端口 26/TCP 上的 SMTP
编辑端口 26/TCP 上的 SMTP
编辑此规则检测可能指示在 TCP 端口 26 上使用 SMTP 的事件。 此端口通常被多个流行的邮件传输代理使用,以避免与默认的 SMTP 端口 25 冲突。 此端口也被一个名为 BadPatch 的恶意软件家族用于控制 Windows 系统。
规则类型: 查询
规则索引:
- packetbeat-*
- auditbeat-*
- filebeat-*
- logs-network_traffic.*
- logs-panw.panos*
严重性: 低
风险评分: 21
运行频率: 5 分钟
搜索索引范围: 从 now-9m 开始 (日期数学格式,另请参阅 额外的回溯时间)
每次执行的最大警报数: 100
参考:
标签:
- 策略:命令和控制
- 域:端点
- 用例:威胁检测
- 数据源:PAN-OS
版本: 105
规则作者:
- Elastic
规则许可: Elastic License v2
规则查询
编辑(event.dataset: (network_traffic.flow or zeek.smtp) or event.category:(network or network_traffic)) and network.transport:tcp and destination.port:26
框架: MITRE ATT&CKTM
-
策略
- 名称:命令和控制
- ID:TA0011
- 参考 URL: https://attack.mitre.org/tactics/TA0011/
-
策略
- 名称:数据渗漏
- ID:TA0010
- 参考 URL: https://attack.mitre.org/tactics/TA0010/
-
技术
- 名称:通过替代协议渗漏数据
- ID:T1048
- 参考 URL: https://attack.mitre.org/techniques/T1048/