« ROT 编码的 Python 脚本执行 到互联网的 RPC(远程过程调用) »
Elastic 文档 Elastic 安全解决方案 [8.17] 检测和警报 预构建规则参考

来自互联网的 RPC(远程过程调用)

编辑

来自互联网的 RPC(远程过程调用)

编辑

此规则检测可能表明使用了来自互联网的 RPC 流量的网络事件。RPC 通常被系统管理员用于远程控制系统进行维护或使用共享资源。它几乎不应该直接暴露在互联网上,因为它经常被威胁行为者作为初始访问或后门载体进行攻击和利用。

规则类型: 查询

规则索引:

  • packetbeat-*
  • auditbeat-*
  • filebeat-*
  • logs-network_traffic.*
  • logs-panw.panos*

严重性: 高

风险评分: 73

运行频率: 5 分钟

搜索索引时间范围: now-9m (日期数学格式, 另请参阅 额外回溯时间)

每次执行的最大警报数: 100

参考:

标签:

  • 策略: 初始访问
  • 域: 端点
  • 用例: 威胁检测
  • 数据源: PAN-OS

版本: 104

规则作者:

  • Elastic

规则许可证: Elastic License v2

规则查询

编辑
(event.dataset: network_traffic.flow or (event.category: (network or network_traffic))) and
  network.transport:tcp and (destination.port:135 or event.dataset:zeek.dce_rpc) and
  not source.ip:(
    10.0.0.0/8 or
    127.0.0.0/8 or
    169.254.0.0/16 or
    172.16.0.0/12 or
    192.0.0.0/24 or
    192.0.0.0/29 or
    192.0.0.8/32 or
    192.0.0.9/32 or
    192.0.0.10/32 or
    192.0.0.170/32 or
    192.0.0.171/32 or
    192.0.2.0/24 or
    192.31.196.0/24 or
    192.52.193.0/24 or
    192.168.0.0/16 or
    192.88.99.0/24 or
    224.0.0.0/4 or
    100.64.0.0/10 or
    192.175.48.0/24 or
    198.18.0.0/15 or
    198.51.100.0/24 or
    203.0.113.0/24 or
    240.0.0.0/4 or
    "::1" or
    "FE80::/10" or
    "FF00::/8"
  ) and
  destination.ip:(
    10.0.0.0/8 or
    172.16.0.0/12 or
    192.168.0.0/16
  )

框架: MITRE ATT&CKTM

« ROT 编码的 Python 脚本执行 到互联网的 RPC(远程过程调用) »