错误或分段错误是指当程序尝试访问它无权访问的内存位置时发生的错误,通常会导致程序终止。如果段错误是由于试图利用软件中的缓冲区溢出或其他漏洞来执行任意代码或中断其正常运行而导致的,则可能表明存在恶意行为。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:执行], [规则类型:BBR] |
无 |
1 |
|
识别使用压缩实用程序来收集包含敏感信息(例如凭据和系统配置)的已知文件的行为。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:收集], [战术:凭据访问], [数据源:Elastic Endgame], [数据源:Elastic Defend] |
无 |
208 |
|
识别使用压缩实用程序来收集容器内包含敏感信息(例如凭据和系统配置)的已知文件。 |
[数据源:用于容器的 Elastic Defend], [域:容器], [操作系统:Linux], [用例:威胁检测], [战术:收集], [战术:凭据访问] |
无 |
2 |
|
此规则检测使用系统搜索实用程序(如 grep 和 find)在容器内搜索私有 SSH 密钥或密码的行为。未经授权访问这些敏感文件可能会导致容器环境进一步泄露或促进容器突破到基础主机。 |
[数据源:容器的 Elastic Defend], [域:容器], [操作系统:Linux], [用例:威胁检测], [战术:凭证访问] |
无 |
2 |
|
识别向用户分配 SeEnableDelegationPrivilege 敏感“用户权限”的行为。SeEnableDelegationPrivilege“用户权限”使计算机和用户帐户能够被信任进行委派。攻击者可以滥用此权限来破坏 Active Directory 帐户并提升其权限。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:凭据访问], [战术:持久性], [数据源:Active Directory], [资源:调查指南], [用例:Active Directory 监控], [数据源:系统] |
8.14.0 |
213 |
|
识别尝试从注册表备份文件夹访问包含凭据的敏感注册表配置单元的行为。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:凭据访问], [资源:调查指南], [数据源:Elastic Defend] |
无 |
2 |
|
识别使用 sc.exe 在远程主机上创建、修改或启动服务的行为。这可能表明攻击者横向移动,但如果管理员常用,则会很嘈杂。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:横向移动], [数据源:Elastic Defend], [数据源:Sysmon] |
8.14.0 |
207 |
|
识别从脚本解释器进程生成服务控制 (sc.exe) 以创建、修改或启动服务的行为。这可能表明尝试提升权限或保持持久性。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:权限提升], [战术:防御规避], [战术:执行], [数据源:Elastic Endgame], [资源:调查指南], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Crowdstrike] |
8.14.0 |
213 |
|
识别可疑的本地成功登录事件,其中登录包为 Kerberos,远程地址设置为 localhost,然后使用同一 LogonId 创建服务。这可能表明尝试利用 Kerberos 中继攻击变体,该变体可用于将域加入用户的本地权限提升为本地系统权限。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:权限提升], [战术:凭据访问], [用例:Active Directory 监控], [数据源:Active Directory], [数据源:系统] |
8.14.0 |
206 |
|
识别对服务进行 DACL 修改以拒绝访问,使其无法停止,或将其隐藏在系统和用户中。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Microsoft Defender for Endpoint], [数据源:Crowdstrike] |
8.14.0 |
204 |
|
识别尝试使用 services.exe 以外的进程修改服务启动设置的行为。攻击者可能会尝试修改安全和监控服务,以避免检测或延迟响应。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [数据源:Elastic Endgame], [数据源:Elastic Defend], [规则类型:BBR] |
无 |
3 |
|
识别尝试通过异常进程修改服务路径的行为。攻击者可能会尝试修改现有服务以实现持久性或权限提升。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [数据源:Elastic Endgame], [数据源:Elastic Defend], [规则类型:BBR], [数据源:Sysmon] |
8.14.0 |
105 |
|
识别尝试使用 sc.exe 修改服务路径设置的行为。攻击者可能会尝试修改现有服务以实现持久性或权限提升。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [数据源:Elastic Endgame], [数据源:Elastic Defend], [规则类型:BBR], [数据源:Sysmon], [数据源:系统] |
8.14.0 |
106 |
|
此规则监视通过 setcap 添加 cap_setuid+ep 或 cap_setgid+ep 功能的行为。Setuid (Set User ID) 和 setgid (Set Group ID) 是类 Unix 操作系统功能,使进程能够根据文件所有者或组以提升的权限运行。威胁行动者可以利用这些属性通过创建恶意二进制文件来实现持久性,从而使他们能够以提升的权限保持对受感染系统的控制。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:持久性], [数据源:Elastic Defend], [数据源:Elastic Endgame] |
无 |
6 |
|
此规则监视 Linux Shadow 文件修改。这些修改表明可能发生密码更改或用户添加事件。威胁行动者可能会尝试创建新用户或更改用户帐户的密码,以保持对系统的访问。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:持久性], [战术:权限提升], [数据源:Elastic Defend] |
无 |
2 |
|
识别上传到 SharePoint 的文件被文件扫描引擎检测为恶意软件的情况。攻击者可以使用文件共享和组织存储库在公司内部横向传播并扩大其访问权限。用户可能会在不知情的情况下无意中共享这些文件,从而使攻击者有机会获得对环境中其他端点的初始访问权限。 |
[域:云], [数据源:Microsoft 365], [战术:横向移动] |
无 |
206 |
|
此规则监控先前未知进程创建共享对象文件的行为。创建共享对象文件涉及将代码编译成一个动态链接库,该库可以在运行时被其他程序加载。虽然此过程通常用于合法目的,但恶意行为者可以利用共享对象文件来执行未经授权的代码,将恶意功能注入合法进程,或绕过安全控制。这使得恶意软件能够在系统上持久存在,逃避检测,并可能损害受影响系统及其数据的完整性和机密性。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:持久化], [数据源:Elastic Endgame], [数据源:Elastic Defend] |
无 |
9 |
|
此规则监控 shell 配置文件的创建/更改。Unix 系统使用 shell 配置文件来设置环境变量、创建别名和自定义用户环境。攻击者可能会修改或添加 shell 配置文件以执行恶意代码并在系统中获得持久性。此行为与 Kaiji 恶意软件家族一致。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[战术:持久性],[数据源:Elastic Defend] |
无 |
5 |
|
识别通过脚本(JXA 或 AppleScript)执行 shell 进程 (sh) 的行为。攻击者可能会使用 JXA 中的 doShellScript 功能或 AppleScript 中的 do shell script 来执行系统命令。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [策略:执行], [数据源:Elastic Defend] |
无 |
107 |
|
识别写入或修改在启动文件夹中的快捷方式文件。攻击者可能会使用此技术来保持持久性。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:持久性], [数据源:Elastic Defend], [规则类型:BBR] |
无 |
2 |
|
识别使用 Windows 工作文件夹在当前工作目录中执行一个可能伪装的 control.exe 文件。滥用 Windows 工作文件夹可能表明存在恶意活动。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:防御规避], [资源:调查指南], [数据源:Elastic Endgame], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
310 |
|
识别使用内置 defaults 命令对 SoftwareUpdate 首选项进行的更改。攻击者可能会滥用此功能,试图禁用安全更新。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [策略:防御规避], [数据源:Elastic Defend] |
无 |
106 |
|
识别 SolarWinds 二进制文件修改服务启动类型以禁用服务。攻击者可能会滥用此技术来操纵相关的安全服务。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:防御规避], [策略:初始访问], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne] |
8.14.0 |
311 |
|
一个机器学习作业检测到 CloudTrail 消息中特定错误率的显著激增。错误消息激增可能伴随着特权升级、横向移动或发现的尝试。 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [规则类型:ML], [规则类型:机器学习], [资源:调查指南] |
无 |
209 |
|
一个机器学习作业检测到写入外部设备的高字节数据量。在典型的操作环境中,通常存在可预测的模式或写入外部设备的特定数据范围。写入的异常大量数据是不正常的,可能表明存在非法数据复制或传输活动。 |
[用例:数据泄露检测], [规则类型:ML], [规则类型:机器学习], [策略:泄露] |
无 |
4 |
|
一个机器学习作业检测到通过 Airdrop 写入外部设备的高字节数据量。在典型的操作环境中,通常存在可预测的模式或写入外部设备的特定数据范围。写入的异常大量数据是不正常的,可能表明存在非法数据复制或传输活动。 |
[用例:数据泄露检测], [规则类型:ML], [规则类型:机器学习], [策略:泄露] |
无 |
4 |
|
一个机器学习作业发现身份验证失败事件异常激增。这可能是由于密码喷洒、用户枚举或暴力破解活动造成的,并且可能是账户接管或凭据访问的先兆。 |
[用例:身份和访问审计], [用例:威胁检测], [规则类型:ML], [规则类型:机器学习], [策略:凭据访问], [资源:调查指南] |
无 |
105 |
|
一个机器学习作业检测到网络访问控制列表 (ACL) 或防火墙规则拒绝的网络流量异常激增。这种突发的被拒绝流量通常是由以下原因造成的:1) 配置错误的应用程序或防火墙;2) 可疑或恶意活动。为了连接到命令和控制 (C2) 或进行数据泄露,网络传输尝试失败可能会产生突发的失败连接。这也可能是由于异常大量的侦察或枚举流量造成的。拒绝服务攻击或流量洪水也可能导致此类流量激增。 |
[用例:威胁检测], [规则类型:ML], [规则类型:机器学习] |
无 |
104 |
|
一个机器学习作业发现成功身份验证事件异常激增。这可能是由于密码喷洒、用户枚举或暴力破解活动造成的。 |
[用例:身份和访问审计], [用例:威胁检测], [规则类型:ML], [规则类型:机器学习], [策略:凭据访问] |
无 |
104 |
|
一个机器学习作业检测到网络流量异常激增。如果这种流量突增不是由业务活动激增造成的,则可能是由于可疑或恶意活动造成的。大规模数据泄露可能会产生突发的网络流量;这也可能是由于异常大量的侦察或枚举流量造成的。拒绝服务攻击或流量洪水也可能导致此类流量激增。 |
[用例:威胁检测], [规则类型:ML], [规则类型:机器学习] |
无 |
104 |
|
一个机器学习作业检测到网络日志中到一个目标国家/地区的网络活动异常激增。这可能是由于异常大量的侦察或枚举流量造成的。数据泄露活动也可能导致流量激增到通常不会出现在网络流量或业务工作流程中的目标国家/地区。恶意软件实例和持久性机制可能会与其原产国的命令和控制 (C2) 基础设施通信,这对于源网络来说可能是一个不寻常的目标国家/地区。 |
[用例:威胁检测], [规则类型:ML], [规则类型:机器学习] |
无 |
105 |
|
一个机器学习作业检测到大量目标 IP 正在与单个源 IP 建立 RDP 连接。一旦攻击者获得对一个系统的访问权限,他们可能会尝试访问网络中的更多系统,以寻找有价值的资产、数据或进一步的访问点。 |
[用例:横向移动检测],[规则类型:ML],[规则类型:机器学习],[战术:横向移动] |
无 |
4 |
|
一个机器学习作业检测到大量源 IP 正在与单个目标 IP 建立 RDP 连接。攻击者可能会使用多个受感染的系统来攻击目标,以确保在检测到并阻止源 IP 的情况下具有冗余性。 |
[用例:横向移动检测],[规则类型:ML],[规则类型:机器学习],[战术:横向移动] |
无 |
4 |
|
一个机器学习作业检测到单个 RDP 会话中启动的进程数量异常高。在其他计算机上远程执行大量进程可能是横向移动活动的指标。 |
[用例:横向移动检测],[规则类型:ML],[规则类型:机器学习],[战术:横向移动] |
无 |
4 |
|
一个机器学习作业检测到主机上共享的远程文件量异常,表明可能存在横向移动活动。攻击者在获得对网络的访问权限后的主要目标之一是定位和泄露有价值的信息。攻击者可能会执行多次小型传输以匹配网络中的正常出口活动,从而逃避检测。 |
[用例:横向移动检测],[规则类型:ML],[规则类型:机器学习],[战术:横向移动] |
无 |
4 |
|
一个机器学习作业发现来自特定源 IP 地址的成功身份验证事件异常激增。这可能是由于密码喷洒、用户枚举或暴力破解活动造成的。 |
[用例:身份和访问审计], [用例:威胁检测], [规则类型:ML], [规则类型:机器学习], [策略:凭据访问], [策略:防御规避], [资源:调查指南] |
无 |
105 |
|
识别未签名进程写入或修改在启动文件夹中的文件。攻击者可能会滥用此技术来在环境中保持持久性。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:持久性], [策略:防御规避], [资源:调查指南], [数据源:Elastic Defend] |
无 |
109 |
|
识别常用滥用的进程写入或修改在启动文件夹中的文件。攻击者可能会使用此技术来保持持久性。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:持久性], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne] |
8.14.0 |
311 |
|
识别运行键或启动键注册表修改。为了在重新启动和其他系统中断后仍然存在,攻击者将修改注册表中的运行键或利用启动文件夹项作为一种持久性形式。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:持久性], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend] |
无 |
113 |
|
检测修改组策略对象 (GPO) 以向用户或计算机对象添加启动/登录脚本的行为。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:特权提升],[数据源:Active Directory],[资源:调查指南],[用例:Active Directory 监控],[数据源:系统] |
8.14.0 |
211 |
|
一个统计模型已识别出命令和控制 (C2) 信标活动。信标可以帮助攻击者保持与其 C2 服务器的隐蔽通信、接收指令和有效负载、泄露数据并保持在网络中的持久性。 |
[域:网络], [用例:C2 信标检测], [策略:命令和控制] |
无 |
6 |
|
一个统计模型已以高置信度识别出命令和控制 (C2) 信标活动。信标可以帮助攻击者保持与其 C2 服务器的隐蔽通信、接收指令和有效负载、泄露数据并保持在网络中的持久性。 |
[域:网络], [用例:C2 信标检测], [策略:命令和控制] |
无 |
5 |
|
检测 Windows 主机上的一系列可疑活动,这些活动表明凭据泄露,随后会尝试破坏 Okta 用户帐户的多因素身份验证 (MFA) 和单点登录 (SSO) 机制。 |
[策略:持久性], [用例:身份和访问审计], [数据源:Okta], [数据源:Elastic Defend], [规则类型:高阶规则], [域:端点], [域:云] |
8.15.0 |
205 |
|
攻击者可能会创建或修改 Sublime 应用程序插件或脚本,以便在每次启动 Sublime 应用程序时执行恶意负载。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [策略:持久性], [数据源:Elastic Defend] |
无 |
108 |
|
检测到来自用户代理字符串标识的未知或“未知”客户端设备的 Okta 应用程序的成功单点登录 (SSO) 事件。此活动可能表明 Okta Classic Engine 中存在漏洞,该漏洞可能允许攻击者绕过应用程序特定的登录策略,例如设备或网络限制。该漏洞可能会允许仅使用有效的被盗凭据即可未经授权访问应用程序,而无需额外的身份验证因素。 |
[域:SaaS], [数据源:Okta], [用例:威胁检测], [用例:身份和访问审计], [策略:初始访问] |
8.15.0 |
204 |
