› › ›

CyberArk 特权访问安全建议监控

编辑

CyberArk 特权访问安全建议监控编辑

识别 CyberArk 特权访问安全 (PAS) 非错误级别审计事件的发生，供应商建议对此类事件进行监控。event.code 与 CyberArk Vault 审计操作代码相关联。

规则类型：查询

规则索引:

filebeat-*
logs-cyberarkpas.audit*

严重程度：高

风险评分: 73

运行频率：5 分钟

搜索的索引范围：now-30m（日期数学格式，另请参阅 其他回溯时间）

每次执行的最大警报数: 100

参考:

https://docs.cyberark.com/Product-Doc/OnlineHelp/PAS/Latest/en/Content/PASREF/Vault%20Audit%20Action%20Codes.htm?tocpath=Administration%7CReferences%7C_3#RecommendedActionCodesforMonitoring

标签:

数据来源：CyberArk PAS
用例：日志审计
用例：威胁检测
策略：权限提升

版本: 102

规则作者:

Elastic

规则许可证：Elastic 许可证 v2

调查指南编辑

分类和分析

这是 CyberArk 事件的升级规则，供应商建议应对其进行监控。有关解释特定事件的信息，请参阅供应商文档。

设置编辑

要与此规则兼容，需要 CyberArk 特权访问安全 (PAS) Fleet 集成、Filebeat 模块或类似的结构化数据。

规则查询编辑

event.dataset:cyberarkpas.audit and
  event.code:(4 or 22 or 24 or 31 or 38 or 57 or 60 or 130 or 295 or 300 or 302 or
              308 or 319 or 344 or 346 or 359 or 361 or 378 or 380 or 411) and
  not event.type:error

框架：MITRE ATT&CK^TM

策略
- 名称：权限提升
- ID：TA0004
- 参考 URL：https://attack.mitre.org/tactics/TA0004/
技术
- 名称：有效帐户
- ID：T1078
- 参考 URL：https://attack.mitre.org/techniques/T1078/
策略
- 名称：初始访问
- ID：TA0001
- 参考 URL：https://attack.mitre.org/tactics/TA0001/

« CyberArk 特权访问安全错误 DNF 包管理器插件文件创建 »