远程文件传输激增
编辑远程文件传输激增
编辑机器学习作业检测到主机上共享的远程文件量异常,表明可能存在横向移动活动。攻击者在获得对网络的访问权限后,主要目标之一是查找和泄露有价值的信息。攻击者可能会执行多次小型传输,以匹配网络中的正常出口活动,从而逃避检测。
规则类型:machine_learning
规则索引:无
严重程度:低
风险评分: 21
运行频率:15 分钟
搜索索引起始时间:now-90m(日期数学格式,另请参阅 额外的回溯时间)
每次执行的最大告警数: 100
参考:
标签:
- 用例:横向移动检测
- 规则类型:ML
- 规则类型:机器学习
- 战术:横向移动
版本: 4
规则作者:
- Elastic
规则许可证:Elastic License v2
设置
编辑设置
此规则需要安装横向移动检测集成资产,以及由 Elastic Defend 集成收集的文件和 Windows RDP 进程事件。
横向移动检测设置
横向移动检测集成通过识别文件和 Windows RDP 事件中的异常来检测横向移动活动。使用 Elastic 的异常检测功能来检测异常。
先决条件
- 横向移动检测需要 Fleet。
- 要配置 Fleet Server,请参阅文档。
- 由Elastic Defend 集成收集的文件事件。
- 要安装 Elastic Defend,请参阅文档。
应执行以下步骤来安装与横向移动检测集成关联的资产
- 转到 Kibana 主页。在“管理”下,单击“集成”。
- 在查询栏中,搜索“横向移动检测”并选择集成以查看有关它的更多详细信息。
- 按照 安装 部分下的说明进行操作。
- 为了使此规则起作用,请完成 添加预配置的异常检测作业 的说明。
框架:MITRE ATT&CKTM
-
战术
- 名称:横向移动
- ID:TA0008
- 参考 URL:https://attack.mitre.org/tactics/TA0008/
-
技术
- 名称:利用远程服务
- ID:T1210
- 参考 URL:https://attack.mitre.org/techniques/T1210/