域组发现

编辑

域组发现

编辑

识别与帐户或组枚举相关的 Linux 内置命令的执行。攻击者可能会在使用帐户和组信息来确定如何行动之前先进行自我定位。

规则类型: eql

规则索引:

logs-endpoint.events.*
endgame-*
auditbeat-*
logs-auditd_manager.auditd-*

严重性: 低

风险评分: 21

运行频率: 60 分钟

搜索索引时间范围: now-119m（日期数学格式，另请参阅 额外的回溯时间）

每次执行的最大警报数: 100

参考资料: 无

标签:

域: 端点
操作系统: Linux
使用场景: 威胁检测
策略: 发现
规则类型: BBR
数据源: Elastic Defend
数据源: Elastic Endgame
数据源: Auditd Manager

版本: 2

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询

编辑

process where host.os.type == "linux" and event.type == "start" and event.action in ("exec", "exec_event", "executed", "process_started")
 and (
  process.name in ("ldapsearch", "dscacheutil") or (process.name == "dscl" and process.args : "*-list*")
)

框架: MITRE ATT&CK^TM

策略
- 名称: 发现
- ID: TA0007
- 参考 URL: https://attack.mitre.org/tactics/TA0007/
技术
- 名称: 权限组发现
- ID: T1069
- 参考 URL: https://attack.mitre.org/techniques/T1069/

« 通过 PowerShell 禁用 Windows Defender 安全设置通过内置工具发现互联网能力 »