通过内置工具发现互联网功能
编辑通过内置工具发现互联网功能编辑
识别攻击者用来检查受损系统上的互联网连接的内置工具的使用情况。这些结果可用于确定与 C2 服务器的通信能力,或识别路由、重定向器和代理服务器。
规则类型:new_terms
规则索引:
- logs-endpoint.events.*
严重性:低
风险评分: 21
运行频率:5 分钟
搜索索引的时间范围:now-9m(日期数学格式,另请参阅额外的回溯时间)
每次执行的最大警报数: 100
参考:无
标签:
- 域:终端
- 操作系统:Windows
- 用例:威胁检测
- 策略:发现
- 规则类型:BBR
- 数据源:Elastic Defend
版本: 102
规则作者:
- Elastic
规则许可证:Elastic 许可证 v2
规则查询编辑
host.os.type:windows and event.category:process and event.type:start and
process.name.caseless:("ping.exe" or "tracert.exe" or "pathping.exe") and
not process.args:("127.0.0.1" or "0.0.0.0" or "localhost" or "::1")
框架:MITRE ATT&CKTM
-
策略
- 名称:发现
- ID:TA0007
- 参考 URL:https://attack.mitre.org/tactics/TA0007/
-
技术
- 名称:系统网络配置发现
- ID:T1016
- 参考 URL:https://attack.mitre.org/techniques/T1016/
-
子技术
- 名称:互联网连接发现
- ID:T1016.001
- 参考 URL:https://attack.mitre.org/techniques/T1016/001/