|
此规则监控 sudo -l 命令的使用情况,该命令用于列出调用用户允许和禁止的命令。攻击者可能会执行此命令来枚举允许使用 sudo 权限执行的命令,从而可能将权限提升到 root 用户。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[策略:发现],[数据源:Elastic Defend] |
无 |
6 |
|
识别在类 Unix 系统中尝试利用 Sudo 二进制文件的基于堆的缓冲区溢出漏洞 (CVE-2021-3156) 的行为。成功利用漏洞允许非特权用户提升为 root 用户。 |
[域:端点], [操作系统:Linux], [操作系统:macOS], [用例:威胁检测], [策略:特权提升], [用例:漏洞], [数据源:Elastic Defend] |
无 |
104 |
|
sudoers 文件指定了用户或组可以从哪些终端运行哪些命令。攻击者可以利用这些配置以其他用户身份执行命令或生成具有更高权限的进程。 |
[域:端点],[操作系统:Linux],[操作系统:macOS],[用例:威胁检测],[策略:特权提升],[数据源:Elastic Defend] |
无 |
205 |
|
识别具有可疑父进程的 .NET 编译器的执行,这可能表明攻击者在交付后尝试编译代码以绕过安全机制。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [战术:执行], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
312 |
|
检测在 PowerShell 脚本中使用 Reflection.Assembly 在内存中加载 PE 和 DLL 的行为。攻击者使用此方法加载可执行文件和 DLL,而无需写入磁盘,从而绕过安全解决方案。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:防御规避],[策略:执行],[资源:调查指南],[数据源:PowerShell 日志] |
8.14.0 |
316 |
|
监控 /proc//maps 文件的读取。Linux 中的 /proc//maps 文件提供了特定进程的内存映射,详细说明了内存段、权限以及哪些文件映射到这些段。攻击者可能会读取进程的内存映射,以识别用于代码注入或进程劫持的内存地址。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[策略:发现],[数据源:Elastic Defend] |
无 |
2 |
|
检测由 APT 包管理器执行的可疑进程事件,可能表明通过 APT 后门实现持久性。在 Linux 中,APT(高级包工具)是一个命令行实用程序,用于处理基于 Debian 的系统上的软件包,提供安装、更新、升级和删除软件以及管理软件包存储库的功能。攻击者可以通过将恶意代码注入 APT 运行的脚本中来后门化 APT,从而确保每次使用 APT 进行软件包管理时都能获得持续的未授权访问或控制。 |
[域: 终端], [操作系统: Linux], [用例: 威胁检测], [战术: 持久性], [战术: 执行], [战术: 防御规避], [数据源: Elastic Defend] |
无 |
4 |
|
检测由 APT 包管理器执行的可疑网络事件,可能表明通过 APT 后门实现持久性。在 Linux 中,APT(高级包工具)是一个命令行实用程序,用于处理基于 Debian 的系统上的软件包,提供安装、更新、升级和删除软件以及管理软件包存储库的功能。攻击者可以通过将恶意代码注入 APT 运行的脚本中来后门化 APT,从而确保每次使用 APT 进行软件包管理时都能获得持续的未授权访问或控制。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[策略:持久性],[策略:命令和控制],[策略:防御规避],[数据源:Elastic Defend] |
无 |
4 |
|
识别对大量 Active Directory 对象属性的读取访问。了解对象属性可以帮助攻击者查找漏洞、提升权限或收集敏感信息。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:发现],[数据源:系统],[数据源:Active Directory],[数据源:Windows] |
8.14.0 |
102 |
|
检测用户何时报告其 Okta 帐户的可疑活动。应该调查这些事件,因为它们可以帮助安全团队识别攻击者何时试图访问其网络。 |
[用例:身份和访问审计], [数据源:Okta], [战术:初始访问] |
8.15.0 |
409 |
|
识别在不寻常位置创建的反恶意软件扫描接口 (AMSI) DLL。这可能表明试图通过加载一个恶意 AMSI 模块而不是合法的模块来绕过 AMSI。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:防御规避],[数据源:Elastic Endgame],[资源:调查指南],[数据源:Elastic Defend],[数据源:Sysmon],[数据源:SentinelOne],[数据源:Microsoft Defender for Endpoint] |
8.14.0 |
313 |
|
识别 Automator 工作流进程的执行,随后是其 XPC 服务的网络连接。攻击者可能会删除一个自定义的工作流模板,该模板托管恶意的 JavaScript for Automation (JXA) 代码,作为使用 osascript 的替代方案。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [策略:执行], [数据源:Elastic Defend] |
无 |
106 |
|
识别可疑的浏览器子进程的执行。攻击者可能会通过用户在正常浏览过程中访问网站来获取对系统的访问权限。使用此技术,用户的 Web 浏览器通常是攻击的目标。 |
[域:端点],[操作系统:macOS],[用例:威胁检测],[策略:初始访问],[策略:执行],[数据源:Elastic Defend] |
无 |
107 |
|
识别不寻常进程对日历文件的可疑修改。攻击者可能会创建一个自定义的日历通知程序,以定期执行恶意程序,从而建立持久性。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [策略:持久性], [数据源:Elastic Defend] |
无 |
106 |
|
识别正在与 certutil.exe 一起使用的可疑命令。CertUtil 是 Windows 的原生组件,是证书服务的一部分。攻击者经常滥用 CertUtil 来进行更隐蔽的命令和控制或数据泄露。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:逃避防御], [数据源:Elastic Endgame], [资源:调查指南], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
311 |
|
检测试图利用与负责安装更新的 Adobe Acrobat Reader PrivilegedHelperTool 相关的特权提升漏洞的行为。有关更多信息,请参阅 CVE-2020-9615、CVE-2020-9614 和 CVE-2020-9613,并验证受影响的系统是否已修补。 |
[域:端点],[操作系统:macOS],[用例:威胁检测],[策略:特权提升],[用例:漏洞],[数据源:Elastic Defend] |
无 |
106 |
|
识别通过远程主机上的 Windows Management Instrumentation (WMI) 执行的可疑命令 (cmd)。这可能表明攻击者横向移动。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:执行], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
314 |
|
识别通信应用程序的可疑子进程,这可能表明潜在的伪装成通信应用程序或应用程序上的漏洞导致其执行代码。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [战术:持久性], [规则类型:BBR], [数据源:Elastic Defend] |
无 |
5 |
|
识别何时从文件中提取可疑内容,然后使用 funzip 实用程序将其解压缩。恶意软件可能会使用 "-c" 选项执行 tail 实用程序,以从文件末尾读取一系列字节。tail 的输出可以通过管道传递给 funzip,以便在执行之前解压缩恶意代码。此行为与 Bundlore 等恶意软件家族一致。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:执行], [数据源:Elastic Endgame], [数据源:Elastic Defend] |
无 |
5 |
|
识别尝试通过非 crontab 的进程(即 python、osascript 等)创建或修改 crontab 的行为。此活动不应高度普遍,可能表明威胁行动者将 cron 用作持久性机制。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [策略:持久性], [数据源:Elastic Defend] |
无 |
106 |
|
识别加载默认 Windows 安装中缺失的非 Microsoft 签名的 DLL(幻像 DLL)或本机 Windows 进程可以从不同位置加载的 DLL。这可能会被滥用来通过特权文件写入漏洞来持久化或提升特权。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:持久性],[策略:特权提升],[策略:防御规避],[资源:调查指南],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:Sysmon] |
8.14.0 |
213 |
|
识别何时使用 openssl 命令行实用程序在短时间内加密主机上的多个文件。攻击者可能会加密单个或多个系统上的数据,以扰乱其目标数据的可用性,并可能试图以勒索为目的扣留组织的数据以进行勒索。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:影响], [数据源:Elastic Defend] |
无 |
6 |
|
监控通过 od 实用程序进行动态链接器发现的行为。od(八进制转储)是 Unix 操作系统中的一个命令行实用程序,用于以各种格式(包括八进制、十六进制、十进制和 ASCII)显示数据,主要用于检查和调试二进制文件或数据流。攻击者可以利用 od 分析动态链接器,方法是识别注入点并根据这些文件中观察到的行为和结构制作漏洞利用程序。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:侦察], [数据源:Elastic Defend], [数据源:Elastic Endgame], [数据源:Auditd Manager] |
无 |
2 |
|
识别事件监视器守护进程 (emond) 的可疑子进程的执行。攻击者可能会滥用此服务,方法是在发生定义的事件(例如系统启动或用户身份验证)时编写规则来执行命令。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [策略:持久性], [数据源:Elastic Defend] |
无 |
107 |
|
检测到可疑的端点安全父进程。这可能表明进程空洞或其他形式的代码注入。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:防御逃避],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:系统],[数据源:Microsoft Defender for Endpoint],[数据源:Sysmon],[数据源:SentinelOne] |
8.14.0 |
313 |
|
此检测规则解决了 CUPS 打印系统中的多个漏洞,包括 CVE-2024-47176、CVE-2024-47076、CVE-2024-47175 和 CVE-2024-47177。具体而言,此规则检测由 foomatic-rip 和 cupsd 的子进程执行的可疑进程命令行。这些缺陷会影响 cups-browsed、libcupsfilters、libppd 和 foomatic-rip 等组件,从而允许未经身份验证的远程攻击者通过精心制作的 UDP 数据包或网络欺骗来操纵 IPP URL 或注入恶意数据。当启动打印作业时,这可能会导致任意命令执行。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[用例:漏洞],[战术:执行],[数据源:Elastic Defend] |
无 |
2 |
|
识别指向 INetCache 文件夹的参数的进程的执行。攻击者可能会在初始访问期间通过 WININET 传递恶意内容。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:初始访问],[策略:命令和控制],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:系统],[数据源:Microsoft Defender for Endpoint],[数据源:Sysmon],[数据源:SentinelOne],[数据源:Crowdstrike] |
8.14.0 |
204 |
|
识别何时通过非标准工作目录启动脚本解释器或签名二进制文件。攻击者可能会使用此技术来逃避防御。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:防御规避],[策略:执行],[数据源:Elastic Defend],[数据源:Sysmon] |
8.14.0 |
208 |
|
识别内置 Windows 安装程序 msiexec.exe 的可疑执行,以从常用路径或父进程安装软件包。攻击者可能会滥用 msiexec.exe 来启动本地恶意的 MSI 文件。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:防御规避],[规则类型:BBR],[数据源:Elastic Defend],[数据源:Elastic Endgame] |
8.14.0 |
103 |
|
识别常用 Microsoft Office 应用程序的执行,以从可疑路径或具有不寻常父进程的情况下启动 Office 加载项。这可能表明试图通过恶意的网络钓鱼 MS Office 加载项来获取初始访问权限。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:初始访问],[策略:持久性],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:Sysmon],[数据源:Microsoft Defender for Endpoint],[数据源:SentinelOne] |
8.14.0 |
205 |
|
通过查看进程沿袭和命令行使用情况,识别通过计划任务执行的可疑程序。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:持久性],[策略:执行],[数据源:Elastic Defend] |
8.14.0 |
209 |
|
检测来自适用于 Linux 的 Windows 子系统的 Linux Bash 命令。攻击者可能会启用并使用 WSL for Linux 以避免被检测到。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:执行],[策略:防御规避],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:Microsoft Defender for Endpoint],[数据源:Sysmon],[数据源:SentinelOne] |
8.14.0 |
207 |
|
识别可疑的 Windows 资源管理器子进程。可以滥用 Explorer.exe 从受信任的父进程启动恶意脚本或可执行文件。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:初始访问],[策略:防御规避],[策略:执行],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:Sysmon],[数据源:Microsoft Defender for Endpoint],[数据源:SentinelOne] |
8.14.0 |
309 |
|
检测通过用户 root 手动在特定 etc 目录中创建文件,Linux 恶意软件使用这些目录在受感染的系统上持久存在并提升权限。在这些目录中创建文件应该不是完全常见的,可能表明恶意二进制文件或脚本正在安装持久性机制以实现长期访问。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[策略:持久性],[威胁:Orbit],[威胁:Lightning Framework],[数据源:Elastic Endgame],[数据源:Elastic Defend] |
无 |
116 |
|
此规则监控源自 kworker 父进程的文件创建事件。kworker,即内核工作进程,是内核工作队列机制的一部分。它们负责执行已计划在内核空间中完成的工作,其中可能包括处理中断、后台活动和其他内核相关任务。攻击者可能会尝试伪装成内核工作进程来逃避检测。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:持久性], [战术:防御规避], [数据源:Elastic Defend] |
无 |
5 |
|
识别从 Google Drive URL 下载可疑文件的活动。这可能表明有人试图通过受信任的网络服务传递网络钓鱼载荷。 |
[域:端点],[操作系统:Linux],[操作系统:Windows],[操作系统:macOS],[用例:威胁检测],[战术:命令和控制],[数据源:系统] |
无 |
4 |
|
识别传入的 SMB 连接,然后是可疑的文件重命名操作。这可能表明通过 SMB 协议进行的远程勒索软件攻击。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:影响],[资源:调查指南],[数据源:Elastic Defend] |
无 |
3 |
|
识别浏览器进程执行打开具有高熵和大小的 HTML 文件。攻击者可能会通过将恶意载荷隐藏在看似无害的 HTML 文件中,来绕过内容过滤器,走私数据和文件。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:初始访问], [数据源:Elastic Defend] |
无 |
108 |
|
