使用内置工具查询注册表

编辑

使用内置工具查询注册表

编辑

此规则识别可以用来查询 Windows 注册表的命令的执行。攻击者可能会查询注册表以获取有关主机的态势感知，例如已安装的安全软件、程序和设置。

规则类型: new_terms

规则索引:

logs-endpoint.events.process-*

严重性: 低

风险评分: 21

运行频率: 24 小时

搜索索引时间范围: now-24h（日期数学格式，另请参阅 额外回溯时间）

每次执行的最大警报数: 100

参考: 无

标签:

域: 端点
操作系统: Windows
用例: 威胁检测
战术: 发现
规则类型: BBR
数据源: Elastic Defend

版本: 105

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询

编辑

host.os.type:windows and event.category:process and event.type:start and
  (
    (process.name.caseless:"reg.exe" and process.args:"query") or
    (process.name.caseless:("powershell.exe" or "powershell_ise.exe" or "pwsh.exe") and
     process.args:(
       ("get-childitem" or "Get-ChildItem" or "gci" or "dir" or "ls" or
        "get-item" or "Get-Item" or "gi" or
        "get-itemproperty" or "Get-ItemProperty" or "gp") and
       ("hkcu" or "HKCU" or "hkey_current_user" or "HKEY_CURRENT_USER" or
        "hkey_local_machine" or "HKEY_LOCAL_MACHINE" or
        "hklm" or "HKLM" or registry\:\:*)
      )
    )
  ) and
  not process.command_line : (
    "C:\\Windows\\system32\\reg.exe  query hklm\\software\\microsoft\\windows\\softwareinventorylogging /v collectionstate /reg:64" or
    "reg  query \"HKLM\\Software\\WOW6432Node\\Npcap\" /ve  "
  )

框架: MITRE ATT&CK^TM

战术
- 名称: 发现
- ID: TA0007
- 参考 URL: https://attack.mitre.org/tactics/TA0007/
技术
- 名称: 查询注册表
- ID: T1012
- 参考 URL: https://attack.mitre.org/techniques/T1012/

« 未签名或不受信任的进程删除了隔离属性来自 Internet 的 RDP（远程桌面协议）»