连接到不安全的 Elasticsearch 节点

编辑

连接到不安全的 Elasticsearch 节点编辑

识别没有传输层安全 (TLS) 和/或缺少身份验证，并且正在通过默认 Elasticsearch 端口接受入站网络连接的 Elasticsearch 节点。

规则类型：查询

规则索引:

packetbeat-*
logs-network_traffic.*

严重程度：中等

风险评分: 47

运行频率：5 分钟

搜索索引的时间范围：now-9m（日期数学格式，另请参阅 额外回溯时间）

每次执行的最大警报数: 100

参考:

标签:

用例：威胁检测
策略：初始访问
域：端点

版本: 104

规则作者:

Elastic

规则许可证：Elastic 许可证 v2

调查指南编辑

设置编辑

此规则要求在 packetbeat.yml 的 HTTP 协议配置中添加端口 9200 和 send_all_headers。有关其他配置文档，请参阅“参考”部分。

规则查询编辑

(event.dataset: network_traffic.http OR (event.category: network_traffic AND network.protocol: http)) AND
    status:OK AND destination.port:9200 AND network.direction:inbound AND NOT http.response.headers.content-type:"image/x-icon" AND NOT
    _exists_:http.request.headers.authorization

框架：MITRE ATT&CK^TM

策略
- 名称：初始访问
- ID：TA0001
- 参考 URL：https://attack.mitre.org/tactics/TA0001/
技术
- 名称：利用面向公众的应用程序
- ID：T1190
- 参考 URL：https://attack.mitre.org/techniques/T1190/

« 通过 Windows 更新自动更新客户端加载映像通过 MSHTA 进行传入 DCOM 横向移动 »