识别具有隐藏文件的 launchd 子进程的执行。攻击者可以通过安装新的登录项、启动代理或在登录时执行的守护程序来建立持久性。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [战术:持久性], [战术:防御规避], [数据源:Elastic Defend] |
无 |
106 |
|
识别来自 Microsoft Office 进程的可疑映像加载 (taskschd.dll)。这种行为可能表明攻击活动,其中通过 Windows 组件对象模型 (COM) 配置计划任务。这种技术可以用于配置持久性,并通过避免使用用于管理计划任务的传统 Windows 二进制文件 (schtasks.exe) 来逃避监控。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:持久性],[策略:执行],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:Sysmon] |
8.14.0 |
209 |
|
识别可疑 ImagePath 值的创建。这可能表明攻击者试图通过异常的服务创建来隐蔽地持久化或提升权限。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:持久性], [策略:防御规避], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne] |
8.14.0 |
309 |
|
检测通过来自不寻常进程的组件对象模型与 Outlook 的进程间通信。攻击者可能会以用户电子邮件为目标,以收集敏感信息或通过 API 代表他们发送电子邮件。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:收集],[数据源:Elastic Defend] |
无 |
7 |
|
此规则检测何时在正在运行的容器内部生成交互式 shell。这可能表明潜在的容器突破尝试或攻击者试图获得对底层主机的未授权访问。 |
[数据源:Elastic Defend for Containers], [域:容器], [操作系统:Linux], [用例:威胁检测], [战术:执行] |
无 |
2 |
|
识别由 JetBrain TeamCity 进程生成的可疑进程。此活动可能与 JetBrains 远程代码执行漏洞有关。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:初始访问],[数据源:Elastic Endgame],[用例:漏洞],[数据源:Elastic Defend],[数据源:Microsoft Defender for Endpoint],[数据源:系统],[数据源:Sysmon],[数据源:SentinelOne] |
8.14.0 |
203 |
|
监控通过 kworker 进程将常规用户权限提升为 root 权限。kworker,即内核工作进程,是内核工作队列机制的一部分。它们负责执行已计划在内核空间中完成的工作,其中可能包括处理中断、后台活动和其他内核相关任务。攻击者可能会尝试伪装成内核工作进程,并通过 rootkit 挂钩某些函数/系统调用来劫持执行流程,以便通过特殊修改的命令轻松访问 root。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[战术:权限提升],[战术:防御规避],[数据源:Elastic Defend],[数据源:Elastic Endgame] |
无 |
2 |
|
识别来自指向 seclogon.dll 的调用跟踪且具有可疑访问权限值的对 LSASS 句柄的可疑访问。这可能表明有人试图通过滥用辅助登录服务来泄露 LSASS 句柄,为凭据访问做准备。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:凭据访问], [数据源:Sysmon] |
8.14.0 |
308 |
|
识别对 LSASS 句柄的访问尝试,这可能表明有人试图从 Lsass 内存中转储凭据。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:凭据访问], [数据源:Sysmon] |
8.14.0 |
208 |
|
识别频繁成为目标的 Microsoft Office 应用程序(Word、PowerPoint、Excel)的可疑子进程。这些子进程通常在利用 Office 应用程序或来自具有恶意宏的文档时启动。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:初始访问],[战术:防御规避],[战术:执行],[资源:调查指南],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:系统],[数据源:Microsoft Defender for Endpoint],[数据源:Sysmon],[数据源:SentinelOne],[数据源:Crowdstrike] |
8.14.0 |
314 |
|
识别 Microsoft Outlook 的可疑子进程。这些子进程通常与鱼叉式网络钓鱼活动相关联。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:初始访问],[战术:防御规避],[战术:执行],[资源:调查指南],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:SentinelOne],[数据源:Microsoft Defender for Endpoint],[数据源:系统],[数据源:Crowdstrike] |
8.14.0 |
416 |
|
识别可疑的托管代码进程,这可能表明代码注入或其他形式的可疑代码执行。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:防御规避],[数据源:Elastic Defend],[数据源:Sysmon],[数据源:Microsoft Defender for Endpoint],[数据源:SentinelOne],[数据源:Elastic Endgame],[数据源:Crowdstrike] |
8.14.0 |
309 |
|
监控与内存映射相关的 grep 活动。Linux 中的 /proc/*/maps 文件提供了特定进程的内存映射,详细说明了内存段、权限以及映射到这些段的文件。攻击者可能会读取进程的内存映射,以识别用于代码注入或进程劫持的内存地址。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:发现], [数据源:Elastic Defend], [数据源:Elastic Endgame] |
无 |
3 |
|
识别最近 10 天内首次观察到的 ClientAppId 访问 Microsoft 365 邮箱的情况。 |
[域:云], [数据源:Microsoft 365], [用例:配置审计], [策略:初始访问] |
无 |
107 |
|
识别通过恶意进程参数来代理恶意命令或二进制文件执行的 Microsoft 诊断故障排除向导 (MSDT) 的潜在滥用。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:防御规避],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:Microsoft Defender for Endpoint],[数据源:Sysmon] |
8.14.0 |
210 |
|
识别常见挖矿服务的服务创建事件,可能表明系统感染了加密货币挖矿机。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:执行], [数据源:Elastic Endgame], [数据源:Elastic Defend] |
无 |
6 |
|
检测 modprobe 配置文件中涉及内核模块的文件事件,这可能表明对关键内核模块的未授权访问或操作。攻击者可能会篡改 modprobe 文件以加载恶意或未经授权的内核模块,从而可能绕过安全措施、提升权限或在系统中隐藏他们的活动。 |
[数据源:Auditd Manager], [操作系统:Linux], [用例:威胁检测], [战术:发现], [规则类型:BBR] |
无 |
108 |
|
识别 LSASS 加载未签名或不受信任的 DLL。Windows 安全支持提供程序 (SSP) DLL 在系统启动时加载到 LSSAS 进程中。一旦加载到 LSA 中,SSP DLL 就可以访问存储在 Windows 中的加密和明文密码,例如任何登录用户的域密码或智能卡 PIN。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:凭据访问],[数据源:Elastic Defend],[数据源:Elastic Endgame] |
无 |
9 |
|
此规则监控位于可疑目录中的以前未知可执行文件与 Internet 的网络连接。来自此规则的警报可能表示存在潜在的恶意活动,例如未经授权或可疑的进程试图建立与未知或可疑目的地(例如命令和控制服务器)的连接。检测和调查此类行为可以帮助识别和缓解潜在的安全威胁,保护系统及其数据免受潜在损害。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[策略:命令和控制],[数据源:Elastic Endgame],[数据源:Elastic Defend] |
无 |
11 |
|
检测由 systemd 执行的可疑网络事件,可能表明通过 systemd 后门实现持久性。Systemd 是 Linux 操作系统的系统和服务管理器,用于初始化和管理系统进程。攻击者可以通过创建或修改 systemd 单元文件以执行恶意脚本或命令,或者通过将合法的 systemd 二进制文件替换为受损的二进制文件来为 systemd 设置后门以实现持久性,从而确保他们的恶意代码在系统启动时或某些系统事件期间自动执行。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[策略:持久性],[策略:命令和控制],[策略:防御规避],[数据源:Elastic Defend] |
无 |
3 |
|
此规则检测在容器内部运行的常用网络实用程序。nc、nmap、dig、tcpdump、ngrep、telnet、mitmproxy、zmap 等网络实用程序可用于网络侦察、监控或漏洞利用等恶意目的,应在容器内密切监控。 |
[容器的 Elastic Defend 数据源],[域:容器],[操作系统:Linux],[用例:威胁检测],[战术:发现],[战术:命令和控制],[战术:侦察] |
无 |
2 |
|
识别 PDF 阅读器应用程序的可疑子进程。这些子进程通常通过利用 PDF 应用程序或社会工程学启动。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:执行],[战术:初始访问],[资源:调查指南],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:系统],[数据源:Microsoft Defender for Endpoint],[数据源:Sysmon],[数据源:SentinelOne],[数据源:Crowdstrike] |
8.14.0 |
313 |
|
监控通过 openssl 生成的 passwd 密码条目,然后是对 "/etc/passwd" 文件进行的文件写入活动。Linux 中的 "/etc/passwd" 文件存储用户帐户信息,包括用户名、用户 ID、组 ID、主目录和默认 shell 路径。攻击者可能会利用 "/etc/passwd" 文件权限或其他权限中的错误配置,向 "/etc/passwd" 文件添加具有 root 权限的新条目,并利用此新用户帐户以 root 身份登录。 |
[数据源:Auditd Manager],[域:端点],[操作系统:Linux],[用例:威胁检测],[策略:权限提升],[数据源:Elastic Defend] |
无 |
3 |
|
通过查找可移植可执行文件 (PE) 的编码标头,检测 PowerShell 脚本中是否存在可移植可执行文件 (PE)。攻击者将 PE 嵌入 PowerShell 脚本中以将其注入内存,从而避免通过不写入磁盘来进行防御。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:执行],[战术:防御规避],[资源:调查指南],[数据源:PowerShell 日志] |
8.14.0 |
212 |
|
识别由意外进程调用的 PowerShell 引擎。一些攻击者不是使用 powershell.exe 执行 PowerShell 功能,而是这样做以更隐蔽地操作。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:执行],[资源:调查指南],[数据源:Elastic Defend] |
无 |
211 |
|
识别从 Windows Script Host 进程(cscript 或 wscript.exe)生成的可疑 PowerShell 执行。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:执行],[数据源:系统],[数据源:Sysmon],[数据源:SentinelOne],[数据源:Microsoft Defender for Endpoint] |
8.14.0 |
201 |
|
机器学习作业检测到一个具有不寻常数据特征(例如混淆)的 PowerShell 脚本,这可能是恶意 PowerShell 脚本文本块的特征。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[规则类型:ML],[规则类型:机器学习],[战术:执行] |
8.14.0 |
207 |
|
检测由不寻常进程删除打印驱动程序文件。这可能表明在通过与打印后台处理程序服务相关的漏洞成功提升权限后尝试清理。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:权限提升],[数据源:Elastic Endgame],[用例:漏洞],[数据源:Elastic Defend],[数据源:Sysmon],[数据源:Microsoft Defender for Endpoint],[数据源:SentinelOne] |
8.14.0 |
307 |
|
检测尝试利用与打印后台处理程序服务相关的特权提升漏洞 (CVE-2020-1030) 的行为。利用此漏洞涉及链接多个原语,将任意 DLL 加载到以 SYSTEM 身份运行的打印后台处理程序进程中。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:特权提升],[数据源:Elastic Endgame],[用例:漏洞],[数据源:Elastic Defend],[数据源:Sysmon] |
8.14.0 |
208 |
|
检测尝试利用与打印后台处理程序服务相关的特权提升漏洞的行为,包括 CVE-2020-1048 和 CVE-2020-1337。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:特权提升],[资源:调查指南],[数据源:Elastic Endgame],[用例:漏洞],[数据源:Elastic Defend],[数据源:Microsoft Defender for Endpoint] |
无 |
113 |
|
检测尝试利用与打印后台处理程序服务相关的特权提升漏洞的行为。有关更多信息,请参阅以下 CVE:CVE-2020-1048、CVE-2020-1337 和 CVE-2020-1300,并验证受影响的系统是否已修补。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:权限提升],[数据源:Elastic Endgame],[用例:漏洞],[数据源:Elastic Defend],[数据源:Sysmon],[数据源:Microsoft Defender for Endpoint],[数据源:SentinelOne] |
8.14.0 |
314 |
|
此规则监视对 25 个不同的 proc cmd、stat 和 exe 文件的快速枚举,这表明存在异常的活动模式。这种行为可能表示恶意进程正在扫描或收集有关正在运行的进程的信息,可能用于侦察、特权提升或识别易受攻击的目标。 |
[数据源:Auditd Manager], [操作系统:Linux], [用例:威胁检测], [战术:发现], [规则类型:BBR] |
无 |
7 |
|
识别来自未知内存区域的可疑进程访问事件。端点安全解决方案通常会钩住用户模式 Windows API,以确定正在执行的代码是否是恶意的。可以通过编写直接调用系统调用的恶意函数来绕过被钩住的函数。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:防御规避],[策略:执行],[资源:调查指南],[数据源:Sysmon] |
8.14.0 |
311 |
|
识别何时创建进程并立即从未知内存代码区域以及同一父进程访问该进程。这可能表明存在代码注入尝试。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:防御规避],[资源:调查指南],[数据源:Sysmon] |
8.14.0 |
308 |
|
识别可疑的 psexec 活动,该活动从已重命名的 psexec 服务执行,可能是为了逃避检测。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:执行],[策略:防御规避],[数据源:Elastic Endgame],[资源:调查指南],[数据源:Elastic Defend],[数据源:Sysmon],[数据源:Microsoft Defender for Endpoint] |
8.14.0 |
212 |
|
识别远程桌面服务 ActiveX 客户端 (mstscax) 的可疑映像加载,这可能表明存在 RDP 横向移动能力。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:横向移动],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:Sysmon] |
8.14.0 |
210 |
|
识别使用具有备份操作员组成员资格的帐户对注册表进行的远程访问。这可能表明尝试通过转储安全帐户管理器 (SAM) 注册表配置单元来泄露凭据,以便为凭据访问和特权提升做准备。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:横向移动],[策略:凭据访问],[资源:调查指南],[用例:Active Directory 监控],[数据源:Active Directory],[数据源:系统] |
