凭证转储 - 已检测到 - Elastic Endgame

编辑

凭证转储 - 已检测到 - Elastic Endgame编辑

Elastic Endgame 检测到凭证转储。单击 event.module 列中的 Elastic Endgame 图标或 rule.reference 列中的链接以获取更多信息。

规则类型：查询

规则索引:

endgame-*

严重性：高

风险评分: 73

运行频率：10 分钟

搜索的索引范围：now-15m（日期数学格式，另请参阅 额外回溯时间）

每次执行的最大警报数: 10000

参考：无

标签:

数据源：Elastic Endgame
用例：威胁检测
策略：凭证访问

版本: 103

规则作者:

Elastic

规则许可证：Elastic 许可证 v2

设置编辑

设置

此规则配置为生成比所有规则默认设置的每次运行 1000 个警报更多的 每次运行的最大警报数。这是为了确保它捕获尽可能多的警报。

重要提示：规则的 每次运行的最大警报数 设置可能会被 xpack.alerting.rules.run.alerts.max Kibana 配置设置覆盖，该设置决定了 Kibana 警报框架中 *任何* 规则生成的最大警报数。例如，如果 xpack.alerting.rules.run.alerts.max 设置为 1000，则即使此规则自身的 每次运行的最大警报数 设置更高，它仍然只会生成不超过 1000 个警报。

要确保此规则可以生成与其自身 每次运行的最大警报数 设置中配置的一样多的警报，请相应地增加 xpack.alerting.rules.run.alerts.max 系统设置。

注意：在无服务器项目中无法更改 xpack.alerting.rules.run.alerts.max。

规则查询编辑

event.kind:alert and event.module:endgame and endgame.metadata.type:detection and (event.action:cred_theft_event or endgame.event_subtype_full:cred_theft_event)

框架：MITRE ATT&CK^TM

策略
- 名称：凭证访问
- ID：TA0006
- 参考 URL：https://attack.mitre.org/tactics/TA0006/
技术
- 名称：操作系统凭证转储
- ID：T1003
- 参考 URL：https://attack.mitre.org/techniques/T1003/
子技术
- 名称：LSASS 内存
- ID：T1003.001
- 参考 URL：https://attack.mitre.org/techniques/T1003/001/

« 通过注册表配置单元转储获取凭证凭证转储 - 已阻止 - Elastic Endgame »