› › ›

下载的 URL 文件

编辑

下载的 URL 文件编辑

识别从本地网络外部下载的 .url 快捷方式文件。这些快捷方式文件通常用于网络钓鱼攻击。

规则类型：eql

规则索引:

logs-endpoint.events.file-*

严重性：低

风险评分: 21

运行频率：5 分钟

搜索索引的时间范围：now-9m（日期数学格式，另请参阅其他回溯时间）

每次执行的最大警报数: 100

参考：无

标签:

域：端点
操作系统：Windows
用例：威胁检测
战术：执行
数据源：Elastic Defend
规则类型：BBR

版本: 2

规则作者:

Elastic

规则许可证：Elastic 许可证 v2

规则查询编辑

file where host.os.type == "windows" and event.type == "creation" and file.extension == "url"
   and file.Ext.windows.zone_identifier > 1 and not process.name : "explorer.exe"

框架：MITRE ATT&CK^TM

战术
- 名称：执行
- ID：TA0002
- 参考链接：https://attack.mitre.org/tactics/TA0002/
技术
- 名称：用户执行
- ID：T1204
- 参考链接：https://attack.mitre.org/techniques/T1204/
战术
- 名称：初始访问
- ID：TA0001
- 参考链接：https://attack.mitre.org/tactics/TA0001/
技术
- 名称：网络钓鱼
- ID：T1566
- 参考链接：https://attack.mitre.org/techniques/T1566/
子技术
- 名称：鱼叉式网络钓鱼附件
- ID：T1566.001
- 参考链接：https://attack.mitre.org/techniques/T1566/001/
子技术
- 名称：鱼叉式网络钓鱼链接
- ID：T1566.002
- 参考链接：https://attack.mitre.org/techniques/T1566/002/

« 下载的快捷方式文件通过内置命令转储帐户哈希 »