- Elastic 安全其他版本
- Elastic 安全概述
- 8.14 中的新增功能
- 将 Elastic Security 升级到 8.14.3
- 升级后步骤(可选)
- Elastic Security 入门
- Elastic Security UI
- 安全人工智能
- 仪表盘
- 探索
- 检测和警报
- 关于检测规则
- 创建检测规则
- 安装和管理 Elastic 预构建规则
- 管理检测规则
- 监控和排查规则执行问题
- 规则异常
- 关于构建块规则
- MITRE ATT&CK® 覆盖范围
- 管理检测警报
- 减少通知和警报
- 视觉事件分析器
- 查询警报索引
- 调整检测规则
- 预构建规则参考
- 已创建计划任务
- 已更新计划任务
- APT 包管理器配置文件创建
- AWS Bedrock 检测到单个用户多次尝试使用被拒绝的模型
- AWS Bedrock 防护栏检测到单个被阻止请求中存在多个策略违规行为
- AWS Bedrock 防护栏检测到单个用户在单个会话中存在多个违规行为
- 已创建 AWS CloudTrail 日志
- 已删除 AWS CloudTrail 日志
- 已暂停 AWS CloudTrail 日志
- 已更新 AWS CloudTrail 日志
- 已删除 AWS CloudWatch 警报
- 已删除 AWS CloudWatch 日志组
- 已删除 AWS CloudWatch 日志流
- 已删除 AWS Config 资源
- 已停止 AWS 配置记录器
- 在容器中搜索 AWS 凭据
- 已删除 AWS RDS 实例或集群
- 通过假定的角色获取 AWS EC2 管理员凭据
- AWS EC2 EBS 快照与另一个帐户共享
- 已禁用 AWS EC2 加密
- 检测到 AWS EC2 全网络数据包捕获
- 已上传 AWS EC2 实例连接 SSH 公钥
- 已创建 AWS EC2 网络访问控制列表
- 已删除 AWS EC2 网络访问控制列表
- AWS EC2 快照活动
- AWS EC2 VM 导出失败
- 已删除 AWS EFS 文件系统或挂载
- 已创建 AWS ElastiCache 安全组
- 已修改或删除 AWS ElastiCache 安全组
- 已禁用或删除 AWS EventBridge 规则
- 通过系统管理器执行 AWS
- 已删除 AWS GuardDuty 检测器
- 已将 AWS IAM AdministratorAccess 策略附加到组
- 已将 AWS IAM AdministratorAccess 策略附加到角色
- 已将 AWS IAM AdministratorAccess 策略附加到用户
- 已更新 AWS IAM 假设角色策略
- AWS IAM 对假定角色策略的暴力破解
- 已停用 AWS IAM MFA 设备
- 已创建 AWS IAM 组
- 已删除 AWS IAM 组
- 已将 AWS IAM 登录配置文件添加到用户
- 已请求 AWS IAM 密码恢复
- 已创建 AWS IAM Roles Anywhere 配置文件
- 已使用外部 CA 创建 AWS IAM Roles Anywhere 信任锚
- 已将 AWS IAM 用户添加到组
- AWS IAM 用户为另一个用户创建了访问密钥
- 已禁用或计划删除 AWS KMS 客户管理密钥
- 已创建或更新 AWS Lambda 函数
- 已更新 AWS Lambda 函数策略以允许公开调用
- 已将 AWS Lambda 层添加到现有函数
- AWS 管理控制台对根用户身份的暴力破解
- AWS 管理控制台根用户登录
- 已创建 AWS RDS 集群
- AWS RDS 数据库实例已公开
- 已恢复 AWS RDS 数据库实例
- 已禁用 AWS RDS 数据库实例或集群的删除保护
- 已修改 AWS RDS 数据库实例或集群的密码
- 已创建 AWS RDS 数据库快照
- AWS RDS 数据库快照与另一个帐户共享
- 已创建 AWS RDS 实例
- 已停止 AWS RDS 实例/集群
- 已创建 AWS RDS 安全组
- 已删除 AWS RDS 安全组
- 已删除 AWS RDS 快照
- 已导出 AWS RDS 快照
- 已创建 AWS Redshift 集群
- AWS 根用户登录未启用 MFA
- 已禁用 AWS Route 53 域名转移锁定
- AWS Route 53 域名已转移到另一个帐户
- 已创建 AWS 路由表
- 已修改或删除 AWS 路由表
- AWS Route53 私有托管区域与 VPC 关联
- 已删除 AWS S3 存储桶配置
- AWS S3 存储桶枚举或暴力破解
- 已添加 AWS S3 存储桶到期生命周期配置
- 已添加 AWS S3 存储桶策略以与外部帐户共享
- 使用外部 KMS 密钥加密 AWS S3 对象
- AWS SAML 活动
- 首次调用 AWS STS GetCallerIdentity API
- AWS STS GetSessionToken 滥用
- AWS 安全组配置更改检测
- AWS 安全令牌服务 (STS) AssumeRole 使用
- AWS Systems Manager SecureString 参数请求,带有解密标志
- 已删除 AWS VPC 流日志
- 已删除 AWS WAF 访问控制列表
- 已删除 AWS WAF 规则或规则组
- 已创建异常进程 ID 或锁定文件
- 异常大的 DNS 响应
- 接受默认 Telnet 端口连接
- 访问密钥链凭据目录
- 访问敏感的 LDAP 属性
- 访问 Outlook 数据文件
- 帐户配置为永不过期密码
- 通过 SYSTEM 帐户进行帐户发现命令
- 远程重置帐户密码
- 通过内置工具进行帐户或组发现
- SYSTEM 对 Active Directory 组的修改
- AdFind 命令活动
- 通过 Attrib 添加隐藏文件属性
- AdminSDHolder 后门
- 已添加 AdminSDHolder SDProp 排除
- 已将管理员权限分配给 Okta 组
- 已将管理员角色分配给 Okta 用户
- Adobe 劫持持久性
- 对手行为 - 已检测到 - Elastic Endgame
- 代理欺骗 - 代理 ID 不匹配
- 代理欺骗 - 多个主机使用相同的代理
- 在卷根目录处创建/执行备用数据流
- 异常 Linux 编译器活动
- Linux 群体的异常进程
- Windows 群体的异常进程
- 异常 Windows 进程创建
- AppleScript 执行后进行网络连接
- AppleScript 脚本执行,具有管理员权限
- 已将应用程序添加到 Google Workspace 域
- 已从 Google Workspace 的阻止列表中删除应用程序
- 具有异常扩展名的存档文件
- 已创建或修改 At 作业
- At.exe 命令横向移动
- 尝试清除内核环形缓冲区
- 尝试创建 Okta API 令牌
- 尝试停用 Okta 应用程序
- 尝试停用 Okta 网络区域
- 尝试停用 Okta 策略
- 尝试停用 Okta 策略规则
- 尝试删除 Okta 应用程序
- 尝试删除 Okta 网络区域
- 尝试删除 Okta 策略
- 尝试删除 Okta 策略规则
- 尝试禁用 Gatekeeper
- 尝试禁用 IPTables 或防火墙
- 尝试禁用 Syslog 服务
- 尝试启用根帐户
- 尝试通过 WSL 安装 Kali Linux
- 尝试安装根证书
- 尝试修改 Okta 应用程序