8.14.0 |
211 |
|
识别在 Linux 系统上重命名与 VMware 相关的文件的情况,例如扩展名为 “.vmdk”、“vmx”、“vmxf”、“vmsd”、“vmsn”、“vswp”、“vmss”、“nvram” 和 “.vmem” 的文件。该规则监视与这些文件类型关联的“重命名”事件操作,这可能表明存在恶意活动。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:防御规避], [数据源:Elastic Defend] |
无 |
6 |
|
识别在 Linux 系统上重命名 “/usr/lib/vmware/*” 目录中的 “index.html” 文件的情况。该规则监视与此特定文件和路径关联的“重命名”事件操作,这可能表明存在恶意活动。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:防御规避], [数据源:Elastic Defend] |
无 |
6 |
|
识别由 ScreenConnect 客户端进程衍生的可疑进程。此活动可能表明正在滥用对 ScreenConnect 远程访问软件的未授权访问来执行操作。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:命令和控制],[资源:调查指南],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:Sysmon],[数据源:SentinelOne],[数据源:Microsoft Defender for Endpoint],[数据源:系统],[数据源:Crowdstrike] |
8.14.0 |
307 |
|
识别加载到异常 Microsoft 进程中的 scrobj.dll。这通常表示目标进程中正在执行恶意脚本。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:防御规避],[数据源:Elastic Defend],[数据源:Elastic Endgame],[数据源:Sysmon] |
8.14.0 |
209 |
|
识别具有可疑服务命令值的新 Windows 服务的创建。Windows 服务通常以 SYSTEM 身份运行,可用于特权提升和持久化。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:持久化],[资源:调查指南],[数据源:系统] |
8.14.0 |
110 |
|
检测到可疑的 SolarWinds 子进程,这可能表明尝试执行恶意程序。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:执行],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:SentinelOne] |
8.13.0 |
210 |
|
识别可疑的启动外壳文件夹修改,以更改默认启动目录,从而绕过对 Windows 启动文件夹中文件创建的检测。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:持久性], [战术:防御逃避], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne] |
8.14.0 |
313 |
|
识别创建指向可疑文件或位置的符号链接的情况。符号链接是指向文件或目录的引用,充当指针或快捷方式,允许用户从文件系统中不同的位置访问目标文件或目录。攻击者可以通过诱使特权进程遵循指向敏感文件的符号链接,从而利用符号链接来提升特权,从而使攻击者可以访问他们通常不具备的数据或能力。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[策略:特权提升],[策略:凭据访问],[数据源:Elastic Defend] |
无 |
6 |
|
监视 sysctl 配置文件(例如,/etc/sysctl.conf、/etc/sysctl.d/*.conf)上的文件事件,以识别对系统级配置设置的潜在未经授权的访问或操作。攻击者可能会篡改 sysctl 配置文件以修改内核参数,从而可能损害系统稳定性、性能或安全性。 |
[数据源:Auditd Manager], [操作系统:Linux], [用例:威胁检测], [战术:发现], [规则类型:BBR] |
无 |
108 |
|
此规则监视由位于常用滥用目录中的先前未知的可执行文件执行的几个常用系统命令的执行。来自此规则的警报可以指示可能存在恶意活动,例如尝试运行恶意代码的未经授权或可疑进程的执行。检测和调查此类行为有助于识别和缓解潜在的安全威胁,从而保护系统及其数据免受潜在损害。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:执行], [数据源:Elastic Endgame], [数据源:Elastic Defend] |
无 |
107 |
|
识别在 Linux 系统上由 “kill” 命令终止 VMware 进程(例如,“vmware-vmx” 或 “vmx”)的情况。该规则监视“end”事件类型,该类型表示进程的终止。终止 VMware 进程的父进程存在“kill”命令可能表明威胁参与者正试图干扰目标系统上的虚拟化环境。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[策略:影响],[数据源:Elastic Defend],[数据源:Elastic Endgame] |
无 |
6 |
|
识别 Microsoft 诊断向导的执行,以从可疑路径以及具有不寻常的父进程打开 diagcab 文件。这可能表明尝试执行恶意的故障排除包柜文件。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:防御规避],[规则类型:BBR],[数据源:Elastic Defend],[数据源:Elastic Endgame],[数据源:系统] |
8.14.0 |
104 |
|
此规则监视通过 ProxyChains 执行的可疑 Linux 工具。ProxyChains 是一个命令行工具,它允许通过中间代理路由网络连接,从而提高匿名性并允许访问受限资源。攻击者可以利用 ProxyChains 实用程序隐藏其真实源 IP 地址,逃避检测,并通过一系列代理服务器执行恶意活动,从而可能掩盖其身份和意图。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[战术:命令和控制],[数据源:Elastic Defend],[数据源:Elastic Endgame],[数据源:Auditd Manager] |
无 |
7 |
|
检测 WMI 事件订阅的创建。攻击者可以滥用此机制进行持久化或提升到 SYSTEM 权限。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:持久化],[数据源:Sysmon] |
8.14.0 |
206 |
|
识别来自 Microsoft Office 进程的可疑映像加载 (wmiutils.dll)。此行为可能表明存在对抗性活动,其中通过 Windows Management Instrumentation (WMI) 衍生子进程。此技术可用于执行代码并逃避从 Microsoft Office 产品衍生的传统父/子进程。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:执行],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:Sysmon] |
8.14.0 |
208 |
|
通过警报可疑脚本的执行来识别 WMIC 允许列表绕过技术。当 WMIC 加载脚本库时,可能表明存在允许列表绕过。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:防御规避],[策略:执行],[数据源:Elastic Defend],[数据源:Sysmon] |
8.14.0 |
209 |
|
识别不受信任/未签名的进程或 osascript 对 Web 浏览器敏感文件的访问或文件打开。攻击者可以通过读取特定于目标浏览器的文件来从 Web 浏览器获取凭据。 |
[领域:端点], [操作系统:macOS], [用例:威胁检测], [战术:凭据访问], [数据源:Elastic Defend] |
无 |
209 |
|
检测到可疑的 WerFault 子进程,这可能表明尝试通过 SilentProcessExit 注册表项操作运行。验证进程详细信息,例如命令行、网络连接和文件写入。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:防御规避],[策略:持久化],[策略:特权提升],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:Microsoft Defender for Endpoint],[数据源:Sysmon],[数据源:SentinelOne] |
8.14.0 |
415 |
|
识别使用可疑参数值执行 Windows 命令 Shell 进程 (cmd.exe) 的情况。在恶意软件安装期间通常会观察到此行为。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:执行],[数据源:系统],[数据源:Sysmon],[数据源:SentinelOne],[数据源:Microsoft Defender for Endpoint] |
8.14.0 |
201 |
|
识别使用可疑参数值执行 PowerShell 的情况。在恶意软件安装期间,通常会观察到利用 PowerShell 的这种行为。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:执行],[数据源:系统],[数据源:Sysmon],[数据源:SentinelOne],[数据源:Microsoft Defender for Endpoint],[数据源:Crowdstrike] |
8.14.0 |
202 |
|
机器学习作业组合检测到一组或多个恶意概率得分异常高的可疑 Windows 进程。这些进程已通过多种方式归类为恶意进程。ProblemChild 监督 ML 模型预测这些进程是恶意的。如果异常包含可疑进程集群,则每个进程都具有相同的主机名,并且通过无监督 ML 模型计算得出事件集群的总分异常高。此类集群通常包含可疑或恶意活动,可能涉及 LOLbin,这些活动可能无法使用常规搜索规则进行检测。 |
[用例:利用现有工具进行攻击的检测],[规则类型:ML],[规则类型:机器学习],[策略:防御规避] |
8.14.0 |
107 |
|
机器学习作业组合检测到一组或多个可疑的 Windows 进程,这些进程的恶意概率得分异常高。这些进程已通过多种方式被归类为恶意进程。ProblemChild 监督式机器学习模型预测这些进程为恶意进程。如果异常情况包含一组可疑进程,则每个进程都具有相同的父进程名称,并且非监督式机器学习模型计算得出事件集群的汇总得分异常高。此类集群通常包含可疑或恶意活动,可能涉及 LOLbins,这可能难以使用传统的搜索规则进行检测。 |
[域:端点], [操作系统:Windows], [用例:Living off the Land 攻击检测], [规则类型:机器学习], [规则类型:机器学习], [战术:防御规避] |
8.14.0 |
107 |
|
机器学习作业组合检测到一组或多个可疑的 Windows 进程,这些进程的恶意概率得分异常高。这些进程已通过多种方式被归类为恶意进程。ProblemChild 监督式机器学习模型预测这些进程为恶意进程。如果异常情况包含一组可疑进程,则每个进程都具有相同的用户名,并且非监督式机器学习模型计算得出事件集群的汇总得分异常高。此类集群通常包含可疑或恶意活动,可能涉及 LOLbins,这可能难以使用传统的搜索规则进行检测。 |
[域:端点], [操作系统:Windows], [用例:Living off the Land 攻击检测], [规则类型:机器学习], [规则类型:机器学习], [战术:防御规避] |
8.14.0 |
107 |
|
检测到可疑的 Zoom 子进程,这可能表明试图在不被注意的情况下运行。请验证进程详细信息,例如命令行、网络连接、文件写入和关联的文件签名详细信息。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [战术:执行], [数据源:Elastic Endgame], [资源:调查指南], [数据源:Elastic Defend], [数据源:SentinelOne], [数据源:Microsoft Defender for Endpoint], [数据源:系统], [数据源:Crowdstrike] |
8.14.0 |
416 |
|
识别频繁被攻击的 Microsoft Office 应用程序(Word、PowerPoint 和 Excel)的可疑子进程。这些子进程通常是在利用 Office 应用程序或带有恶意宏的文档时启动的。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [战术:初始访问], [数据源:Elastic Defend] |
无 |
207 |
|
识别 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [战术:凭据访问], [数据源:Jamf Protect], [数据源:Elastic Defend] |
无 |
1 |
|
此规则监视 syslog 日志文件中与 rc.local 进程相关的错误消息。rc.local 文件是在 Linux 系统启动过程中执行的脚本。攻击者可能会尝试修改 rc.local 文件,以便在系统启动期间执行恶意命令或脚本。此规则检测 syslog 日志文件中的错误消息,例如“Connection refused”、“No such file or directory”或“command not found”,这可能表明 rc.local 文件已被篡改。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:持久化] |
无 |
2 |
|
此规则监视 which 命令的使用情况,其中包含异常数量的进程参数。攻击者可能会利用 which 命令来枚举系统,查找有用的已安装实用程序,这些实用程序在系统遭到入侵后可用于提升权限或在网络中横向移动。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:发现], [数据源:Elastic Defend], [数据源:Elastic Endgame] |
无 |
7 |
|
识别 cmd.exe 从 svchost.exe 派生的可疑父子进程关系 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:执行], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne] |
8.14.0 |
418 |
|
识别指向卷影副本的符号链接的创建。符号链接可用于访问卷影副本中的文件,包括 ntds.dit、系统启动密钥和浏览器离线凭据等敏感文件。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:凭据访问], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
313 |
|
此规则监视系统二进制文件的复制或移动。攻击者可能会复制/移动和重命名系统二进制文件以逃避检测。将系统二进制文件复制到其他位置不应经常发生,因此,如果发生这种情况,应调查该活动。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:防御规避], [数据源:Elastic Defend] |
无 |
13 |
|
识别使用内置工具读取本地计算机上 \etc\hosts 的内容。攻击者可能会使用此数据来发现环境中可能用于从当前系统进行横向移动的远程计算机。 |
[域:端点], [操作系统:Linux], [操作系统:macOS], [用例:威胁检测], [战术:发现], [规则类型:BBR], [数据源:Elastic Defend], [数据源:Elastic Endgame], [数据源:Auditd Manager] |
无 |
3 |
|
识别使用 Windows 命令 shell 执行发现命令以枚举系统信息、文件和文件夹。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:发现], [战术:执行], [资源:调查指南], [数据源:Elastic Defend], [规则类型:BBR], [数据源:Elastic Endgame], [数据源:系统] |
8.14.0 |
114 |
|
识别敏感的 Linux 系统日志的删除。这可能表明试图逃避检测或销毁系统上的取证证据。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:防御规避], [数据源:Elastic Endgame], [数据源:Elastic Defend] |
无 |
112 |
|
攻击者可能会尝试获取与受损系统之间或来自受损系统的网络连接列表。 |
[域:端点], [操作系统:Linux], [操作系统:macOS], [用例:威胁检测], [战术:发现], [规则类型:BBR], [数据源:Elastic Defend], [数据源:Elastic Endgame], [数据源:Auditd Manager] |
无 |
3 |
|
识别使用内置工具,攻击者可能会使用这些工具来枚举受损系统的系统所有者/用户。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:侦察], [规则类型:BBR], [数据源:Elastic Defend], [数据源:Elastic Endgame], [数据源:Auditd Manager] |
无 |
3 |
|
检测常用的系统服务发现技术的使用,攻击者可能会在入侵系统后的侦察阶段使用这些技术,以便更好地了解环境和/或提升权限。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:发现], [数据源:Elastic Defend], [数据源:Elastic Endgame], [规则类型:BBR], [数据源:系统] |
8.14.0 |
109 |
|
