› › ›

通过 PowerShell 禁用 Windows Defender 安全设置

编辑

通过 PowerShell 禁用 Windows Defender 安全设置编辑

识别使用 Set-MpPreference PowerShell 命令禁用或削弱某些 Windows Defender 设置的行为。

规则类型：eql

规则索引:

winlogbeat-*
logs-endpoint.events.process-*
logs-windows.*
endgame-*
logs-system.security*

严重性：中等

风险评分: 47

运行频率：5 分钟

搜索的索引范围：now-9m（日期数学格式，另请参阅额外的回溯时间）

每次执行的最大警报数: 100

参考:

https://docs.microsoft.com/en-us/powershell/module/defender/set-mppreference?view=windowsserver2019-ps

标签:

域：端点
操作系统：Windows
用例：威胁检测
策略：防御规避
策略：执行
资源：调查指南
数据源：Elastic Endgame
数据源：Elastic Defend

版本: 110

规则作者:

Elastic

规则许可证：Elastic 许可证 v2

调查指南编辑

分类和分析

调查通过 PowerShell 禁用 Windows Defender 安全设置的行为

Microsoft Windows Defender 是内置于 Microsoft Windows 中的防病毒产品，这使其在多种环境中都很流行。禁用它是攻击者剧本中的常见步骤。

此规则监视可能篡改 Windows Defender 防病毒功能的命令的执行。

可能的调查步骤

调查未知进程的进程执行链（父进程树）。检查其可执行文件的流行程度、它们是否位于预期位置，以及它们是否使用有效的数字签名进行签名。
验证活动是否与计划的补丁、更新、网络管理员活动或合法软件安装无关。
确定执行该操作的用户帐户，以及该帐户是否有权执行此类操作。
联系帐户所有者，确认他们是否知晓此活动。
调查在过去 48 小时内与该用户/主机相关的其他警报。
检查命令行以确定执行了哪个操作。基于此，检查异常、防病毒状态、样本提交等。

误报分析

此机制可以合法使用。如果管理员知晓此活动，并且配置合理（例如，它被用于部署其他安全解决方案或进行故障排除），并且没有观察到其他可疑活动，则分析师可以忽略该警报。

相关规则

通过注册表修改禁用 Windows Defender - 2ffa1f1e-b6db-47fa-994b-1512743847eb
Microsoft Windows Defender 篡改 - fe794edd-487f-4a90-b285-3ee54f2af2d3

响应和修复

根据分类结果启动事件响应流程。
隔离涉事主机，以防止进一步的入侵后行为。
调查攻击者入侵或使用的系统上的凭据泄露，以确保识别所有受损帐户。重置这些帐户和其他可能受损凭据（例如电子邮件、业务系统和 Web 服务）的密码。
根据命令行，采取措施恢复适当的 Windows Defender 防病毒配置。
运行完整的反恶意软件扫描。这可能会揭示系统中留下的其他工件、持久性机制和恶意软件组件。
查看分配给用户的权限，以确保遵循最小权限原则。
确定攻击者滥用的初始攻击向量，并采取措施防止通过同一向量再次感染。
使用事件响应数据，更新日志记录和审计策略，以缩短平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

设置编辑

设置

如果在非 elastic-agent 索引（例如 beats）上为 <8.2 版本启用 EQL 规则，则事件不会定义 event.ingested，并且在 8.2 版本之前没有添加 EQL 规则的默认回退。因此，为了使此规则有效工作，用户需要添加自定义摄取管道以将 event.ingested 填充到 @timestamp。有关添加自定义摄取管道的更多详细信息，请参阅 - https://elastic.ac.cn/guide/en/fleet/current/data-streams-pipeline-tutorial.html

规则查询编辑

process where host.os.type == "windows" and event.type == "start" and
  (
    process.name : ("powershell.exe", "pwsh.exe", "powershell_ise.exe") or
    ?process.pe.original_file_name in ("powershell.exe", "pwsh.dll", "powershell_ise.exe")
  ) and
  process.args : "Set-MpPreference" and process.args : ("-Disable*", "Disabled", "NeverSend", "-Exclusion*")

框架：MITRE ATT&CK^TM

策略
- 名称：防御规避
- ID：TA0005
- 参考 URL：https://attack.mitre.org/tactics/TA0005/
技术
- 名称：削弱防御
- ID：T1562
- 参考 URL：https://attack.mitre.org/techniques/T1562/
子技术
- 名称：禁用或修改工具
- ID：T1562.001
- 参考 URL：https://attack.mitre.org/techniques/T1562/001/
策略
- 名称：执行
- ID：TA0002
- 参考 URL：https://attack.mitre.org/tactics/TA0002/
技术
- 名称：命令和脚本解释器
- ID：T1059
- 参考 URL：https://attack.mitre.org/techniques/T1059/
子技术
- 名称：PowerShell
- ID：T1059.001
- 参考 URL：https://attack.mitre.org/techniques/T1059/001/

« 通过注册表修改禁用用户帐户控制发现域组 »