- 尝试修改 Okta 网络区域
- 尝试修改 Okta 策略
- 尝试修改 Okta 策略规则
- 尝试通过命令行挂载 SMB 共享
- 尝试重置 Okta 用户帐户的 MFA 因素
- 尝试从 AWS EC2 实例检索用户数据
- 尝试撤销 Okta API 令牌
- 尝试卸载 Elastic Endpoint 安全内核扩展
- 尝试绕过 Okta MFA
- 尝试私钥访问
- 尝试对 Microsoft 365 用户帐户进行暴力破解
- 尝试对 Okta 用户帐户进行暴力破解
- 通过异常 PAM 授予者进行身份验证
- 授权插件修改
- 已分配 Azure AD 全局管理员角色
- Azure Active Directory 高风险登录
- Azure Active Directory 高风险用户登录启发式
- Azure Active Directory PowerShell 登录
- 已创建或修改 Azure 警报抑制规则
- Azure 应用程序凭据修改
- 已创建 Azure 自动化帐户
- 已创建或修改 Azure 自动化运行手册
- 已删除 Azure 自动化运行手册
- 已创建 Azure 自动化 Webhook
- 已修改 Azure Blob 容器访问级别
- 已修改 Azure Blob 权限
- 在虚拟机上执行 Azure 命令
- 已修改 Azure 条件性访问策略
- 已删除 Azure 诊断设置
- 已创建或更新 Azure 事件中心授权规则
- 已删除 Azure 事件中心
- Azure 外部访客用户邀请
- 已删除 Azure 防火墙策略
- 已删除 Azure 前门 Web 应用程序防火墙 (WAF) 策略
- 检测到 Azure 全网络数据包捕获
- 已将 Azure 全局管理员角色添加到 PIM 用户
- 已修改 Azure 密钥保管库
- 已删除 Azure Kubernetes 事件
- 已删除 Azure Kubernetes Pod
- 已创建 Azure Kubernetes 角色绑定
- 已删除 Azure 网络监视器
- 已修改 Azure 权限身份管理角色
- 已删除 Azure 资源组
- 已添加 Azure 服务主体
- 已添加 Azure 服务主体凭据
- 已重新生成 Azure 存储帐户密钥
- 已修改或删除 Azure 虚拟网络设备
- 已使用 TC 应用 BPF 过滤器
- Base16 或 Base32 编码/解码活动
- Bash Shell 配置文件修改
- 通过 Cmd.exe 复制二进制内容
- 从共享内存目录执行二进制文件
- Bitsadmin 活动
- 浏览器扩展安装
- 通过事件查看器绕过 UAC
- 已将 CAP_SYS_ADMIN 分配给二进制文件
- Chkconfig 服务添加
- 清除 Windows 控制台历史记录
- 清除 Windows 事件日志
- Cobalt Strike 命令和控制信标
- 通过内置工具修改代码签名策略
- 通过注册表修改代码签名策略
- 通过 SolarWinds 进程执行命令
- 命令提示符网络连接
- 通过 RunDLL32 启动命令外壳活动
- 组件对象模型劫持
- 压缩 DLL 由不寻常的进程加载
- 可疑父进程生成的 Conhost
- 连接到常用的滥用免费 SSL 证书提供商
- 连接到常用的滥用 Web 服务
- 通过 Telnet 连接到外部网络
- 通过 Telnet 连接到内部网络
- 容器管理实用程序在容器内运行
- 容器工作负载保护
- 控制面板进程使用不寻常的参数
- 通过命令行创建隐藏文件和目录
- 创建隐藏的启动代理或守护进程
- 通过 Apple Script 创建隐藏的登录项
- 创建隐藏的共享对象文件
- 创建内核模块
- 创建 SettingContent-ms 文件
- 创建 DNS 命名的记录
- 创建隐藏的本地用户帐户
- 创建或修改域备份 DPAPI 私钥
- 创建或修改可插拔身份验证模块或配置
- 创建或修改根证书
- 创建或修改新的 GPO 计划任务或服务
- 通过注册表蜂窝转储获取凭据
- 凭据转储 - 检测到 - Elastic Endgame
- 凭据转储 - 阻止 - Elastic Endgame
- 凭据操作 - 检测到 - Elastic Endgame
- 凭据操作 - 阻止 - Elastic Endgame
- 创建或修改 Cron 作业
- CyberArk 特权访问安全错误
- CyberArk 特权访问安全建议监控
- DNF 包管理器插件文件创建
- DNS 全局查询阻止列表修改或禁用
- DNS 隧道
- 通过注册表启用 DNS over HTTPS
- 默认 Cobalt Strike 团队服务器证书
- 通过 Ping 进行延迟执行
- 使用 Fsutil 删除卷 USN 日志
- 使用 Wbadmin 删除备份目录
- 直接出站 SMB 连接
- 使用内置工具禁用 Windows 事件和安全日志
- 通过 Netsh 禁用 Windows 防火墙规则
- 通过注册表修改禁用用户帐户控制
- 通过 PowerShell 禁用 Windows Defender 安全设置
- 发现域组
- 通过内置工具发现 Internet 功能
- 将域添加到 Google Workspace 可信域
- 下载的快捷方式文件
- 下载的 URL 文件
- 通过内置命令转储帐户哈希
- 通过安全命令转储钥匙串内容
- 动态链接器复制
- EC2 AMI 与另一个帐户共享
- 通过 Find 发现 ESXI
- 通过 Grep 发现 ESXI
- 使用 Touch 命令对 ESXI 进行时间戳
- EggShell 后门执行
- Elastic 代理服务终止
- Emond 规则创建或修改
- 通过 Netsh 启用主机网络发现
- 注册表中存储的编码可执行文件
- 使用 WinRar 或 7z 加密文件
- 端点安全
- Entra ID 设备代码身份验证与代理客户端
- 通过 DSQUERY.EXE 枚举域信任
- 通过 NLTEST.EXE 枚举域信任
- 通过 WMIPrvSE 生成的枚举命令
- 枚举管理员帐户
- 枚举内核模块
- 通过 Proc 枚举内核模块
- 枚举特权本地组成员资格
- 通过内置命令枚举用户或组
- 通过 PowerShell 导出 Exchange 邮箱
- 为潜在的持久脚本设置可执行位
- 使用多个扩展创建可执行文件
- 具有不寻常扩展名的可执行文件
- 伪装成内核进程的可执行文件
- 从不寻常的目录执行 - 命令行
- 从具有网络连接的移动介质执行
- 通过 Xwizard 执行 COM 对象
- 执行由 Microsoft Office 编写的或修改的文件
- 执行由 PDF 阅读器编写的或修改的文件
- 执行持久可疑程序
- 执行未签名的服务
- 通过 Electron 子进程 Node.js 模块执行
- 通过 MS VisualStudio 预构建/后构建事件执行
- 通过 MSSQL xp_cmdshell 存储过程执行
- 通过 Microsoft DotNet ClickOnce 主机执行
- 通过 TSClient 挂载点执行
- 通过 Windows 子系统 Linux 执行
- 通过本地 SxS 共享模块执行
- 通过脚本使用显式凭据执行
- 已过期或已吊销的驱动程序加载
- 攻击 - 检测到 - Elastic Endgame
- 攻击 - 阻止 - Elastic Endgame
- 通过 PowerShell 导出 Exchange 邮箱
- 外部警报