Windows 服务通常以 SYSTEM 身份运行,可以作为特权提升的机会。恶意软件或渗透测试人员可能会以服务形式运行 shell 以获取 SYSTEM 权限。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:持久化], [战术:执行], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:SentinelOne], [数据源:Microsoft Defender for Endpoint], [数据源:系统], [数据源:Crowdstrike] |
8.14.0 |
415 |
|
检测常用的系统时间发现技术的使用,攻击者可能会在入侵系统后的侦察阶段使用这些技术。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:发现], [数据源:Elastic Defend], [数据源:Elastic Endgame], [规则类型:BBR], [数据源:系统] |
8.14.0 |
110 |
|
放置在 Unix 的 /etc/init.d/ 目录中的文件可用于在启动期间启动自定义应用程序、服务、脚本或命令。Init.d 大部分已被 Systemd 取代。但是,“systemd-sysv-generator”可以将 init.d 文件转换为在启动时运行的服务单元文件。攻击者可能会添加或更改位于 /etc/init.d/ 目录中的文件,以便在启动时执行恶意代码,从而在系统上获得持久性。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[战术:持久性],[数据源:Elastic Endgame],[资源:调查指南],[数据源:Elastic Defend] |
无 |
13 |
|
密钥链是 macOS 用于跟踪用户密码以及许多服务和功能的凭据(包括 Wi-Fi 和网站密码、安全备注、证书和 Kerberos)的内置方式。攻击者可能会从系统收集密钥链存储数据以获取凭据。 |
[领域:端点], [操作系统:macOS], [用例:威胁检测], [战术:凭据访问], [数据源:Elastic Defend] |
无 |
206 |
|
此规则检测 systemd 生成器文件的创建。生成器是在启动时和配置重新加载期间由 systemd 执行的小型可执行文件。它们的主要作用是将非本机配置和执行参数转换为动态生成的单元文件、符号链接或插入式文件,从而扩展服务管理器的单元文件层次结构。Systemd 生成器可用于在启动时执行任意代码,攻击者可以利用它来在 Linux 系统上保持持久性。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:持久性], [战术:权限提升], [数据源:Elastic Defend] |
无 |
3 |
|
此规则检测在所有常见的 systemd 服务位置(对于 root 用户和普通用户)中创建或重命名新的 Systemd 文件。Systemd 服务文件是 Linux 系统中的配置文件,用于定义和管理系统服务。恶意行为者可以利用 systemd 服务文件来实现持久性,方法是创建或修改服务以在系统启动期间或在预定义的时间间隔执行恶意命令或有效负载,方法是添加 systemd 计时器。这使他们能够保持未经授权的访问、执行其他恶意活动或逃避检测。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:持久性], [战术:权限提升], [数据源:Elastic Defend] |
无 |
15 |
|
Systemctl 是 Linux 系统中用于通过服务配置文件管理 systemd 进程的进程。恶意行为者可以利用 systemd 服务来实现持久性,方法是创建或修改服务文件以在系统启动期间执行恶意命令或有效负载。这使他们能够保持未经授权的访问、执行其他恶意活动或逃避检测。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:持久性], [战术:权限提升], [数据源:Elastic Defend] |
无 |
3 |
|
检测在任何默认的 systemd 计时器目录中创建 systemd 计时器。攻击者可以使用 systemd 计时器来获得持久性,方法是计划执行命令或脚本。与 cron/at 类似,可以将 systemd 计时器设置为在启动时或在特定时间点执行,这允许攻击者在与受感染资产的连接丢失的情况下重新获得访问权限。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:持久性], [资源:调查指南], [数据源:Elastic Defend] |
无 |
15 |
|
监控由 systemd-udevd 使用的规则文件的创建,这些规则文件用于管理 Linux 操作系统中的设备节点和处理内核设备事件。攻击者可以通过创建在特定事件触发时执行的恶意 udev 规则来利用 systemd-udevd 进行持久化,每当某个设备插入或被系统识别时,执行任意命令或有效载荷。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[战术:持久性],[数据源:Elastic Defend] |
无 |
7 |
|
识别使用 mount_apfs 命令通过 Apple 文件系统 (APFS) 快照以只读和设置 noowners 标志的方式挂载整个文件系统的行为。此操作使攻击者能够访问文件系统中的几乎任何文件,包括所有用户数据和受 Apple 隐私框架 (TCC) 保护的文件。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [战术:防御规避], [用例:漏洞], [数据源:Elastic Defend] |
无 |
106 |
|
此规则监控系统日志文件中与受污染的内核模块加载实例相关的消息。Rootkit 通常利用内核模块作为其主要的防御规避技术。检测受污染的内核模块加载对于确保系统安全性和完整性至关重要,因为恶意或未经授权的模块可能会危及内核,并导致系统漏洞或未经授权的访问。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:持久化], [战术:防御规避] |
无 |
4 |
|
此规则监控系统日志文件中与树外内核模块加载实例相关的消息,指示内核被污染。Rootkit 通常利用内核模块作为其主要的防御规避技术。检测受污染的内核模块加载对于确保系统安全性和完整性至关重要,因为恶意或未经授权的模块可能会危及内核,并导致系统漏洞或未经授权的访问。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:持久化], [战术:防御规避] |
无 |
2 |
|
攻击者可能会尝试清除或禁用 Bash 命令行历史记录,以逃避检测或取证调查。 |
[域:端点],[操作系统:Linux],[操作系统:macOS],[用例:威胁检测],[战术:防御规避],[数据源:Elastic Defend],[数据源:Elastic Endgame],[数据源:Auditd Manager] |
无 |
107 |
|
指示在短时间内创建和删除计划任务。攻击者可以使用这些通过计划服务代理恶意执行并执行清理。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:持久化], [战术:执行], [数据源:系统] |
8.14.0 |
108 |
|
识别由备份套件之外的进程删除使用第三方软件保存的备份文件的行为。攻击者可能会删除备份文件以确保从勒索软件攻击中恢复的可能性降低。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:影响], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:SentinelOne] |
8.13.0 |
213 |
|
当来自威胁情报 Filebeat 模块或集成的哈希指示符与包含文件哈希的事件(例如防病毒警报、进程创建、库加载和文件操作事件)匹配时,将触发此规则。 |
[操作系统:Windows], [数据源:Elastic Endgame], [规则类型:威胁匹配] |
无 |
8 |
|
当来自威胁情报 Filebeat 模块或集成的 IP 地址指示符与网络事件匹配时,将触发此规则。 |
[操作系统:Windows], [数据源:Elastic Endgame], [规则类型:威胁匹配] |
无 |
7 |
|
当来自威胁情报 Filebeat 模块或集成的 URL 指示符与包含 URL 数据(如 DNS 事件、网络日志等)的事件匹配时,将触发此规则。 |
[操作系统:Windows], [数据源:Elastic Endgame], [规则类型:威胁匹配] |
无 |
7 |
|
当来自威胁情报 Filebeat 模块或集成的 Windows 注册表指示符与包含注册表数据的事件匹配时,将触发此规则。 |
[操作系统:Windows], [数据源:Elastic Endgame], [规则类型:威胁匹配] |
无 |
7 |
|
时间戳篡改是一种反取证技术,用于修改文件的时间戳,通常是为了模仿同一文件夹中的文件。 |
[域:端点], [操作系统:Linux], [操作系统:macOS], [用例:威胁检测], [策略:防御规避], [数据源:Elastic Defend] |
无 |
106 |
|
识别与攻击者可能包含 trap 命令相关的活动,该命令允许程序和 shell 指定在接收到中断信号时将执行的命令。 |
[域:端点], [操作系统:Linux], [操作系统:macOS], [用例:威胁检测], [战术:特权提升], [规则类型:BBR], [数据源:Elastic Defend], [数据源:Elastic Endgame], [数据源:Auditd Manager] |
无 |
2 |
|
通过滥用提升的 COM 接口启动恶意程序来识别用户帐户控制 (UAC) 绕过尝试。攻击者可能会尝试绕过 UAC 以隐蔽地执行具有提升权限的代码。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:特权提升], [战术:防御规避], [战术:执行], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne] |
8.14.0 |
309 |
|
识别通过 DLL 侧加载绕过用户帐户控制 (UAC) 的尝试。攻击者可能会尝试绕过 UAC 以隐蔽地执行具有提升权限的代码。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:权限提升],[策略:防御规避],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:Sysmon],[数据源:Microsoft Defender for Endpoint],[数据源:SentinelOne] |
8.14.0 |
309 |
|
识别通过伪装成 Microsoft 受信任的 Windows 目录来绕过用户帐户控制 (UAC) 的尝试。攻击者可能会绕过 UAC 以隐蔽地执行具有提升权限的代码。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:特权提升], [战术:防御规避], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
315 |
|
识别通过滥用提升的 COM 接口启动恶意 Windows ClipUp 程序来绕过用户帐户控制 (UAC) 的尝试。攻击者可能会尝试绕过 UAC 以隐蔽地执行具有提升权限的代码。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:特权提升], [战术:防御规避], [战术:执行], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne] |
8.14.0 |
309 |
|
识别通过劫持 DiskCleanup 计划任务绕过用户帐户控制 (UAC) 的行为。攻击者绕过 UAC 以隐蔽地执行具有提升权限的代码。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:特权提升], [战术:防御规避], [战术:执行], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
311 |
|
通过 ICMLuaUtil 提升的 COM 接口识别用户帐户控制 (UAC) 绕过尝试。攻击者可能会尝试绕过 UAC 以隐蔽地执行具有提升权限的代码。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:特权提升], [战术:防御规避], [战术:执行], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint] |
8.14.0 |
210 |
|
识别通过劫持 Microsoft 管理控制台 (MMC) Windows 防火墙管理单元来绕过用户帐户控制 (UAC) 的尝试。攻击者绕过 UAC 以隐蔽地执行具有提升权限的代码。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:特权提升], [战术:防御规避], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne] |
8.14.0 |
312 |
|
监控通过先前未知的可执行文件将常规用户权限提升为 root 权限的行为。攻击者可能会尝试通过劫持执行流程并通过 rootkit 挂钩某些函数/系统调用来逃避检测,以便通过特殊的修改命令轻松访问 root。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:特权提升], [战术:防御规避], [数据源:Elastic Defend] |
无 |
4 |
|
识别对 Okta 应用程序的未授权访问尝试。 |
[策略: 初始访问], [用例: 身份和访问审计], [数据源: Okta] |
8.15.0 |
410 |
|
识别使用客户端凭据的公共客户端应用尝试 OAuth 2.0 令牌授予失败的情况。当公共客户端应用尝试将客户端凭据授予交换为 OAuth 2.0 访问令牌时,但由于缺少所需的范围而导致请求被拒绝时,会生成此事件。这可能表明客户端凭据已泄露,攻击者正试图获取未经授权的范围的访问令牌。这是一个[新术语](https://elastic.ac.cn/guide/en/security/master/rules-ui-create.html#create-new-terms-rule)规则,其中 |
[域:SaaS], [数据源:Okta], [用例:威胁检测], [用例:身份和访问审计], [战术:防御规避] |
8.15.0 |
205 |
|
检测对合法程序不常用或修改的注册表持久性密钥的更改。这可能表明攻击者试图以隐蔽的方式进行持久化。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:持久性], [数据源:Elastic Defend], [数据源:Sysmon] |
8.14.0 |
211 |
|
识别屏幕保护程序引擎进程何时生成子进程,这与攻击者的恶意负载在端点上激活屏幕保护程序后被执行的情况一致。攻击者可以通过创建恶意的屏幕保护程序 (.saver) 文件并配置屏幕保护程序 plist 文件以在每次屏幕保护程序激活时执行代码,从而在 macOS 端点上保持持久性。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [策略:持久性], [数据源:Elastic Defend] |
无 |
107 |
|
此规则监控通过 Unix 套接字进行的进程间通信。攻击者可能会尝试与本地 Unix 套接字通信,以枚举应用程序详细信息、查找漏洞/配置错误,并可能提升权限或通过 Unix 套接字为进程间通信设置恶意通信通道,以尝试逃避检测。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:执行], [数据源:Elastic Defend], [数据源:Elastic Endgame], [数据源:Auditd Manager] |
无 |
3 |
|
监控执行具有读取、写入和执行内存区域权限的先前未知的 unix 二进制文件的行为。mprotect() 系统调用用于更改已分配的内存区域的访问保护。此系统调用允许进程修改其虚拟地址空间中页面的权限,启用或禁用对这些页面的读取、写入和执行等权限。内存上的 RWX 权限在许多情况下过于宽松,应进行彻底分析。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:执行], [数据源:Auditd Manager] |
无 |
3 |
|
识别未签名的 Windows 后台智能传输服务 (BITS) 客户端进程。攻击者可能会滥用 BITS 功能来使用 BITS 服务下载或上传数据。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [规则类型:BBR], [数据源:Elastic Defend] |
无 |
3 |
|
识别在过去 5 分钟内创建且随后被共享 Windows 服务 (svchost) 加载的未签名库。攻击者可能会利用此技术来维持持久性或以系统权限运行。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:持久性], [战术:防御规避], [战术:执行], [数据源:Elastic Defend] |
无 |
7 |
|
识别加载未签名 DLL 的数字签名(受信任)进程。攻击者可能会将其有效载荷植入应用程序文件夹,并调用合法的应用程序来执行有效载荷,从而将其操作伪装在合法、受信任且可能具有提升权限的系统或软件进程下。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [规则类型:BBR], [数据源:Elastic Defend] |
无 |
102 |
|
识别从攻击者经常滥用来伪装成受信任程序的的位置运行的 Windows 受信任程序,并加载最近删除的 DLL。此行为可能表明试图通过在签名进程的内存空间内侧加载恶意 DLL 来规避防御。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [数据源:Elastic Defend] |
无 |
9 |
|
识别 DNS 服务器进程加载的异常 DLL,可能表明滥用了 ServerLevelPluginDll 功能。这可能导致权限提升和使用 SYSTEM 权限的远程代码执行。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:权限提升], [数据源:Elastic Defend], [数据源:Sysmon] |
8.14.0 |
103 |
|
