代理欺骗 - 多个主机使用同一个代理
编辑代理欺骗 - 多个主机使用同一个代理编辑
检测到多个主机使用同一个代理 ID。如果代理被接管并用于向实例注入非法文档,试图欺骗事件以掩盖实际活动以逃避检测,则可能会发生这种情况。
规则类型:阈值
规则索引:
- logs-*
- metrics-*
- traces-*
严重程度:高
风险评分: 73
运行频率:5 分钟
搜索索引范围:now-9m(日期数学格式,另请参阅额外回溯时间)
每次执行的最大警报数: 100
参考:无
标签:
- 用例:威胁检测
- 策略:防御规避
版本: 102
规则作者:
- Elastic
规则许可证:Elastic 许可证 v2
规则查询编辑
event.agent_id_status:* and not tags:forwarded
框架:MITRE ATT&CKTM
-
策略
- 名称:防御规避
- ID:TA0005
- 参考链接:https://attack.mitre.org/tactics/TA0005/
-
技术
- 名称:伪装
- ID:T1036
- 参考链接:https://attack.mitre.org/techniques/T1036/