- 非浏览器进程的外部 IP 查询
- 外部用户添加到 Google Workspace 组
- 将文件压缩或存档为通用格式
- 文件创建时间更改
- 在可疑目录中创建、执行和自我删除文件
- 通过 Shred 删除文件
- 通过容器内的 Chmod 使文件可执行
- 在可写目录中修改文件权限
- 文件在回收站的根文件夹中分段
- 在特权容器内启动文件系统调试器
- 通过 Netcat 建立文件传输或侦听器
- 文件和目录权限修改
- 通过 Chattr 使文件不可变
- 文件或目录删除命令
- 下载具有可疑扩展名的文件
- Finder 同步插件注册并启用
- 个人访问令牌 (PAT) 的首次出现 GitHub 事件
- 来自新 IP 的 GitHub 存储库交互的首次出现
- GitHub 用户与私有存储库交互的首次出现
- GitHub 个人访问令牌 (PAT) 的 IP 地址的首次出现
- GitHub 用户的 IP 地址的首次出现
- 通过代理启动 Okta 用户会话的首次出现
- GitHub 用户的个人访问令牌 (PAT) 使用的首次出现
- 来自特定 GitHub 个人访问令牌 (PAT) 的私有存储库事件的首次出现
- GitHub 个人访问令牌 (PAT) 的用户代理的首次出现
- GitHub 用户的用户代理的首次出现
- 首次看到 Secrets Manager 中访问的 AWS 秘密值
- 首次看到常用的滥用远程访问工具执行
- 首次看到加载的驱动程序
- 首次看到来自第三方应用程序的 Google Workspace OAuth 登录
- 首次看到 NewCredentials 登录过程
- 首次看到可移动设备
- 首次看到执行 DCSync 的帐户
- 转发 Google Workspace 安全警报
- 在系统范围内启用完全用户模式转储
- GCP 防火墙规则创建
- GCP 防火墙规则删除
- GCP 防火墙规则修改
- GCP IAM 自定义角色创建
- GCP IAM 角色删除
- GCP IAM 服务帐户密钥删除
- GCP 日志存储桶删除
- GCP 日志接收器删除
- GCP 日志接收器修改
- GCP Pub/Sub 订阅创建
- GCP Pub/Sub 订阅删除
- GCP Pub/Sub 主题创建
- GCP Pub/Sub 主题删除
- GCP 服务帐户创建
- GCP 服务帐户删除
- GCP 服务帐户禁用
- GCP 服务帐户密钥创建
- GCP 存储桶配置修改
- GCP 存储桶删除
- GCP 存储桶权限修改
- GCP 私有虚拟网络删除
- GCP 私有虚拟网络路由创建
- GCP 私有虚拟网络路由删除
- Git 钩子子进程
- Git 钩子创建或修改
- GitHub 应用程序删除
- 授予 GitHub 所有者角色给用户
- GitHub PAT 访问权限吊销
- GitHub 受保护的分支设置更改
- GitHub 存储库创建
- GitHub 存储库删除
- GitHub UEBA - 来自 GitHub 帐户的多项警报
- GitHub 用户被组织阻止
- 通过 Google Workspace 转移 Google Drive 所有权
- Google Workspace 2SV 策略禁用
- 通过域范围委派授予 Google Workspace API 访问权限
- 将 Google Workspace 管理员角色分配给用户
- Google Workspace 管理员角色删除
- Google Workspace Bitlocker 设置禁用
- Google Workspace 自定义管理员角色创建
- 创建或修改 Google Workspace 自定义 Gmail 路由
- 从匿名用户访问 Google Workspace 驱动器加密密钥
- Google Workspace MFA 强制执行禁用
- Google Workspace 对象复制到外部驱动器,并获得应用程序同意
- Google Workspace 密码策略修改
- Google Workspace 市场限制修改为允许任何应用程序
- Google Workspace 角色修改
- Google Workspace 暂停的用户帐户续订
- Google Workspace 用户组织单位更改
- 组策略滥用于添加特权
- 通过 Microsoft GPResult 实用程序发现组策略
- 半成品命令和控制信标
- 通过隐藏标志隐藏文件和目录
- RDP 会话中进程参数的平均值较高
- RDP 会话持续时间的平均值较高
- 从 PAT 克隆的 GitHub 存储库数量较多
- 为身份验证生成的 Okta 设备令牌 Cookie 数量较多
- Okta 用户密码重置或解锁尝试次数较多
- 进程终止次数较多
- 进程和/或服务终止次数较多
- RDP 会话持续时间的方差较大
- 通过 Windows 子系统 Linux 进行主机文件系统更改
- 主机文件修改
- Hping 进程活动
- IIS HTTP 日志禁用
- IPSEC NAT 穿越端口活动
- 图像文件执行选项注入
- 使用无效签名加载的图像
- 通过 Windows 更新自动更新客户端加载图像
- 到不安全的 Elasticsearch 节点的入站连接
- 通过 MSHTA 进行传入的 DCOM 横向移动
- 使用 MMC 进行传入的 DCOM 横向移动
- 使用 ShellBrowserWindow 或 ShellWindows 进行传入的 DCOM 横向移动
- 通过 PowerShell 远程处理进行传入的执行
- 通过 WinRM 远程外壳进行传入的执行
- 通过 Forfiles/Pcalua 进行间接命令执行
- 通过 Windows BITS 进行入站传输
- 添加不安全的 AWS EC2 VPC 安全组入站规则
- InstallUtil 活动
- 进行网络连接的 InstallUtil 进程
- 安装自定义垫片数据库
- 安装安全支持提供程序
- 针对运行的容器启动交互式 Exec 命令
- 不寻常的进程进行交互式登录
- 通过 Perl 启动交互式终端
- 通过 Python 启动交互式终端
- KRBTGT 委派后门
- Kerberos 缓存的凭据转储
- 为用户禁用 Kerberos 预身份验证
- 来自不寻常进程的 Kerberos 流量
- 内核驱动程序加载
- 非 root 用户加载内核驱动程序
- 检测到通过 Kexec 加载或卸载内核
- 通过 insmod 加载内核模块
- 内核模块移除
- 通过命令行检索钥匙串密码
- Kirbi 文件创建
- 授权 Kubernetes 匿名请求
- 使用过多的 Linux 功能创建 Kubernetes 容器
- Kubernetes 拒绝服务帐户请求
- 使用类型 NodePort 创建 Kubernetes 公开的服务
- 使用 HostIPC 创建 Kubernetes Pod
- 使用 HostNetwork 创建 Kubernetes Pod
- 使用 HostPID 创建 Kubernetes Pod
- 使用敏感的 hostPath 卷创建 Kubernetes Pod
- 创建 Kubernetes 特权 Pod
- Kubernetes 对控制器服务帐户的可疑分配
- Kubernetes 可疑的自主体审查
- Kubernetes 用户执行到 Pod
- LSASS 内存转储创建
- LSASS 内存转储句柄访问
- 通过 Windows API 访问 LSASS 进程
- 通过启动文件夹进行横向移动
- 创建或修改启动代理并立即加载