识别 Azure AD 同步进程加载的没有有效代码签名的 DLL,这可能表明试图持久化或收集通过 Azure AD 同步服务器传递的敏感凭据。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:凭据访问], [数据源:Elastic Defend], [数据源:Sysmon] |
8.14.0 |
101 |
|
识别加载不受信任的驱动程序的尝试。攻击者可能会修改代码签名策略以允许执行未签名或自签名代码。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [资源:调查指南], [数据源:Elastic Defend] |
无 |
9 |
|
机器学习作业检测到一个 AWS API 命令,该命令本身并非可疑或异常,但正在由一个通常不使用该命令的用户上下文发出。这可能是由于凭据或密钥被盗用,有人使用有效帐户来维持持久性、横向移动或渗透数据。 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [规则类型:ML], [规则类型:机器学习], [资源:调查指南] |
无 |
209 |
|
识别 Windows 虚拟系统进程的可疑子进程,这可能表明代码注入。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:防御逃避],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:系统],[数据源:Microsoft Defender for Endpoint],[数据源:Sysmon],[数据源:SentinelOne] |
8.14.0 |
312 |
|
识别从 dns.exe(负责 Windows DNS 服务器服务的进程)派生的意外进程,这可能表明与远程代码执行或其他形式的漏洞利用相关的活动。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:横向移动], [资源:调查指南], [数据源:Elastic Endgame], [用例:漏洞], [数据源:Elastic Defend], [数据源:System], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
313 |
|
识别 RunDLL32 异常实例的子进程,其中命令行参数可疑。滥用 RunDLL32 可能表明恶意活动。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:防御规避], [数据源:Elastic Defend], [数据源:Sysmon] |
8.14.0 |
208 |
|
机器学习作业检测到 AWS 命令活动,该活动本身并非可疑或异常,但其来源地(城市)对于该命令而言是不寻常的。这可能是由于受威胁行为者在与授权用户不同的地理位置使用了被盗用的凭据或密钥。 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [规则类型:ML], [规则类型:机器学习], [资源:调查指南] |
无 |
209 |
|
机器学习作业检测到 AWS 命令活动,该活动本身并非可疑或异常,但其来源地(国家/地区)对于该命令而言是不寻常的。这可能是由于受威胁行为者在与授权用户不同的地理位置使用了被盗用的凭据或密钥。 |
[域:云], [数据源:AWS], [数据源:Amazon Web Services], [规则类型:ML], [规则类型:机器学习], [资源:调查指南] |
无 |
209 |
|
机器学习作业检测到罕见的异常 DNS 查询,这表明网络活动与异常 DNS 域相关。这可能是由于初始访问、持久性、命令和控制或数据渗透活动。例如,当用户单击网络钓鱼电子邮件中的链接或打开恶意文档时,可能会发送请求以从不常见的域下载并运行有效载荷。当恶意软件已经在运行时,它可能会向恶意软件用于命令和控制通信的不常见 DNS 域发送请求。 |
[用例:威胁检测],[规则类型:ML],[规则类型:机器学习],[战术:命令和控制] |
无 |
104 |
|
此规则检测到与 DPKG 包管理器无关的进程执行 DPKG 命令。DPKG 命令用于在 Linux 系统上安装、删除和管理 Debian 包。攻击者可以滥用 DPKG 命令在系统上安装恶意包。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[战术:持久性],[数据源:Elastic Defend] |
无 |
2 |
|
此规则利用来自各种发现构建块规则的警报数据,以警告具有不寻常的唯一 host.id 和 user.id 条目的信号。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:发现], [规则类型:高阶规则], [规则类型:BBR] |
无 |
2 |
|
此规则利用来自各种发现构建块规则的警报数据,以警告具有不寻常的唯一 host.id、user.id 和 process.command_line 条目的信号。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:发现], [规则类型:高阶规则] |
无 |
1 |
|
此规则利用发现构建块规则警报数据来警告具有不寻常的唯一 host.id、user.id 和 process.executable 条目的信号。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:发现], [规则类型:高阶规则] |
无 |
2 |
|
识别 Windows 系统关键进程正在创建或修改意外的可执行文件,这可能表明与远程代码执行或其他形式的漏洞利用相关的活动。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [战术:执行], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne] |
8.14.0 |
311 |
|
识别从 Microsoft 公用控制台文件执行的子进程。攻击者可能会在 MSC 文件中嵌入恶意命令,以欺骗受害者执行恶意命令。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:执行], [战术:初始访问], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne] |
8.14.0 |
201 |
|
识别高度目标文件上可疑的备用数据流创建。这对于合法文件来说是不常见的,有时会被攻击者用来隐藏恶意软件。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [资源:调查指南], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne], [数据源:Elastic Endgame] |
8.14.0 |
315 |
|
识别 dns.exe(负责 Windows DNS 服务器服务的进程)正在修改意外文件,这可能表明与远程代码执行或其他形式的漏洞利用相关的活动。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:横向移动], [数据源:Elastic Endgame], [用例:漏洞], [数据源:Elastic Defend], [数据源:Sysmon] |
8.14.0 |
211 |
|
检测到重复的高置信度阻止操作,以及违反特定内容筛选器策略(具有诸如不当行为、仇恨、性、侮辱、挑衅性攻击、暴力等代码)的行为,这表明持续的滥用或试图探测模型的道德界限。 |
[域:LLM], [数据源:AWS Bedrock], [数据源:AWS S3], [用例:策略违反], [Mitre Atlas:T0051], [Mitre Atlas:T0054] |
8.13.0 |
5 |
|
检测到重复的合规性违反阻止操作,以及特定的策略名称(例如 sensitive_information_policy),这表明持续的滥用或试图探测模型拒绝的主题。 |
[域:LLM], [数据源:AWS Bedrock], [数据源:AWS S3], [用例:策略违反], [Mitre Atlas:T0051], [Mitre Atlas:T0054] |
8.13.0 |
1 |
|
检测到重复的合规性违反阻止操作,以及特定的策略名称(例如 topic_policy),这表明持续的滥用或试图探测模型拒绝的主题。 |
[域:LLM], [数据源:AWS Bedrock], [数据源:AWS S3], [用例:策略违反], [Mitre Atlas:T0051], [Mitre Atlas:T0054] |
8.13.0 |
1 |
|
检测到重复的合规性违反阻止操作,以及特定的策略名称(例如 word_policy),这表明持续的滥用或试图探测模型拒绝的主题。 |
[域:LLM], [数据源:AWS Bedrock], [数据源:AWS S3], [用例:策略违反], [Mitre Atlas:T0051], [Mitre Atlas:T0054] |
8.13.0 |
1 |
|
机器学习作业检测到用户在对于该用户来说不寻常的时间登录。这可能是由于在用户和威胁行为者处于不同时区时,通过被盗用的帐户进行凭据访问。此外,未经授权的用户活动通常发生在非工作时间。 |
[用例:身份和访问审计], [用例:威胁检测], [规则类型:ML], [规则类型:机器学习], [战术:初始访问], [资源:调查指南] |
无 |
105 |
|
此规则识别可能尝试访问云服务提供商的实例元数据服务 (IMDS) API 端点的恶意进程,该端点可用于检索敏感的实例特定信息,例如实例 ID、公共 IP 地址,甚至在该实例承担角色时使用的临时安全凭据。该规则会监视各种工具和脚本(例如 curl、wget、python 和 perl),这些工具和脚本可能用于与元数据 API 交互。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:凭据访问], [战术:发现], [数据源:Elastic Defend] |
无 |
2 |
|
此规则检测从系统用户启动的交互式 shell。系统用户通常不需要交互式 shell,它们的存在可能表明恶意活动。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:防御规避], [数据源:Elastic Defend] |
无 |
1 |
|
识别通常不使用网络但具有意外网络活动的 Linux 进程,这可能表明命令和控制、横向移动、持久性或数据渗透活动。具有异常网络活动的进程可能表示进程漏洞利用或注入,其中该进程用于运行允许恶意行为者远程访问或控制主机、数据渗透和执行未经授权的网络应用程序的持久性机制。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [规则类型:ML], [规则类型:机器学习] |
无 |
104 |
|
查找来自不寻常用户上下文的与系统网络配置发现相关的命令。这可能是由于不常见的故障排除活动或由于帐户被盗用。威胁行为者可能会使用被盗用的帐户来参与系统网络配置发现,以增加他们对连接的网络和主机的了解。此信息可能用于塑造后续行为,例如横向移动或其他发现。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [规则类型:ML], [规则类型:机器学习], [战术:发现] |
无 |
105 |
|
查找来自不寻常用户上下文的与系统网络连接发现相关的命令。这可能是由于不常见的故障排除活动或由于帐户被盗用。威胁行为者可能会使用被盗用的帐户来参与系统网络连接发现,以增加他们对连接的服务和系统的了解。此信息可能用于塑造后续行为,例如横向移动或其他发现。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [规则类型:ML], [规则类型:机器学习], [战术:发现] |
无 |
104 |
|
识别可能表明命令和控制、持久性机制或数据渗透活动的异常目标端口活动。在 Linux 舰队中,很少使用的目标端口活动通常是不寻常的,这可能表明未经授权的访问或威胁行为者活动。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [规则类型:ML], [规则类型:机器学习] |
无 |
104 |
|
查找异常进程对元数据服务的异常访问。元数据服务可能会被攻击,以获取凭据或包含机密的用户名数据脚本。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [规则类型:ML], [规则类型:机器学习], [战术:凭据访问] |
无 |
104 |
|
检测来自不寻常用户环境的与系统进程发现相关的命令。这可能是由于不常见的故障排除活动或由于帐户被盗用所致。攻击者可能会利用被盗用的帐户进行系统进程发现,以增加他们对目标主机或网络上运行的软件应用程序的了解。这可能是选择持久化机制或特权提升方法的前兆。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [规则类型:ML], [规则类型:机器学习], [战术:发现] |
无 |
104 |
|
检测来自不寻常用户环境的与系统信息发现相关的命令。这可能是由于不常见的故障排除活动或由于帐户被盗用所致。攻击者可能会利用被盗用的帐户进行系统信息发现,以收集有关系统配置和软件版本的详细信息。这可能是选择持久化机制或特权提升方法的前兆。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [规则类型:ML], [规则类型:机器学习], [战术:发现] |
无 |
104 |
|
检测不寻常用户对云平台元数据服务的异常访问。元数据服务可能成为目标,以获取凭据或包含密钥的用户数据脚本。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [规则类型:ML], [规则类型:机器学习], [战术:凭据访问] |
无 |
104 |
|
检测来自不寻常用户环境的与系统用户或所有者发现相关的命令。这可能是由于不常见的故障排除活动或由于帐户被盗用所致。攻击者可能会利用被盗用的帐户进行系统所有者或用户发现,以识别系统中当前活跃或主要用户。这可能是其他发现、凭据转储或特权提升活动的前兆。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [规则类型:ML], [规则类型:机器学习], [战术:发现] |
无 |
105 |
|
机器学习作业检测到不常用用户名的活动,这可能表明未经授权的更改、未经授权用户的活动、横向移动或凭据被盗用。在许多组织中,除了特定类型的系统活动(例如为新员工创建新帐户)之外,通常不会创建新的用户名。这些用户帐户很快就会变得活跃和日常化。来自很少使用的用户名的事件可能指向可疑活动。此外,自动化的 Linux 集群只有在人员登录进行授权或未经授权的更改,或者攻击者获取凭据并出于恶意目的登录时,才会出现来自很少使用的用户名的活动。不寻常的用户名也可能表明枢轴移动,即使用被盗的凭据尝试从一台主机横向移动到另一台主机。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[规则类型:ML],[规则类型:机器学习],[策略:初始访问] |
无 |
104 |
|
识别异常高数量的身份验证尝试。 |
[用例:身份和访问审计], [用例:威胁检测], [规则类型:ML], [规则类型:机器学习], [策略:凭据访问] |
无 |
104 |
|
识别来自意外系统应用程序的网络活动。这可能表明存在对抗活动,因为这些应用程序通常被对手利用来执行代码并逃避检测。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [资源:调查指南], [数据源:Elastic Defend], [数据源:Sysmon] |
8.14.0 |
213 |
|
识别 dllhost.exe 进行出站网络连接的不寻常实例。这可能表明存在对抗性命令和控制活动。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:防御规避], [数据源:Elastic Defend], [数据源:Sysmon] |
8.14.0 |
207 |
|
识别 rundll32.exe 进行出站网络连接的不寻常实例。这可能表明存在对抗性命令和控制活动。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:防御规避],[策略:命令和控制],[资源:调查指南],[数据源:Elastic Defend],[数据源:Sysmon] |
8.14.0 |
209 |
|
机器学习作业检测到一个不寻常的网络目标域名。这可能是由于初始访问、持久化、命令和控制或数据泄露活动所致。例如,当用户单击网络钓鱼电子邮件中的链接或打开恶意文档时,可能会发送请求以从不常见的 Web 服务器名称下载并运行有效负载。当恶意软件已经在运行时,它可能会向恶意软件用于命令和控制通信的不常见 DNS 域发送请求。 |
[用例:威胁检测], [规则类型:ML], [规则类型:机器学习] |
无 |
104 |
|
识别 cmd.exe 从不寻常进程下降的可疑父子进程关系。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:执行],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:Sysmon],[数据源:SentinelOne],[数据源:Microsoft Defender for Endpoint] |
8.14.0 |
413 |
|
识别从意外父进程运行的 Windows 程序。这可能表明系统上存在伪装或其他奇怪活动。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:特权提升],[资源:调查指南],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:系统],[数据源:Microsoft Defender for Endpoint],[数据源:Sysmon],[数据源:SentinelOne],[数据源:Crowdstrike] |
8.14.0 |
314 |
|
识别直接修改服务注册表项的进程,而不是通过预期的 Windows API。这可能表明对手试图通过异常服务创建或修改现有服务来隐秘地进行持久化。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:持久性], [策略:防御规避], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne] |
8.14.0 |
310 |
|
