远程计算机帐户 DnsHostName 更新
编辑远程计算机帐户 DnsHostName 更新
编辑识别对计算机帐户的 DnsHostName 属性的远程更新。如果设置的新值是有效的域控制器 DNS 主机名,并且主体计算机名称不是域控制器,那么它很可能是利用 CVE-2022-26923 的准备步骤,试图将权限从标准域用户提升到域管理员权限。
规则类型: eql
规则索引:
- winlogbeat-*
- logs-system.*
- logs-windows.*
严重性: 高
风险评分: 73
运行频率: 5 分钟
搜索索引起始时间: now-9m (日期数学格式, 另请参阅 额外的回溯时间)
每次执行的最大警报数: 100
参考:
标签:
- 域: 端点
- 操作系统: Windows
- 用例: 威胁检测
- 战术: 权限提升
- 用例: 活动目录监控
- 数据源: 活动目录
- 用例: 漏洞
- 数据源: 系统
版本: 208
规则作者:
- Elastic
规则许可证: Elastic License v2
规则查询
编辑iam where event.action == "changed-computer-account" and user.id : ("S-1-5-21-*", "S-1-12-1-*") and
/* if DnsHostName value equal a DC DNS hostname then it's highly suspicious */
winlog.event_data.DnsHostName : "??*" and
/* exclude FPs where DnsHostName starts with the ComputerName that was changed */
not startswith~(winlog.event_data.DnsHostName, substring(winlog.event_data.TargetUserName, 0, length(winlog.event_data.TargetUserName) - 1))
框架: MITRE ATT&CKTM
-
战术
- 名称: 权限提升
- ID: TA0004
- 参考 URL: https://attack.mitre.org/tactics/TA0004/
-
技术
- 名称: 利用进行权限提升
- ID: T1068
- 参考 URL: https://attack.mitre.org/techniques/T1068/
-
技术
- 名称: 有效帐户
- ID: T1078
- 参考 URL: https://attack.mitre.org/techniques/T1078/
-
子技术
- 名称: 域帐户
- ID: T1078.002
- 参考 URL: https://attack.mitre.org/techniques/T1078/002/