- 创建或修改启动守护进程并立即加载
- Linux 组创建
- 通过 GDB 进行 Linux 进程挂钩
- 通过 Linux 二进制文件进行 Linux 受限外壳突破
- Linux 系统信息发现
- Linux 用户帐户创建
- 将 Linux 用户添加到特权组
- 通过 GDB 进行 Linux init (PID 1) 秘密转储
- 禁用本地帐户 TokenFilter 策略
- 本地计划任务创建
- Okta 用户帐户没有重新激活的 MFA 停用
- Google Workspace 组织的 MFA 禁用
- MS Office 宏安全注册表修改
- MacOS 安装包产生网络事件
- 机器学习检测到使用已知 SUNBURST DNS 域的 DGA 活动
- 机器学习检测到一个预测为 DGA 域的 DNS 请求
- 机器学习检测到一个具有高 DGA 概率分数的 DNS 请求
- 机器学习检测到一个可疑的 Windows 事件,预测为恶意活动
- 机器学习检测到一个具有高恶意概率分数的可疑 Windows 事件
- 恶意软件 - 检测到 - Elastic Endgame
- 恶意软件 - 阻止 - Elastic Endgame
- 文件名后伪造空格
- 成员从 GitHub 组织中移除
- 具有不寻常扩展名的内存转储文件
- 每日消息 (MOTD) 文件创建
- Microsoft 365 Exchange 反钓鱼策略删除
- Microsoft 365 Exchange 反钓鱼规则修改
- Microsoft 365 Exchange DKIM 签名配置禁用
- Microsoft 365 Exchange DLP 策略移除
- Microsoft 365 Exchange 恶意软件过滤器策略删除
- Microsoft 365 Exchange 恶意软件过滤器规则修改
- Microsoft 365 Exchange 管理组角色分配
- Microsoft 365 Exchange 安全附件规则禁用
- Microsoft 365 Exchange 安全链接策略禁用
- Microsoft 365 Exchange 传输规则创建
- Microsoft 365 Exchange 传输规则修改
- Microsoft 365 全局管理员角色分配
- Microsoft 365 不可能的旅行活动
- Microsoft 365 收件箱转发规则创建
- Microsoft 365 单个用户进行大量下载
- Microsoft 365 潜在的勒索软件活动
- Microsoft 365 Teams 自定义应用程序交互允许
- Microsoft 365 Teams 外部访问启用
- Microsoft 365 Teams 客人访问启用
- Microsoft 365 文件删除数量异常
- Microsoft 365 用户被限制发送电子邮件
- Microsoft Build Engine 启动了不寻常的进程
- Microsoft Build Engine 由脚本进程启动
- Microsoft Build Engine 由系统进程启动
- Microsoft Build Engine 由 Office 应用程序启动
- Microsoft Build Engine 使用替代名称
- Microsoft Exchange Server UM 生成可疑进程
- Microsoft Exchange Server UM 正在写入可疑文件
- Microsoft Exchange 传输代理安装脚本
- Microsoft Exchange 工作程序生成可疑进程
- Microsoft IIS 连接字符串解密
- Microsoft IIS 服务帐户密码被转储
- 来自不寻常路径的 Microsoft 管理控制台文件
- Microsoft Windows Defender 篡改
- 检测到 Mimikatz Memssp 日志文件
- 修改 AmsiEnable 注册表项
- 修改引导配置
- 修改动态链接器预加载共享对象
- 在容器内修改动态链接器预加载共享对象
- 通过未签名或不受信任的父进程修改环境变量
- 修改 OpenSSH 二进制文件
- 通过 Defaults 命令修改 Safari 设置
- 修改标准身份验证模块或配置
- 修改 WDigest 安全提供程序
- 修改 msPKIAccountCredentials
- 修改或删除 Okta 应用程序单点登录策略
- Mofcomp 活动
- 在特权容器内启动挂载
- 挂载隐藏或 WebDav 远程共享
- MsBuild 建立网络连接
- Mshta 建立网络连接
- 为 Azure 用户禁用多因素身份验证
- 涉及用户的多个警报
- 单个主机上不同 ATT&CK 战术的多个警报
- 单个 Okta 会话的多个设备令牌哈希
- 多个登录失败后成功登录
- 来自同一源地址的多个登录失败
- 检测到单个用户的多个 Okta 会话
- 多个 Okta 用户身份验证事件,在代理后面具有相同的设备令牌哈希
- 多个 Okta 用户身份验证事件,具有客户端地址
- 多个 Okta 用户身份验证事件,具有相同的设备令牌哈希
- 读取多个 Vault Web 凭据
- 我的第一个规则
- 通过 Wbadmin 转储 NTDS
- 复制 NTDS 或 SAM 数据库文件
- 使用 Unshare 进行命名空间操作
- 在容器内建立 Netcat 监听器
- 通过 rlwrap 建立 Netcat 监听器
- Netsh 帮助程序 DLL
- 通过 Kworker 检测到网络活动
- 通过 cat 检测到网络活动
- 由 SSHD 子进程启动的网络连接
- 来自具有 RWX 内存区域的二进制文件的网络连接
- 通过 Certutil 进行网络连接
- 通过已编译的 HTML 文件进行网络连接
- 通过 MsXsl 进行网络连接
- 通过最近编译的可执行文件进行网络连接
- 通过注册实用程序进行网络连接
- 通过签名二进制文件进行网络连接
- 通过 XDG Autostart 条目启动的网络连接
- 网络登录提供程序注册表修改
- 通过 CAP_NET_RAW 进行网络流量捕获
- 网络流量到罕见的目的地国家
- 禁用网络级身份验证 (NLA)
- 通过 PowerShell 添加新的 ActiveSyncAllowedDeviceID
- 安装新的 GitHub 应用
- 添加新的 GitHub 所有者
- 检测到新的 Okta 身份验证行为
- 管理员添加新的 Okta 身份提供者 (IdP)
- 将新用户添加到 GitHub 组织
- 新的或修改的联合域
- Nping 进程活动
- NullSessionPipe 注册表修改
- 用户报告 O365 电子邮件为恶意软件或钓鱼
- O365 单点登录登录错误过多
- O365 Exchange 可疑的邮箱权限委托
- O365 邮箱审核日志记录绕过
- Office 测试注册表持久性
- Okta 暴力破解或密码喷射攻击
- Okta FastPass 钓鱼检测
- 通过第三方 IdP 的 Okta 登录事件
- Okta ThreatInsight 威胁可疑提升
- Okta 用户会话模拟
- Okta 用户会话从不同的地理位置启动
- OneDrive 恶意软件文件上传
- 通过 PowerShell 进行出站计划任务活动
- 父进程 PID 欺骗
- 外围设备发现
- 权限窃取 - 检测到 - Elastic Endgame
- 权限窃取 - 阻止 - Elastic Endgame
- 通过 BITS 作业通知命令行进行持久性
