› › ›

异常进程网络连接

编辑

异常进程网络连接

编辑

识别来自意外系统应用程序的网络活动。这可能表明存在恶意活动，因为攻击者经常利用这些应用程序来执行代码并逃避检测。

规则类型: eql

规则索引:

winlogbeat-*
logs-endpoint.events.process-*
logs-endpoint.events.network-*
logs-windows.sysmon_operational-*

严重性: 低

风险评分: 21

运行频率: 5 分钟

搜索索引范围: now-9m (日期数学格式，另请参阅额外的回溯时间)

每次执行的最大警报数: 100

参考: 无

标签:

域: 端点
操作系统: Windows
用例: 威胁检测
战术: 防御规避
资源: 调查指南
数据源: Elastic Defend
数据源: Sysmon

版本: 208

规则作者:

Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查异常进程网络连接

此规则识别来自意外系统实用程序和应用程序的网络活动。攻击者通常会滥用这些应用程序来执行代码、逃避检测和绕过安全保护。

可能的调查步骤

调查未知进程的进程执行链（父进程树）。检查它们的可执行文件是否常见、是否位于预期位置以及是否使用有效的数字签名进行签名。
调查过去 48 小时内与用户/主机相关的其他警报。
调查该进程正在与之通信的目标主机。
通过查找跨主机的类似事件来评估此行为在环境中是否普遍存在。

误报分析

此活动不太可能合法发生。如果需要，可以将良性真阳性 (B-TP) 添加为例外。

响应和补救

根据分类的结果启动事件响应流程。
隔离受影响的主机，以防止进一步的攻击后行为。
调查攻击者入侵或使用的系统上的凭据泄露情况，以确保识别所有受损帐户。重置这些帐户和其他可能泄露的凭据（例如电子邮件、业务系统和 Web 服务）的密码。
运行全面的反恶意软件扫描。这可能会揭示系统中留下的其他工件、持久化机制和恶意软件组件。
确定攻击者滥用的初始载体，并采取行动以防止通过相同的载体再次感染。
审查分配给用户的权限，以确保遵循最小权限原则。
使用事件响应数据，更新日志记录和审计策略，以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

规则查询

编辑

sequence by process.entity_id
  [process where host.os.type == "windows" and (process.name : "Microsoft.Workflow.Compiler.exe" or
                  process.name : "bginfo.exe" or
                  process.name : "cdb.exe" or
                  process.name : "cmstp.exe" or
                  process.name : "csi.exe" or
                  process.name : "dnx.exe" or
                  process.name : "fsi.exe" or
                  process.name : "ieexec.exe" or
                  process.name : "iexpress.exe" or
                  process.name : "odbcconf.exe" or
                  process.name : "rcsi.exe" or
                  process.name : "xwizard.exe") and
     event.type == "start"]
  [network where host.os.type == "windows" and (process.name : "Microsoft.Workflow.Compiler.exe" or
                  process.name : "bginfo.exe" or
                  process.name : "cdb.exe" or
                  process.name : "cmstp.exe" or
                  process.name : "csi.exe" or
                  process.name : "dnx.exe" or
                  process.name : "fsi.exe" or
                  process.name : "ieexec.exe" or
                  process.name : "iexpress.exe" or
                  process.name : "odbcconf.exe" or
                  process.name : "rcsi.exe" or
                  process.name : "xwizard.exe")]

框架: MITRE ATT&CK^TM

战术
- 名称: 防御规避
- ID: TA0005
- 参考 URL: https://attack.mitre.org/tactics/TA0005/
技术
- 名称: 受信任的开发人员实用程序代理执行
- ID: T1127
- 参考 URL: https://attack.mitre.org/techniques/T1127/

« Windows 主机上的异常进程主机生成的异常进程 »