« 创建隐藏的本地用户帐户 创建或修改可插拔身份验证模块或配置 »
Elastic 文档 Elastic 安全解决方案 [8.14] 检测和警报 预构建规则参考

创建或修改域备份 DPAPI 私钥

编辑

创建或修改域备份 DPAPI 私钥编辑

识别域备份私钥的创建或修改。攻击者可能会从域控制器 (DC) 提取数据保护 API (DPAPI) 域备份密钥,以便能够解密任何域用户主密钥文件。

规则类型:eql

规则索引:

  • winlogbeat-*
  • logs-endpoint.events.file-*
  • logs-windows.sysmon_operational-*
  • endgame-*
  • logs-sentinel_one_cloud_funnel.*
  • logs-m365_defender.event-*

严重程度:高

风险评分: 73

运行频率:5 分钟

搜索索引的时间范围:now-9m(日期数学格式,另请参阅额外的回溯时间

每次执行的最大警报数: 100

参考资料:

标签:

  • 域:端点
  • 操作系统:Windows
  • 用例:威胁检测
  • 策略:凭据访问
  • 数据源:Elastic Endgame
  • 数据源:Elastic Defend
  • 数据源:Sysmon
  • 数据源:SentinelOne
  • 数据源:Microsoft Defender for Endpoint

版本: 311

规则作者:

  • Elastic

规则许可证:Elastic 许可证 v2

调查指南编辑

分类和分析

域 DPAPI 备份密钥存储在域控制器上,可以使用 Mimikatz 等工具远程转储。生成的 .pvk 私钥可用于解密任何域用户主密钥,然后可用于解密受这些密钥保护的任何机密。

设置编辑

设置

如果在非 Elastic 代理索引(例如 Beats)上启用 EQL 规则(版本低于 8.2),则事件不会定义 event.ingested,并且在 8.2 版之前没有添加 EQL 规则的默认回退。因此,为了使此规则有效工作,用户需要添加自定义摄取管道以将 event.ingested 填充到 @timestamp。有关添加自定义摄取管道的更多详细信息,请参阅 - https://elastic.ac.cn/guide/en/fleet/current/data-streams-pipeline-tutorial.html

规则查询编辑

file where host.os.type == "windows" and event.type != "deletion" and file.name : ("ntds_capi_*.pfx", "ntds_capi_*.pvk")

框架:MITRE ATT&CKTM

« 创建隐藏的本地用户帐户 创建或修改可插拔身份验证模块或配置 »