- 通过 DirectoryService 插件修改进行持久性
- 通过 Docker 快捷方式修改进行持久性
- 通过文件夹操作脚本进行持久性
- 检测到通过隐藏的运行键进行持久性
- 通过 KDE 自动启动脚本或桌面文件修改进行持久性
- 通过登录或注销钩子进行持久性
- 通过 Microsoft Office 加载项进行持久性
- 通过 Microsoft Outlook VBA 进行持久性
- 通过 PowerShell 配置文件进行持久性
- 通过计划作业创建进行持久性
- 通过 TelemetryController 计划任务劫持进行持久性
- 通过 Update Orchestrator 服务劫持进行持久性
- 通过 WMI 事件订阅进行持久性
- 通过 WMI 标准注册表提供程序进行持久性
- 启动目录中的持久脚本
- 添加端口转发规则
- 可能通过 Azure 注册的应用程序进行同意授予攻击
- 可能存在 FIN7 DGA 命令和控制行为
- 可能存在 Okta 拒绝服务攻击
- 可能存在通过通配符记录创建的 ADIDNS 欺骗
- 潜在的 AWS S3 存储桶勒索软件笔记上传
- 可能存在由高令牌计数和大响应大小造成的资源滥用
- 可能存在管理员组帐户添加
- 可能存在通过 PowerShell 绕过反恶意软件扫描接口
- 可能存在通过 Sdbinst 进行应用程序垫片
- 检测到潜在的缓冲区溢出攻击
- 可能存在通过挂载进行的 Chroot 容器逃逸
- 可能存在通过 Postgresql 进行的代码执行
- 可能存在通过 Internet Explorer 进行的命令和控制
- 可能存在通过修改的 notify_on_release 文件进行的容器逃逸
- 可能存在通过修改的 release_agent 文件进行的容器逃逸
- 可能存在通过浏览器调试进行的 Cookie 窃取
- 可能存在通过 DCSync 进行的凭据访问
- 可能存在通过 LSASS 中的 DuplicateHandle 进行的凭据访问
- 可能存在通过 LSASS 内存转储进行的凭据访问
- 可能存在通过内存转储文件创建进行的凭据访问
- 可能存在通过重命名的 COM+ 服务 DLL 进行的凭据访问
- 可能存在通过受信任的开发人员工具进行的凭据访问
- 可能存在通过 Windows 实用程序进行的凭据访问
- 可能存在跨站点脚本 (XSS)
- 可能存在 DGA 活动
- 可能存在通过 Microsoft 反恶意软件服务可执行文件进行的 DLL 侧加载
- 可能存在通过受信任的 Microsoft 程序进行的 DLL 侧加载
- 可能存在通过 NsLookup 进行的 DNS 隧道
- 可能存在到不寻常的目标端口的数据泄露活动
- 可能存在到不寻常 IP 地址的数据泄露活动
- 可能存在到不寻常的 ISO 代码的数据泄露活动
- 可能存在到不寻常区域的数据泄露活动
- 可能存在通过 CMSTP.exe 进行的防御规避
- 可能存在通过 PRoot 进行的防御规避
- 可能存在禁用 AppArmor
- 可能存在禁用 SELinux
- 可能存在通过 Active Directory Web 服务进行的枚举
- 可能存在通过过滤器管理器进行的规避
- 可能存在通过 Windows 筛选平台进行的规避
- 可能存在执行 rc.local 脚本
- 可能存在通过 XZBackdoor 进行的执行
- 可能存在利用未引用服务路径漏洞
- 检测到潜在的外部 Linux SSH 暴力破解
- 可能存在通过无头浏览器进行的文件下载
- 可能存在通过 Certreq 进行的文件传输
- 可能存在创建隐藏的本地用户帐户
- 可能存在通过 Mount Hidepid 进行的隐藏进程
- 检测到潜在的内部 Linux SSH 暴力破解
- 潜在的 Invoke-Mimikatz PowerShell 脚本
- 潜在的 JAVA/JNDI 利用尝试
- 可能存在通过 Bifrost 进行的 Kerberos 攻击
- 可能存在 LSA 身份验证包滥用
- 可能存在通过 PssCaptureSnapShot 创建 LSASS 克隆
- 可能存在通过 PssCaptureSnapShot 进行的 LSASS 内存转储
- 可能存在通过 SMB 共享进行的横向工具传输
- 可能存在创建 Linux 后门用户帐户
- 可能存在通过 Proc 文件系统进行的 Linux 凭据转储
- 可能存在通过 Unshadow 进行的 Linux 凭据转储
- 可能存在启动 Linux 黑客工具
- 检测到潜在的 Linux 本地帐户暴力破解
- 检测到潜在的 Linux 勒索软件笔记创建
- 潜在的 Linux SSH X11 转发
- 潜在的 Linux 隧道和/或端口转发
- 可能存在通过 HTTP 进行的本地 NTLM 中继
- 可能存在伪装为浏览器进程
- 可能存在伪装为商业应用程序安装程序
- 可能存在伪装为通信应用程序
- 可能存在伪装为 System32 DLL
- 可能存在伪装为 System32 可执行文件
- 可能存在伪装为 VLC DLL
- 潜在的内存搜索活动
- 潜在的 Meterpreter 反向 shell
- 可能存在 Microsoft Office 沙盒规避
- 可能存在修改辅助功能二进制文件
- 检测到潜在的网络扫描
- 从主机执行的潜在网络扫描
- 潜在的网络共享发现
- 检测到潜在的网络扫描
- 潜在的非标准端口 HTTP/HTTPS 连接
- 潜在的非标准端口 SSH 连接
- 可能存在通过推送通知进行的 Okta MFA 轰炸
- 潜在的 OpenSSH 后门日志记录活动
- 可能存在通过不寻常的进程进行的传出 RDP 连接
- 可能存在传递哈希 (PtH) 尝试
- 可能存在对 Microsoft 365 用户帐户进行密码喷射
- 可能存在通过 Atom 初始化脚本修改进行的持久性
- 可能存在通过文件修改进行的持久性
- 可能存在通过登录钩子进行的持久性
- 可能存在通过定期任务进行的持久性
- 可能存在通过时间提供者修改进行的持久性
- 可能存在端口监视器或打印机处理器注册滥用
- 可能存在由作者编写的 PowerShell HackTool 脚本
- 可能存在通过函数名称命名的 PowerShell HackTool 脚本
- 可能存在 PowerShell 混淆脚本
- 可能存在 PowerShell 传递哈希/中继脚本
- 可能存在通过本地主机安全复制绕过隐私控制
- 可能存在通过 TCCDB 修改绕过隐私控制
- 可能存在通过可写 Docker 套接字进行特权提升
- 可能存在通过 CVE-2023-4911 进行的特权提升
- 可能存在通过容器配置错误进行的特权提升
- 可能存在通过 Enlightenment 进行的特权提升
- 可能存在通过 InstallerFileTakeOver 进行的特权提升
- 可能存在通过 Linux DAC 权限进行的特权提升
- 可能存在通过 OverlayFS 进行的特权提升
- 可能存在通过 PKEXEC 进行的特权提升
- 可能存在通过 Python cap_setuid 进行的特权提升
- 可能存在通过最近编译的可执行文件进行的特权提升
- 可能存在通过服务 ImagePath 修改进行的特权提升
- 可能存在通过 Sudoers 文件修改进行的特权提升
- 检测到可能存在通过 UID INT_MAX 漏洞进行的特权提升
- 可能存在通过 SamAccountName 欺骗进行的特权提升
- 恶意文档潜在进程注入
- 通过 PowerShell 的潜在进程注入
