异常发现信号警报,包含异常进程命令行
编辑异常发现信号警报,包含异常进程命令行
编辑此规则利用来自各种发现构建块规则的警报数据,以针对具有不寻常的唯一 host.id、user.id 和 process.command_line 条目的信号发出警报。
规则类型: new_terms
规则索引:
- .alerts-security.*
严重性: 低
风险评分: 21
运行频率: 5分钟
搜索索引时间范围: now-9m (Date Math 格式, 另请参阅 额外回溯时间)
每次执行的最大警报数: 100
参考: 无
标签:
- 域: 端点
- 操作系统: Windows
- 用例: 威胁检测
- 战术: 发现
- 规则类型: 高阶规则
版本: 1
规则作者:
- Elastic
规则许可证: Elastic License v2
规则查询
编辑host.os.type:windows and event.kind:signal and kibana.alert.rule.rule_id:( "d68e95ad-1c82-4074-a12a-125fe10ac8ba" or "7b8bfc26-81d2-435e-965c-d722ee397ef1" or "0635c542-1b96-4335-9b47-126582d2c19a" or "6ea55c81-e2ba-42f2-a134-bccf857ba922" or "e0881d20-54ac-457f-8733-fe0bc5d44c55" or "06568a02-af29-4f20-929c-f3af281e41aa" or "c4e9ed3e-55a2-4309-a012-bc3c78dad10a" or "51176ed2-2d90-49f2-9f3d-17196428b169" )
框架: MITRE ATT&CKTM
-
战术
- 名称: 发现
- ID: TA0007
- 参考 URL: https://attack.mitre.org/tactics/TA0007/