检测不寻常的打印后台处理程序服务 (spoolsv.exe) 子进程。这可能表明试图利用与 Windows 上打印服务相关的特权提升漏洞。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:特权提升],[用例:漏洞],[数据源:Elastic Defend],[数据源:系统] |
8.14.0 |
209 |
|
识别从备用数据流运行的进程。这对于合法进程来说是不常见的,有时会被对手用来隐藏恶意软件。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:防御规避],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:Sysmon],[数据源:Microsoft Defender for Endpoint],[数据源:SentinelOne],[数据源:Crowdstrike] |
8.14.0 |
310 |
|
识别从 WBEM 路径运行的不寻常进程,这在与 WMI 相关的 Windows 进程之外是不常见的。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:防御规避], [数据源:Elastic Defend], [规则类型:BBR], [数据源:Elastic Endgame], [数据源:系统] |
8.14.0 |
104 |
|
识别使用对于 Windows 可执行文件来说通常无效的不寻常扩展名运行的进程。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [数据源:Elastic Defend], [规则类型:BBR] |
无 |
4 |
|
识别使用 MSSQL 服务帐户的不寻常进程执行,这可能表明 SQL 实例被利用/入侵。攻击者可能会利用暴露的 MSSQL 实例进行初始访问或横向移动。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:横向移动],[策略:持久化],[数据源:Elastic Defend],[规则类型:BBR] |
无 |
4 |
|
识别通常不在单个主机上运行的罕见进程,这可能表明执行了未经授权的服务、恶意软件或持久化机制。当进程与主机上运行的其他进程相比仅偶尔运行时,则认为进程是罕见的。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[规则类型:ML],[规则类型:机器学习],[策略:持久化] |
无 |
105 |
|
识别通常不在单个主机上运行的罕见进程,这可能表明执行了未经授权的服务、恶意软件或持久化机制。当进程与主机上运行的其他进程相比仅偶尔运行时,则认为进程是罕见的。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [规则类型:ML], [规则类型:机器学习], [战术:持久性], [资源:调查指南] |
8.14.0 |
211 |
|
识别来自意外系统应用程序的网络活动。这可能表明存在对抗活动,因为这些应用程序通常被对手利用来执行代码并逃避检测。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [资源:调查指南], [数据源:Elastic Defend], [数据源:Sysmon] |
8.14.0 |
208 |
|
机器学习作业检测到一个可疑的 Windows 进程。此进程以两种方式被归类为可疑。它被 ProblemChild 监督式 ML 模型预测为可疑,并且它被发现是一个不寻常的进程,在通常不表现出恶意活动的主机上。这样的进程可能是可疑或恶意活动的实例,可能涉及 LOLbin,这些活动可能难以使用传统的搜索规则进行检测。 |
[域:端点], [操作系统:Windows], [用例:Living off the Land 攻击检测], [规则类型:机器学习], [规则类型:机器学习], [战术:防御规避] |
8.14.0 |
107 |
|
机器学习作业检测到一个可疑的 Windows 进程。此进程以两种方式被归类为恶意。它被 ProblemChild 监督式 ML 模型预测为恶意,并且它被一个无监督的 ML 模型发现是一个不寻常的子进程名称(对于父进程)。这样的进程可能是可疑或恶意活动的实例,可能涉及 LOLbin,这些活动可能难以使用传统的搜索规则进行检测。 |
[域:端点], [操作系统:Windows], [用例:Living off the Land 攻击检测], [规则类型:机器学习], [规则类型:机器学习], [战术:防御规避] |
8.14.0 |
107 |
|
机器学习作业检测到一个可疑的 Windows 进程。此进程以两种方式被归类为恶意。它被 ProblemChild 监督式 ML 模型预测为恶意,并且通过无监督的 ML 模型发现,考虑到其用户环境不寻常并且通常不表现出恶意活动,因此它是可疑的。这样的进程可能是可疑或恶意活动的实例,可能涉及 LOLbin,这些活动可能难以使用传统的搜索规则进行检测。 |
[域:端点], [操作系统:Windows], [用例:Living off the Land 攻击检测], [规则类型:机器学习], [规则类型:机器学习], [战术:防御规避] |
8.14.0 |
107 |
|
机器学习作业检测到一个罕见的进程正在将数据写入外部设备。恶意行为者经常使用看起来良性的进程来掩盖其数据泄露活动。发现此类没有合法理由将数据写入外部设备的进程可能表明存在数据泄露。 |
[用例:数据泄露检测], [规则类型:ML], [规则类型:机器学习], [策略:泄露] |
无 |
4 |
|
异常检测作业检测到不寻常目录上的远程文件传输,这表明主机上可能存在横向移动活动。许多安全解决方案会监视已知目录是否存在可疑活动,因此攻击者可能会使用不太常见的目录来绕过监视。 |
[用例:横向移动检测],[规则类型:ML],[规则类型:机器学习],[战术:横向移动] |
无 |
4 |
|
异常检测作业检测到具有罕见扩展名的远程文件传输,这可能表明主机上存在潜在的横向移动活动。 |
[用例:横向移动检测],[规则类型:ML],[规则类型:机器学习],[战术:横向移动] |
无 |
4 |
|
机器学习作业检测到远程主机共享的异常大的文件大小,这表明可能存在横向移动活动。攻击者在获得网络访问权限后的主要目标之一是查找和泄露有价值的信息。攻击者可能会选择将数据捆绑到单个大型文件传输中,而不是进行多次可能引发警报的小型传输。 |
[用例:横向移动检测],[规则类型:ML],[规则类型:机器学习],[战术:横向移动] |
无 |
4 |
|
识别通常不生成任何子进程的服务主机 (svchost.exe) 的不寻常子进程。这可能表明代码注入或等效形式的利用。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:防御规避],[策略:特权提升],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:Sysmon],[数据源:Microsoft Defender for Endpoint],[数据源:SentinelOne] |
8.14.0 |
310 |
|
机器学习作业检测到用户从该用户不常用的 IP 地址登录。当用户和攻击者位于不同位置时,这可能是由于通过被盗帐户进行凭据访问所致。用户名的不寻常源 IP 地址也可能是由于横向移动,即使用被盗的帐户在主机之间进行枢轴移动。 |
[用例:身份和访问审计],[用例:威胁检测],[规则类型:ML],[规则类型:机器学习],[策略:初始访问] |
无 |
104 |
|
检测来自不寻常用户环境的 sudo 活动。不寻常的 sudo 用户可能是由于故障排除活动,或者可能是通过被盗帐户进行凭据访问的迹象。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[规则类型:ML],[规则类型:机器学习],[策略:特权提升] |
无 |
104 |
|
机器学习作业检测到在不寻常的时间或工作日启动的 RDP 会话。不寻常时间的 RDP 会话之后可能会出现其他可疑活动,因此捕获此会话是检测更大攻击的第一步。 |
[用例:横向移动检测],[规则类型:ML],[规则类型:机器学习],[战术:横向移动] |
无 |
4 |
|
此规则监视同一父进程在 1 秒内执行的 20 个“id”命令序列。这种行为是不寻常的,可能表明执行了枚举脚本,例如 LinPEAS 或 LinEnum。这些脚本利用“id”命令枚举系统上存在的所有用户的特权。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[策略:发现],[数据源:Elastic Defend] |
无 |
4 |
|
机器学习作业检测到一个罕见且不寻常的 URL,表明存在异常的网页浏览活动。这可能是由于初始访问、持久化、命令与控制或数据外泄活动造成的。例如,在战略性网站入侵或水坑攻击中,当一个受信任的网站被入侵以针对特定部门或组织时,目标用户可能会收到包含受信任网站不常见 URL 的电子邮件。这些 URL 可用于下载和运行有效负载。当恶意软件已经在运行时,它可能会向恶意软件用于命令和控制通信的受信任网站上的不常见 URL 发送请求。当观察到远程源请求本地 Web 服务器的罕见 URL 时,这些可能是由于 Web 扫描、枚举或攻击流量造成的,也可能是由于属于常见 Internet 背景流量一部分的机器人和 Web 爬虫造成的。 |
[用例:威胁检测],[规则类型:ML],[规则类型:机器学习],[战术:命令和控制] |
无 |
104 |
|
机器学习作业检测到一个罕见且不寻常的用户代理,表明有非常规进程(而非 Web 浏览器)的网页浏览活动。这可能是由于持久化、命令与控制或数据外泄活动造成的。来自远程源到本地目标的不常见用户代理通常是扫描器、机器人和 Web 爬虫的结果,它们是常见 Internet 背景流量的一部分。其中大部分是噪音,但有时可以通过发现不常见的用户代理来发现使用 Burp 或 SQLmap 等工具对网站进行的更有针对性的攻击。从本地源到远程目标的流量中出现的不常见用户代理可能是各种原因造成的,包括无害的程序,如天气监测或股票交易程序。但是,来自本地源的不常见用户代理也可能是由于恶意软件或扫描活动造成的。 |
[用例:威胁检测],[规则类型:ML],[规则类型:机器学习],[战术:命令和控制] |
无 |
104 |
|
识别通常不使用网络但具有意外网络活动的 Windows 进程,这可能表示命令和控制、横向移动、持久化或数据外泄活动。具有不寻常网络活动的进程可能表示进程利用或注入,其中该进程用于运行持久化机制,允许恶意行为者远程访问或控制主机、数据外泄以及执行未经授权的网络应用程序。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[规则类型:ML],[规则类型:机器学习] |
8.14.0 |
206 |
|
识别从文件系统中非典型文件夹启动的进程,这可能表示恶意软件执行或持久化机制。在公司 Windows 环境中,软件安装是集中管理的,从用户或临时目录执行程序是不常见的。从这些位置执行的进程可能表示用户直接从 Internet 下载了软件,或者恶意脚本或宏执行了恶意软件。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [规则类型:ML], [规则类型:机器学习], [战术:持久性], [战术:执行] |
8.14.0 |
207 |
|
查找异常进程对元数据服务的异常访问。元数据服务可能会被攻击,以获取凭据或包含机密的用户名数据脚本。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[规则类型:ML],[规则类型:机器学习],[战术:凭证访问] |
8.14.0 |
206 |
|
机器学习作业检测到一个不寻常的远程桌面协议 (RDP) 用户名,这可能表示帐户接管或使用被盗帐户的凭证持久化。RDP 攻击(如 BlueKeep)也倾向于使用不寻常的用户名。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[规则类型:ML],[规则类型:机器学习],[战术:初始访问] |
8.14.0 |
206 |
|
机器学习作业检测到一个不寻常的 Windows 服务。这可能表示执行未经授权的服务、恶意软件或持久化机制。在公司 Windows 环境中,主机通常不会运行许多罕见或独特的服务。此作业有助于检测已安装并作为服务运行的恶意软件和持久化机制。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[规则类型:ML],[规则类型:机器学习],[战术:持久化] |
8.14.0 |
206 |
|
检测不寻常用户对云平台元数据服务的异常访问。元数据服务可能成为目标,以获取凭据或包含密钥的用户数据脚本。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[规则类型:ML],[规则类型:机器学习],[战术:凭证访问] |
8.14.0 |
206 |
|
机器学习作业检测到使用 runas 命令或类似技术的不寻常用户上下文切换,这可能表示使用被盗帐户的帐户接管或权限提升。与普通 Windows 用户相比,域和网络管理员更常使用 runas 等工具进行权限提升。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[规则类型:ML],[规则类型:机器学习],[战术:权限提升] |
8.14.0 |
206 |
|
机器学习作业检测到不常用用户名的活动,这可能表明未经授权的更改、未经授权用户的活动、横向移动或凭据被盗用。在许多组织中,除了特定类型的系统活动(例如为新员工创建新帐户)之外,通常不会创建新的用户名。这些用户帐户很快就会变得活跃和日常化。来自很少使用的用户名的事件可能指向可疑活动。此外,自动化的 Linux 集群只有在人员登录进行授权或未经授权的更改,或者攻击者获取凭据并出于恶意目的登录时,才会出现来自很少使用的用户名的活动。不寻常的用户名也可能表明枢轴移动,即使用被盗的凭据尝试从一台主机横向移动到另一台主机。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[规则类型:ML],[规则类型:机器学习],[战术:初始访问] |
8.14.0 |
207 |
|
识别创建新用户的尝试。攻击者有时会这样做,以增加对系统或域的访问权限或建立持久性。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:持久化], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
311 |
|
识别何时将用户添加为 Azure 应用程序的所有者。攻击者可能会将用户帐户添加为 Azure 应用程序的所有者,以便使用另一个帐户授予额外的权限并修改应用程序的配置。 |
[域:云], [数据源:Azure], [用例:配置审计], [策略:持久化] |
无 |
102 |
|
识别何时将用户添加为 Azure 服务主体的所有者。服务主体对象定义应用程序在特定租户中可以执行的操作、谁可以访问该应用程序以及应用程序可以访问哪些资源。当应用程序被授予访问租户中资源的权限时,将创建服务主体对象。攻击者可能会将用户帐户添加为服务主体的所有者,并使用该帐户来定义应用程序可以在 Azure AD 租户中执行的操作。 |
[域:云], [数据源:Azure], [用例:配置审计], [策略:持久化] |
无 |
102 |
|
识别用户被添加到 Active Directory 中的特权组。Active Directory 中的特权帐户和组是被授予强大权利、特权和权限的帐户和组,使他们几乎可以在 Active Directory 和加入域的系统上执行任何操作。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:持久化],[资源:调查指南],[用例:Active Directory 监控],[数据源:Active Directory],[数据源:系统] |
8.14.0 |
211 |
|
识别添加到管理员组的用户。这可能表明权限提升活动。 |
[域:端点],[操作系统:macOS],[用例:威胁检测],[战术:权限提升],[数据源:Jamf Protect] |
无 |
1 |
|
检测用户帐户的 servicePrincipalName 属性何时被修改。攻击者可以滥用对用户的写入权限来配置服务主体名称 (SPN),以便他们可以执行 Kerberoasting。管理员也可以出于合法目的配置此项,从而将帐户暴露于 Kerberoasting。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:凭据访问],[数据源:Active Directory],[资源:调查指南],[用例:Active Directory 监控],[数据源:系统] |
8.14.0 |
213 |
|
此规则利用 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[战术:持久化],[数据源:Auditd Manager] |
无 |
3 |
|
此规则检测可能表明使用了来自 Internet 的 VNC 流量的网络事件。VNC 通常由系统管理员用来远程控制系统进行维护或使用共享资源。它几乎不应直接暴露于 Internet,因为它经常被威胁行为者作为初始访问或后门向量进行攻击和利用。 |
[策略:命令和控制], [域:端点], [用例:威胁检测], [数据源:PAN-OS] |
无 |
105 |
|
此规则检测可能表明使用了到 Internet 的 VNC 流量的网络事件。VNC 通常由系统管理员用来远程控制系统进行维护或使用共享资源。它几乎不应直接暴露于 Internet,因为它经常被威胁行为者作为初始访问或后门向量进行攻击和利用。 |
[策略:命令和控制], [域:端点], [用例:威胁检测], [数据源:PAN-OS] |
无 |
105 |
|
识别使用 Veeam.Backup.Common.dll 库的 PowerShell 或未签名进程进行的潜在凭证解密操作。攻击者可以使用 Veeam 凭证来攻击备份,作为破坏性操作(如勒索软件攻击)的一部分。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:凭证访问],[数据源:Elastic Defend] |
无 |
2 |
|
攻击者可能会尝试获取有关操作系统和硬件的详细信息。此规则识别非 root 用户用来发现虚拟机硬件的常用位置。Pupy RAT 和其他恶意软件已使用此技术。 |
[域:端点],[操作系统:Linux],[用例:威胁检测],[战术:发现],[数据源:Elastic Endgame],[数据源:Elastic Defend] |
无 |
108 |
|
攻击者可能会尝试获取有关操作系统和硬件的详细信息。此规则识别非 root 用户用来发现虚拟机硬件的常用位置。Pupy RAT 和其他恶意软件已使用此技术。 |