- 通过 Chisel 客户端的潜在协议隧道
- 通过 Chisel 服务器的潜在协议隧道
- 通过 EarthWorm 的潜在协议隧道
- 检测到潜在的 Pspy 进程监控
- 潜在勒索软件行为 - 系统中 Readme 文件数量过多
- 通过 SMB 丢弃的潜在勒索软件说明文件
- 通过 Web 服务器的潜在远程代码执行
- 通过注册表的潜在远程凭据访问
- 潜在的远程桌面影子活动
- 检测到潜在的远程桌面隧道
- 通过 MSIEXEC 的潜在远程文件执行
- 潜在的反向 shell
- 通过终端的潜在反向 shell 活动
- 通过后台进程的潜在反向 shell
- 通过子进程的潜在反向 shell
- 通过 Java 的潜在反向 shell
- 通过可疑二进制文件的潜在反向 shell
- 通过可疑子进程的潜在反向 shell
- 通过 UDP 的潜在反向 shell
- 下载了潜在的 SSH-IT SSH 蠕虫
- 检测到潜在的基于 SYN 的网络扫描
- 通过 SDelete 实用程序的潜在安全文件删除
- 潜在的影子凭据添加到 AD 对象
- 通过命令行工具的潜在影子文件读取
- 潜在的 SharpRDP 行为
- 检测到通过通配符注入的潜在 shell
- 检测到潜在的成功的 Linux FTP 暴力破解攻击
- 检测到潜在的成功的 Linux RDP 暴力破解攻击
- 潜在的成功的 SSH 暴力破解攻击
- 潜在的 Sudo 劫持
- 通过 CVE-2019-14287 的潜在 Sudo 权限提升
- 通过进程注入的潜在 Sudo 令牌操作
- 检测到潜在的可疑剪贴板活动
- 潜在的可疑 DebugFS 根设备访问
- 潜在的可疑文件编辑
- 检测到通过通配符注入的潜在未经授权的访问
- 潜在的非交互式 shell 升级
- 潜在的 Veeam 凭据访问命令
- 通过 DNS 记录创建的潜在 WPAD 欺骗
- 多个主机上潜在的广泛恶意软件感染
- 潜在的 Windows 错误管理器伪装
- 通过 CcmExec 的潜在 Windows 会话劫持
- 潜在的 curl CVE-2023-38545 利用
- 检测到潜在的 macOS SSH 暴力破解
- 通过 CVE-2022-38028 的潜在权限提升
- 通过推送通知的潜在成功的 MFA 轰炸
- 通过 tmux 或 screen 启动的潜在可疑进程
- PowerShell Invoke-NinjaCopy 脚本
- PowerShell Kerberos 票证转储
- PowerShell Kerberos 票证请求
- PowerShell 键盘记录脚本
- PowerShell 邮箱收集脚本
- PowerShell MiniDump 脚本
- PowerShell PSReflect 脚本
- PowerShell 脚本块日志记录已禁用
- 具有存档压缩功能的 PowerShell 脚本
- 具有发现功能的 PowerShell 脚本
- 具有加密/解密功能的 PowerShell 脚本
- 具有日志清除功能的 PowerShell 脚本
- 具有密码策略发现功能的 PowerShell 脚本
- 具有通过 WinRM 的远程执行功能的 PowerShell 脚本
- 具有令牌模拟功能的 PowerShell 脚本
- 具有 Veeam 凭据访问功能的 PowerShell 脚本
- 具有网络摄像头视频捕获功能的 PowerShell 脚本
- PowerShell 共享枚举脚本
- PowerShell 可疑发现相关的 Windows API 函数
- PowerShell 可疑有效负载编码和压缩
- 具有音频捕获功能的 PowerShell 可疑脚本
- 具有剪贴板检索功能的 PowerShell 可疑脚本
- 具有截图功能的 PowerShell 可疑脚本
- 通过 CAP_CHOWN/CAP_FOWNER 功能的权限提升
- 通过 CAP_SETUID/SETGID 功能的权限提升
- 通过 GDB CAP_SYS_PTRACE 的权限提升
- 通过命名管道模拟的权限提升
- 通过恶意命名管道模拟的权限提升
- 通过根 Crontab 文件修改的权限提升
- 通过 SUID/SGID 的权限提升
- 通过 Windir 环境变量的权限提升
- 特权帐户暴力破解
- 通过父进程 PID 欺骗的权限提升
- 通过编译的 HTML 文件的进程活动
- 进程功能枚举
- 通过 setcap 实用程序设置的进程功能
- 使用重复令牌创建的进程
- 使用提升的令牌创建的进程
- 通过辅助登录创建的进程
- 使用内置工具的进程发现
- 通过内置应用程序的进程发现
- 从不寻常目录执行进程
- 进程注入 - 检测到 - Elastic Endgame
- 进程注入 - 阻止 - Elastic Endgame
- 由 Microsoft Build Engine 进行的进程注入
- 从每日消息 (MOTD) 生成的进程
- 从进程 ID (PID) 文件启动的进程
- 进程终止后删除
- 带有尾随空格的进程
- 程序文件目录伪装
- 使用 OSASCRIPT 提示输入凭据
- ProxyChains 活动
- PsExec 网络连接
- 通过命令行的 Python 脚本执行
- 由未签名或不受信任的进程删除的隔离属性
- 使用内置工具查询注册表
- 来自互联网的 RDP(远程桌面协议)
- 通过注册表启用的 RDP
- 来自互联网的 RPC(远程过程调用)
- 到互联网的 RPC(远程过程调用)
- 勒索软件 - 检测到 - Elastic Endgame
- 勒索软件 - 阻止 - Elastic Endgame
- 从 AWS SecretsManager 中快速检索秘密尝试
- Rapid7 Threat Command CVE 关联
- 罕见的 AWS 错误代码
- 罕见的 SMB 连接到互联网
- 罕见的用户登录
- 通过 AppCert DLL 的注册表持久性
- 通过 AppInit DLL 的注册表持久性
- 远程计算机帐户 DnsHostName 更新
- 通过 Netsh 在 Windows 防火墙中启用远程桌面
- 通过文件共享的远程执行
- 将远程文件复制到隐藏的共享
- 通过 TeamViewer 的远程文件复制
- 通过 Desktopimgdownldr 实用程序的远程文件下载
- 通过 MpCmdRun 的远程文件下载
- 通过 PowerShell 的远程文件下载
- 通过脚本解释器的远程文件下载
- 通过 systemsetup 命令启用的远程 SSH 登录
- 远程计划任务创建
- 通过 RPC 的远程计划任务创建
- 远程系统发现命令
- 安装了远程 Windows 服务
- 通过 COM 的远程 XSL 脚本执行
- 通过 RPC 远程启动的服务
- 重命名的 AutoIt 脚本解释器
- 使用短程序名称执行的重命名的实用程序
- 通过 GDB CAP_SYS_PTRACE 的根网络连接
- 从互联网下载的 Roshal 存档 (RAR) 或 PowerShell 文件
- 删除了 Route53 解析器查询日志配置
- SIP 提供商修改
- 到互联网的 SMB(Windows 文件共享)活动
- 端口 26/TCP 上的 SMTP
- SSH 授权密钥文件修改
- 在容器内部修改的 SSH 授权密钥文件
- 在运行的容器内部建立的 SSH 连接
- 通过 ssh-keygen 生成的 SSH 密钥
- 从容器内部启动的 SSH 进程
- SSM 会话开始到 EC2 实例
- SUID/SGID 位已设置
- 检测到的 SUID/SGUID 枚举
