不寻常的远程文件目录
编辑不寻常的远程文件目录
编辑一个异常检测任务检测到在不寻常的目录上的远程文件传输,这表明主机上可能存在横向移动活动。许多安全解决方案会监视众所周知的目录以查找可疑活动,因此攻击者可能会使用不太常见的目录来绕过监视。
规则类型: machine_learning
规则索引: 无
严重性: 低
风险评分: 21
运行频率: 15 分钟
搜索索引时间范围: now-90m (日期数学格式,另请参阅 额外的回溯时间)
每次执行的最大警报数: 100
参考资料:
标签:
- 用例:横向移动检测
- 规则类型:ML
- 规则类型:机器学习
- 策略:横向移动
版本: 4
规则作者:
- Elastic
规则许可: Elastic License v2
设置
编辑设置
该规则需要安装横向移动检测集成资产,以及由 Elastic Defend 集成收集的文件和 Windows RDP 进程事件。
横向移动检测设置
横向移动检测集成通过识别文件和 Windows RDP 事件中的异常情况来检测横向移动活动。异常情况使用 Elastic 的异常检测功能进行检测。
先决条件
- 横向移动检测需要 Fleet。
- 要配置 Fleet Server,请参阅文档。
- 由Elastic Defend集成收集的文件事件。
- 要安装 Elastic Defend,请参阅文档。
应执行以下步骤以安装与横向移动检测集成关联的资产
- 转到 Kibana 主页。在“管理”下,单击“集成”。
- 在查询栏中,搜索“横向移动检测”并选择该集成以查看有关它的更多详细信息。
- 按照安装部分下的说明进行操作。
- 为了使此规则起作用,请完成直至添加预配置的异常检测作业的说明。
框架: MITRE ATT&CKTM
-
策略
- 名称:横向移动
- ID: TA0008
- 参考 URL:https://attack.mitre.org/tactics/TA0008/
-
技术
- 名称:利用远程服务
- ID: T1210
- 参考 URL:https://attack.mitre.org/techniques/T1210/