[域:端点],[操作系统:macOS],[操作系统:Linux],[用例:威胁检测],[战术:发现],[数据源:Elastic Defend] |
无 |
105 |
|
识别执行 macOS 内置命令以连接到现有虚拟专用网络 (VPN) 的情况。攻击者可能会使用 VPN 连接来横向移动和控制网络上的远程系统。 |
[域:端点], [操作系统:macOS], [用例:威胁检测], [策略:横向移动], [数据源:Elastic Defend] |
无 |
107 |
|
识别在端点上使用 vssadmin.exe 删除或调整卷影副本大小的情况。这种情况通常与勒索软件或其他破坏性攻击同时发生。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:影响],[资源:调查指南],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:系统],[数据源:Microsoft Defender for Endpoint],[数据源:Sysmon],[数据源:SentinelOne],[数据源:Crowdstrike] |
8.14.0 |
313 |
|
识别使用 Win32_ShadowCopy 类和相关 cmdlet 来实现卷影副本删除的情况。这种情况通常与勒索软件或其他破坏性攻击同时发生。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:影响],[战术:执行],[资源:调查指南],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:系统],[数据源:Microsoft Defender for Endpoint],[数据源:Sysmon],[数据源:SentinelOne],[数据源:Crowdstrike] |
8.14.0 |
313 |
|
识别在端点上使用 wmic.exe 删除卷影副本的情况。这种情况通常与勒索软件或其他破坏性攻击同时发生。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:影响],[战术:执行],[资源:调查指南],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:系统],[数据源:Microsoft Defender for Endpoint],[数据源:Sysmon],[数据源:SentinelOne],[数据源:Crowdstrike] |
8.14.0 |
313 |
|
识别通过远程主机上的 Windows Management Instrumentation (WMI) 执行的进程。这可能表示攻击者的横向移动,但如果管理员使用 WMI 远程管理主机,则可能会产生噪音。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:横向移动], [数据源:Elastic Defend], [数据源:Sysmon] |
8.14.0 |
210 |
|
攻击者可能会滥用 WMI 诊断工具 wbemtest.exe 来枚举 WMI 对象实例或针对本地或远程端点调用方法。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:执行],[数据源:Elastic Defend],[规则类型:BBR],[数据源:Elastic Endgame],[数据源:系统] |
8.14.0 |
104 |
|
识别使用 wmic.exe 在远程主机上运行命令的情况。虽然管理员可以合法使用它,但攻击者可以滥用此内置实用程序来实现横向移动。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:横向移动],[数据源:Elastic Defend],[规则类型:BBR],[数据源:Sysmon],[数据源:Elastic Endgame],[数据源:系统] |
8.14.0 |
107 |
|
识别 WPS Office promecefpluginhost.exe 可执行文件加载远程库的情况。这可能表示通过 DLL 劫持滥用 ksoqing 自定义协议处理程序成功利用了 CVE-2024-7262 或 CVE-2024-7263。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:初始访问],[战术:执行],[数据源:Elastic Defend],[数据源:Sysmon] |
8.14.0 |
101 |
|
识别对具有 WRITEDAC 权限的对象进行的访问。拥有 WRITEDAC 权限的用户可以执行写入自主访问控制列表 (WriteDACL) 操作,该操作用于修改与 Active Directory 中特定对象关联的访问控制规则。攻击者可能会滥用此权限来授予他们自己或其他受损帐户额外的权限,最终危及目标对象,导致权限提升、横向移动和持久化。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:防御规避], [数据源:Active Directory], [用例:Active Directory 监控], [规则类型:BBR], [数据源:系统] |
8.14.0 |
107 |
|
对 Web 应用程序的 POST 请求返回了 403 响应,表明 Web 应用程序拒绝处理该请求,因为所请求的操作是不允许的。 |
[数据源:APM] |
无 |
102 |
|
对 Web 应用程序的请求返回了 405 响应,表明 Web 应用程序拒绝处理该请求,因为该资源的 HTTP 方法不允许。 |
[数据源:APM] |
无 |
102 |
|
这是一个如何检测不需要的 Web 客户端用户代理的示例。此搜索匹配 sqlmap 1.3.11 的用户代理,sqlmap 1.3.11 是一个流行的 FOSS 工具,用于测试 Web 应用程序的 SQL 注入漏洞。 |
[数据源:APM] |
无 |
102 |
|
此规则识别何时通过 Python 产生 Web 服务器。攻击者可能会使用 Python 产生 Web 服务器来外泄/渗透数据或在网络中进行横向移动。 |
[域: 端点], [操作系统: Linux], [用例: 威胁检测], [策略: 执行], [数据源: Elastic Defend] |
无 |
1 |
|
识别通过 Web 服务器执行的可疑命令,这可能表明存在漏洞和远程 shell 访问。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:持久化], [策略:初始访问], [策略:执行], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:SentinelOne], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:Crowdstrike] |
8.14.0 |
416 |
|
识别使用内置的 networksetup 命令配置 webproxy 设置的情况。这可能表明有人试图劫持 Web 浏览器流量,以便通过流量嗅探或重定向来获取凭据访问权限。 |
[领域:端点], [操作系统:macOS], [用例:威胁检测], [战术:凭据访问], [数据源:Elastic Defend] |
无 |
206 |
|
识别 Web 服务器访问日志的删除。这可能表明有人试图逃避检测或销毁系统上的取证证据。 |
[域:端点], [操作系统:Linux], [操作系统:Windows], [操作系统:macOS], [用例:威胁检测], [策略:防御规避], [数据源:Elastic Defend], [数据源:Sysmon] |
8.14.0 |
207 |
|
识别 Werfault 调试器的注册。攻击者可能会滥用此机制,每次使用“-pr”参数执行该实用程序时,都会执行恶意负载。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:持久性], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne], [数据源:Sysmon] |
8.14.0 |
202 |
|
识别可疑地使用 whoami.exe,它显示当前登录到本地系统的用户的用户、组和权限信息。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:发现], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Microsoft Defender for Endpoint], [数据源:系统] |
8.14.0 |
213 |
|
此规则识别枚举帐户或组信息的命令的执行。攻击者可能会使用内置应用程序来获取本地系统或域帐户和组的列表。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:侦察], [规则类型:BBR], [数据源:Elastic Defend] |
无 |
5 |
|
Windows CryptoAPI (Crypt32.dll) 验证椭圆曲线密码术 (ECC) 证书的方式中存在欺骗漏洞。攻击者可以利用该漏洞,通过使用伪造的代码签名证书来签署恶意可执行文件,使其看起来像是来自受信任的合法来源的文件。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:防御规避], [用例:漏洞], [数据源:系统] |
8.14.0 |
207 |
|
识别对 Windows Defender 注册表设置的修改,以禁用该服务或将该服务设置为手动启动。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:防御规避], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint] |
8.14.0 |
215 |
|
识别使用 PowerShell 修改 Windows Defender 配置设置,以在文件夹目录或进程级别添加排除项的情况。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:逃避防御], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
313 |
|
识别清除 Windows 事件日志存储的尝试。攻击者经常这样做是为了逃避检测或销毁系统上的取证证据。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:防御规避], [资源:调查指南], [数据源:系统] |
8.14.0 |
211 |
|
识别何时使用 PowerShell cmdlet 禁用 Windows 防火墙,这可以帮助攻击者逃避网络约束,如 Internet 和网络横向通信限制。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:逃避防御], [策略:执行], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
311 |
|
识别从存档或具有可疑属性的安装程序的执行情况。攻击者可能会滥用 msiexec.exe 来启动本地或网络可访问的 MSI 文件,以尝试绕过应用程序白名单。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:防御规避], [规则类型:BBR], [数据源:Elastic Defend] |
无 |
2 |
|
识别使用内置 Windows net.exe 工具枚举网络中主机的尝试。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:发现], [策略:收集], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [规则类型:BBR] |
8.14.0 |
214 |
|
识别在服务器消息块 (SMB) 共享上创建或修改中等大小的注册表配置单元文件,这可能表明有人试图外泄先前转储的用于在攻击者控制的系统上提取凭据的安全帐户管理器 (SAM) 注册表配置单元。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[策略:横向移动],[策略:凭据访问],[资源:调查指南],[数据源:Elastic Defend] |
无 |
109 |
|
识别由 cscript.exe 或 wscript.exe 启动的 PowerShell 进程。观察执行 PowerShell 脚本的 Windows 脚本进程可能表明存在恶意活动。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:初始访问], [策略:执行], [资源:调查指南], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon], [数据源:Microsoft Defender for Endpoint], [数据源:SentinelOne] |
8.14.0 |
312 |
|
识别使用内置的 Windows 脚本解释器(cscript.exe 或 wscript.exe)通过 Windows Management Instrumentation (WMI) 执行进程的情况。这可能表明存在恶意活动。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:初始访问], [策略:执行], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:Sysmon] |
8.14.0 |
210 |
|
识别由不寻常的客户端进程创建 Windows 服务的情况。可以使用管理员权限创建服务,但在 SYSTEM 权限下执行,因此攻击者也可能使用服务将权限从管理员提升到 SYSTEM。 |
[领域: 端点], [操作系统: Windows], [用例: 威胁检测], [战术: 权限提升], [数据源: 系统] |
8.14.0 |
211 |
|
检测注册表中的更改,这些更改表明按名称安装了新的适用于 Linux 的 Windows 子系统发行版。攻击者可能会启用并使用适用于 Linux 的 WSL 来避免检测。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:防御规避],[数据源:Elastic Endgame],[数据源:Elastic Defend],[数据源:Sysmon],[数据源:Microsoft Defender for Endpoint],[数据源:SentinelOne] |
8.14.0 |
208 |
|
检测使用 Microsoft Dism 实用程序启用适用于 Linux 的 Windows 子系统的尝试。攻击者可能会启用并使用适用于 Linux 的 WSL 来避免检测。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:防御规避], [数据源:Elastic Endgame], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
209 |
|
检测用于发现系统信息的命令的执行,攻击者可能会在危及系统后使用这些命令来获取态势感知。 |
[域:端点],[操作系统:Windows],[用例:威胁检测],[战术:发现],[规则类型:BBR],[数据源:Elastic Defend],[数据源:Elastic Endgame],[数据源:系统] |
8.14.0 |
108 |
|
此规则识别可用于枚举网络连接的命令的执行。攻击者可能会尝试获取受损系统之间或来自受损系统的网络连接列表,以识别环境中的目标。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [战术:侦察], [规则类型:BBR], [数据源:Elastic Defend] |
无 |
4 |
|
识别使用 Windows 内置实用程序 Netsh 以纯文本转储无线保存的访问密钥的尝试。 |
[域:端点], [操作系统:Windows], [用例:威胁检测], [策略:凭据访问], [策略:发现], [数据源:Elastic Endgame], [资源:调查指南], [数据源:Elastic Defend], [数据源:系统], [数据源:Microsoft Defender for Endpoint], [数据源:Sysmon], [数据源:SentinelOne], [数据源:Crowdstrike] |
8.14.0 |
210 |
|
检测 Yum 程序包管理器插件目录中的文件创建事件。在 Linux 中,Yum(Yellowdog Updater,Modified)是一个命令行实用程序,用于处理(默认情况下)基于 Fedora 的系统上的程序包,提供安装、更新、升级和删除软件以及管理程序包存储库的功能。攻击者可以通过将恶意代码注入 Yum 运行的插件来对 Yum 进行后门攻击,从而确保每次使用 Yum 进行程序包管理时都能持续进行未经授权的访问或控制。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:持久性], [战术:防御规避], [数据源:Elastic Defend] |
无 |
4 |
|
此规则检测在 Linux 系统上执行带有 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [战术:发现], [数据源:Elastic Defend], [数据源:Elastic Endgame] |
无 |
2 |
|
此规则识别在没有密码的情况下创建的 Zoom 会议。没有密码的会议容易受到 Zoombombing 的攻击。Zoombombing 是通过利用没有密码保护的 Zoom 会议进行的。Zoombombing 是指通常由 Internet 喷子和黑客对视频会议进行的有害、破坏性入侵。在典型的 Zoombombing 事件中,远程会议会被插入淫秽、色情、种族主义或反犹太主义性质的材料劫持,通常会导致会议关闭。 |
[数据源:Zoom], [用例:配置审核], [策略:初始访问] |
无 |
103 |
|
此规则监视 rc.local/rc.common 文件的创建/更改。/etc/rc.local 文件用于在启动期间启动自定义应用程序、服务、脚本或命令。rc.local 文件大多已被 Systemd 取代。但是,通过“systemd-rc-local-generator”,可以将 rc.local 文件转换为在启动时运行的服务。攻击者可能会更改 rc.local/rc.common 以在启动时执行恶意代码,并在系统上获得持久性。 |
[域:端点], [操作系统:Linux], [用例:威胁检测], [策略:持久性], [资源:调查指南], [数据源:Elastic Defend] |
无 |
114 |