- SUNBURST 命令和控制活动
- 由 Windows 脚本创建的计划任务
- 通过 GPO 大规模执行计划任务
- 启用了计划任务 AT 命令
- ScreenConnect 服务器生成可疑进程
- 意外进程修改了屏幕保护程序 plist 文件
- 可疑进程启用了 SeDebugPrivilege
- 通过 VaultCmd 搜索保存的凭据
- 使用 WMIC 的安全软件发现
- 通过 Grep 的安全软件发现
- 检测到段错误
- 敏感文件压缩
- 在容器内部的敏感文件压缩
- 在容器内部搜索敏感密钥或密码
- 为用户分配了敏感特权 SeEnableDelegationPrivilege
- 通过 RegBack 的敏感注册表配置单元访问
- 服务命令横向移动
- 通过脚本解释器生成的的服务控制
- 通过本地 Kerberos 身份验证创建的服务
- 通过注册表修改禁用的服务
- 服务路径修改
- 通过 sc.exe 的服务路径修改
- 设置了 setcap setuid/setgid 功能
- 影子文件修改
- SharePoint 恶意软件文件上传
- 由以前未知的进程创建或更改的共享对象
- Shell 配置创建或修改
- 通过 Apple 脚本的 Shell 执行
- 在启动文件夹中写入或修改的快捷方式文件
- 通过 MS Work Folders 签名的代理执行
- SoftwareUpdate 首选项修改
- SolarWinds 进程通过注册表禁用服务
- AWS 错误消息激增
- 发送到外部设备的字节数激增
- 通过 Airdrop 发送到外部设备的字节数激增
- 失败的登录事件激增
- 防火墙拒绝激增
- 登录事件激增
- 网络流量激增
- 到某个国家的网络流量激增
- 从源 IP 地址发出的连接数激增
- 到目标 IP 地址的连接数激增
- RDP 会话中进程数量激增
- 远程文件传输激增
- 来自源 IP 地址的成功登录事件激增
- 通过未签名进程的启动文件夹持久性
- 可疑进程的启动持久性
- 启动或运行密钥注册表修改
- 添加到组策略对象的启动/登录脚本
- 统计模型检测到 C2 信标活动
- 统计模型检测到具有高度置信度的 C2 信标活动
- 使用被盗凭据在 MFA 重置后登录 Okta 帐户
- Sublime 插件或应用程序脚本修改
- 检测到 Sudo 命令枚举
- Sudo 基于堆的缓冲区溢出尝试
- Sudoers 文件修改
- 可疑的 .NET 代码编译
- 通过 PowerShell 的可疑 .NET 反射
- 可疑的 /proc/maps 发现
- 可疑的 APT 包管理器执行
- 可疑的 APT 包管理器网络连接
- 可疑的 LDAP 属性访问
- Okta 用户报告的可疑活动
- 可疑的反恶意软件扫描接口 DLL
- 可疑的 Automator 工作流程执行
- 可疑的浏览器子进程
- 可疑的日历文件修改
- 可疑的 CertUtil 命令
- Adobe Acrobat Reader 更新服务的可疑子进程
- 通过 WMI 的可疑 Cmd 执行
- 可疑的通信应用程序子进程
- 通过 Funzip 提取或解压缩的可疑内容
- 可疑的 CronTab 创建或修改
- 为持久性或权限提升加载的可疑 DLL
- 通过 OpenSSL 实用程序的可疑数据加密
- 通过 od 的可疑动态链接器发现
- 可疑的 Emond 子进程
- 可疑的端点安全父进程
- 从 INET 缓存执行的可疑操作
- 从挂载的设备执行的可疑操作
- 通过 MSIEXEC 执行的可疑操作
- 通过 Microsoft Office 加载项执行的可疑操作
- 通过计划任务执行的可疑操作
- 通过适用于 Linux 的 Windows 子系统的可疑执行
- 可疑的资源管理器子进程
- 检测到的可疑文件更改活动
- 在 /etc 中创建的可疑文件以实现持久性
- 通过 Kworker 创建的可疑文件
- 从 Google Drive 下载的可疑文件
- 通过 SMB 重命名的可疑文件
- 可疑的 HTML 文件创建
- 可疑的 Launchd 隐藏子进程
- 来自 MS Office 的可疑映像加载 (taskschd.dll)
- 可疑的 ImagePath 服务创建
- 通过 Outlook 的可疑进程间通信
- 从容器内部生成的的可疑交互式 shell
- 可疑的 JAVA 子进程
- 可疑的 JetBrains TeamCity 子进程
- 可疑的 Kworker UID 提升
- 通过 MalSecLogon 的可疑 LSASS 访问
- 可疑的 Lsass 进程访问
- 可疑的 MS Office 子进程
- 可疑的 MS Outlook 子进程
- 可疑的托管代码托管进程
- 可疑的内存 grep 活动
- 通过 ClientAppId 的可疑 Microsoft 365 邮件访问
- 可疑的 Microsoft 诊断向导执行
- 可疑的采矿进程创建事件
- 可疑的 Modprobe 文件事件
- 由 LSASS 加载的可疑模块
- 由以前未知的可执行文件执行的可疑网络活动到互联网
- 通过 Sudo 二进制文件执行的可疑网络连接
- 通过 systemd 执行的可疑网络连接
- 在容器内部启动的可疑网络工具
- 可疑的 PDF 阅读器子进程
- 可疑的 Passwd 文件事件操作
- 在 Powershell 脚本中编码的可疑可移植可执行文件
- 可疑的 PowerShell 引擎 ImageLoad
- 可疑的 Powershell 脚本
- 可疑的打印后台程序文件删除
- 可疑的打印后台程序指向和打印 DLL
- 可疑的打印后台程序 SPL 文件创建
- 可疑的打印后台程序服务可执行文件创建
- 可疑的 Proc 伪文件系统枚举
- 可疑的通过直接系统调用访问进程
- 可疑的进程创建 CallTrace
- 可疑的通过重命名的 PsExec 可执行文件执行进程
- 可疑的 RDP ActiveX 客户端加载
- 可疑的通过 SeBackupPrivilege 访问远程注册表
- 可疑的 ESXI 文件重命名
- 可疑的 ESXI index.html 文件重命名
- 可疑的 ScreenConnect 客户端子进程
- 可疑的脚本对象执行
- 可疑的服务已安装在系统中
- 可疑的 SolarWinds 子进程
- 可疑的启动 Shell 文件夹修改
- 可疑的符号链接创建
- 可疑的 Sysctl 文件事件
- 可疑的通过以前未知的可执行文件执行系统命令
- 可疑的 ESXI 进程终止
- 可疑的故障排除包 Cabinet 执行
- 可疑的通过 ProxyChains 启动实用程序
- 可疑的 WMI 事件订阅创建
- 可疑的来自 MS Office 的 WMI Image Load
- 可疑的 WMIC XSL 脚本执行
- 可疑的 Web 浏览器敏感文件访问
- 可疑的 WerFault 子进程
- 可疑的由主机生成的 Windows 进程集群
- 可疑的由父进程生成的 Windows 进程集群
- 可疑的由用户生成的 Windows 进程集群
- 可疑的 Zoom 子进程
- 可疑的 macOS MS Office 子进程
- 可疑的 rc.local 错误消息
- 可疑的 which 枚举
- Svchost 生成 Cmd
- 创建指向影子副本的符号链接
- 系统二进制文件移动或复制
- 系统 Hosts 文件访问
- 通过 Windows 命令 shell 发现系统信息
- 系统日志文件删除
- 系统网络连接发现
- 系统所有者/用户发现 Linux
- 通过内置 Windows 实用程序发现系统服务
