异常远程文件大小
编辑异常远程文件大小
编辑一个机器学习作业检测到一个由远程主机共享的异常大的文件大小,这表明可能存在横向移动活动。攻击者在获得对网络的访问权限后,主要目标之一是找到并泄露有价值的信息。攻击者可能选择将数据捆绑到一个大的文件传输中,而不是进行多次小传输,后者可能会引发警报。
规则类型: machine_learning
规则索引: 无
严重性: 低
风险评分: 21
运行频率: 15 分钟
搜索索引时间范围: now-90m (Date Math 格式,另请参阅 额外回溯时间)
每次执行的最大警报数: 100
参考:
标签:
- 用例:横向移动检测
- 规则类型:ML
- 规则类型:机器学习
- 战术:横向移动
版本: 4
规则作者:
- Elastic
规则许可: Elastic License v2
设置
编辑设置
该规则需要安装横向移动检测集成资产,以及 Elastic Defend 集成收集的文件和 Windows RDP 进程事件。
横向移动检测设置
横向移动检测集成通过识别文件和 Windows RDP 事件中的异常来检测横向移动活动。异常是使用 Elastic 的异常检测功能检测的。
先决条件
- 横向移动检测需要 Fleet。
- 要配置 Fleet Server,请参阅 文档。
- 由 Elastic Defend 集成收集的文件事件。
- 要安装 Elastic Defend,请参阅 文档。
应执行以下步骤以安装与横向移动检测集成相关的资产
- 转到 Kibana 主页。在“管理”下,单击“集成”。
- 在查询栏中,搜索横向移动检测并选择集成以查看有关它的更多详细信息。
- 按照 安装 部分下的说明进行操作。
- 为了使此规则起作用,请完成添加预配置的异常检测作业的说明。
框架: MITRE ATT&CKTM
-
战术
- 名称:横向移动
- ID:TA0008
- 参考 URL:https://attack.mitre.org/tactics/TA0008/
-
技术
- 名称:利用远程服务
- ID:T1210
- 参考 URL:https://attack.mitre.org/techniques/T1210/