使用内置工具查询注册表
编辑使用内置工具查询注册表
编辑此规则识别可以用来查询 Windows 注册表的命令的执行。攻击者可能会查询注册表以获取有关主机的态势感知,例如已安装的安全软件、程序和设置。
规则类型: new_terms
规则索引:
- logs-endpoint.events.process-*
严重性: 低
风险评分: 21
运行频率: 24 小时
搜索索引时间范围: now-24h(日期数学格式,另请参阅 额外回溯时间
)
每次执行的最大警报数: 100
参考: 无
标签:
- 域: 端点
- 操作系统: Windows
- 用例: 威胁检测
- 战术: 发现
- 规则类型: BBR
- 数据源: Elastic Defend
版本: 105
规则作者:
- Elastic
规则许可证: Elastic License v2
规则查询
编辑host.os.type:windows and event.category:process and event.type:start and ( (process.name.caseless:"reg.exe" and process.args:"query") or (process.name.caseless:("powershell.exe" or "powershell_ise.exe" or "pwsh.exe") and process.args:( ("get-childitem" or "Get-ChildItem" or "gci" or "dir" or "ls" or "get-item" or "Get-Item" or "gi" or "get-itemproperty" or "Get-ItemProperty" or "gp") and ("hkcu" or "HKCU" or "hkey_current_user" or "HKEY_CURRENT_USER" or "hkey_local_machine" or "HKEY_LOCAL_MACHINE" or "hklm" or "HKLM" or registry\:\:*) ) ) ) and not process.command_line : ( "C:\\Windows\\system32\\reg.exe query hklm\\software\\microsoft\\windows\\softwareinventorylogging /v collectionstate /reg:64" or "reg query \"HKLM\\Software\\WOW6432Node\\Npcap\" /ve " )
框架: MITRE ATT&CKTM
-
战术
- 名称: 发现
- ID: TA0007
- 参考 URL: https://attack.mitre.org/tactics/TA0007/
-
技术
- 名称: 查询注册表
- ID: T1012
- 参考 URL: https://attack.mitre.org/techniques/T1012/