- 通过服务访问系统 Shell
- 系统时间发现
- 创建 System V Init 脚本
- 通过命令行访问系统密钥
- 创建 Systemd Generator
- 创建 Systemd 服务
- 由不寻常的父进程启动的 Systemd 服务
- 创建 Systemd 定时器
- 创建 Systemd-udevd 规则文件
- 通过挂载的 APFS 快照访问绕过 TCC
- 受污染的内核模块加载
- 受污染的树外内核模块加载
- 篡改 Shell 命令行历史记录
- 创建临时计划的任务
- 通过意外进程删除第三方备份文件
- 威胁情报哈希指标匹配
- 威胁情报 IP 地址指标匹配
- 威胁情报 URL 指标匹配
- 威胁情报 Windows 注册表指标匹配
- 使用 Touch 命令进行时间戳修改
- 执行陷阱信号
- 尝试通过提升的 COM Internet Explorer 加载项安装程序绕过 UAC
- 尝试通过特权 IFileOperation COM 接口绕过 UAC
- 尝试通过 Windows 目录伪装绕过 UAC
- 尝试通过 IEditionUpgradeManager 提升的 COM 接口绕过 UAC
- 尝试通过 DiskCleanup 计划任务劫持绕过 UAC
- 尝试通过 ICMLuaUtil 提升的 COM 接口绕过 UAC
- 尝试通过 Windows 防火墙管理单元劫持绕过 UAC
- 从以前未知的可执行文件提升 UID
- 未经授权访问 Okta 应用程序
- 不常见的注册表持久性更改
- macOS 屏幕保护程序引擎的意外子进程
- Unix 套接字连接
- 具有 RWX 内存区域的二进制文件的未知执行
- 未签名的 BITS 服务客户端进程
- 由 Svchost 加载的未签名 DLL
- 由受信任的进程加载的未签名 DLL
- 来自可疑文件夹的未签名 DLL 侧加载
- 由 DNS 服务加载的未签名 DLL
- 加载不受信任的驱动程序
- 用户不寻常的 AWS 命令
- 系统虚拟进程不寻常的子进程
- dns.exe 不寻常的子进程
- RunDLL32 不寻常的子进程
- AWS 命令不寻常的城市
- AWS 命令不寻常的国家/地区
- 不寻常的 DNS 活动
- 用户不寻常的发现活动
- 带有不寻常的进程命令行的异常发现信号警报
- 带有不寻常的进程可执行文件的异常发现信号警报
- 系统关键进程不寻常的可执行文件创建
- 通过 Microsoft 通用控制台文件不寻常的执行
- 不寻常的文件创建 - 备用数据流
- dns.exe 不寻常的文件修改
- 检测到不寻常的高置信度失误阻止
- 用户登录不寻常的小时
- Linux 不寻常的网络活动
- Linux 不寻常的网络配置发现
- Linux 不寻常的网络连接发现
- Linux 不寻常的网络端口活动
- 调用元数据服务的 Linux 不寻常的进程
- Linux 不寻常的进程发现活动
- Linux 不寻常的系统信息发现活动
- 调用元数据服务的 Linux 不寻常的用户
- Linux 不寻常的用户发现活动
- Linux 不寻常的用户名
- 不寻常的登录活动
- Windows 系统二进制文件不寻常的网络活动
- 通过 DllHost 不寻常的网络连接
- 通过 RunDLL32 不寻常的网络连接
- 不寻常的网络目标域名
- cmd.exe 不寻常的父进程
- 不寻常的父子关系
- 通过服务注册表不寻常的持久性
- 打印后台程序不寻常的子进程
- 不寻常的进程执行路径 - 备用数据流
- WBEM 路径上的不寻常的进程执行
- 不寻常的进程扩展名
- MSSQL 服务帐户不寻常的进程
- Linux 主机不寻常的进程
- Windows 主机不寻常的进程
- 不寻常的进程网络连接
- 由主机生成的异常进程
- 由父进程生成的异常进程
- 由用户生成的异常进程
- 将数据写入外部设备的不寻常的进程
- 不寻常的远程文件目录
- 不寻常的远程文件扩展名
- 不寻常的远程文件大小
- 服务主机不寻常的子进程 - 无子进程的服务
- 用户登录的来源 IP 不寻常
- 不寻常的 Sudo 活动
- RDP 会话不寻常的时间或日期
- 通过 id 不寻常的用户权限枚举
- 不寻常的 Web 请求
- 不寻常的 Web 用户代理
- Windows 不寻常的网络活动
- Windows 不寻常的路径活动
- 调用元数据服务的 Windows 不寻常的进程
- Windows 不寻常的远程用户
- Windows 不寻常的服务
- 调用元数据服务的 Windows 不寻常的用户
- Windows 不寻常的用户权限提升活动
- Windows 不寻常的用户名
- 用户帐户创建
- 将用户添加为 Azure 应用程序的所有者
- 将用户添加为 Azure 服务主体的所有者
- 将用户添加到特权组
- 用户帐户暴露于 Kerberoasting
- 用户或组创建/修改
- 来自 Internet 的 VNC(虚拟网络计算)
- 到 Internet 的 VNC(虚拟网络计算)
- 由不寻常的进程加载的 Veeam 备份库
- 虚拟机指纹识别
- 通过 Grep 进行虚拟机指纹识别
- 虚拟专用网络连接尝试
- 通过 VssAdmin 删除或调整卷影副本
- 通过 PowerShell 删除卷影副本
- 通过 WMIC 删除卷影副本
- WMI 入站横向移动
- WMI WBEMTEST 实用程序执行
- WMIC 远程命令
- WPAD 服务漏洞利用
- Active Directory 对象上的 WRITEDAC 访问
- Web 应用程序可疑活动:拒绝 POST 请求
- Web 应用程序可疑活动:未授权的方法
- Web 应用程序可疑活动:sqlmap 用户代理
- Web Shell 检测:常见 Web 进程的脚本进程子进程
- WebProxy 设置修改
- Web 服务器访问日志删除
- Werfault ReflectDebugger 持久性
- Whoami 进程活动
- Windows 帐户或组发现
- Windows CryptoAPI 欺骗漏洞 (CVE-2020-0601 - CurveBall)
- 通过注册表修改禁用 Windows Defender
- 通过 PowerShell 添加 Windows Defender 排除项
- 清除 Windows 事件日志
- 通过 PowerShell 禁用 Windows 防火墙
- 具有可疑属性的 Windows 安装程序
- Windows 网络枚举
- 在 SMB 共享中创建 Windows 注册表文件
- 执行 PowerShell 的 Windows 脚本
- 通过 WMI 执行进程的 Windows 脚本解释器
- 通过不寻常的客户端安装的 Windows 服务
- 安装 Windows 子系统 Linux 发行版
- 通过 Dism 实用程序启用 Windows 子系统 Linux
- Windows 系统信息发现
- Windows 系统网络连接发现
- Windows 用户帐户创建
- 使用 Netsh 命令进行无线凭据转储
- Yum 包管理器插件文件创建
- Yum/DNF 插件状态发现
- 无密码的 Zoom 会议
- rc.local/rc.common 文件创建
- 可下载的规则更新
- 高级实体分析
- 云原生安全
- 调查
- Osquery
- 端点响应操作
- 管理端点保护
- Elastic Security API
- Elastic Security 字段和对象模式
- 故障排除
- 技术预览
- 发行说明