机器学习检测到可疑的 Windows 事件，预测为恶意活动

编辑

机器学习检测到可疑的 Windows 事件，预测为恶意活动编辑

一个监督机器学习模型 (ProblemChild) 识别出一个可疑的 Windows 进程事件，该事件很可能是恶意活动。或者，该模型的黑名单将该事件识别为恶意事件。

规则类型: eql

规则索引:

endgame-*
logs-endpoint.events.process-*
winlogbeat-*

严重性: 低

风险评分: 21

每隔: 5 分钟运行一次

从以下时间开始搜索索引: now-10m (日期数学格式，另请参见 附加回溯时间)

每次执行的最大警报数: 100

参考:

标签:

操作系统：Windows
数据源：Elastic Endgame
用例：Living off the Land 攻击检测
规则类型：ML
规则类型：机器学习
策略：防御规避

版本: 6

规则作者:

Elastic

规则许可证: Elastic 许可证 v2

设置编辑

设置

该规则要求安装 Living off the Land (LotL) 攻击检测集成资产，以及由 Elastic Defend 或 Winlogbeat 等集成收集的 Windows 进程事件。

LotL 攻击检测设置

LotL 攻击检测集成检测 Windows 进程事件中的 Living-off-the-Land 活动。

先决条件要求

LotL 攻击检测需要 Fleet。
要配置 Fleet Server，请参阅文档。
由Elastic Defend集成或 Winlogbeat(https://elastic.ac.cn/guide/en/beats/winlogbeat/current/_winlogbeat_overview.html)收集的 Windows 进程事件。
要安装 Elastic Defend，请参阅文档。
要设置并运行 Winlogbeat，请按照此指南进行操作。

应执行以下步骤来安装与 LotL 攻击检测集成关联的资产

转到 Kibana 主页。在“管理”下，单击“集成”。
在查询栏中，搜索“Living off the Land 攻击检测”，然后选择集成以查看有关该集成的更多详细信息。
按照安装部分下的说明进行操作。
要使此规则生效，请完成配置摄取管道的说明。

规则查询编辑

process where (problemchild.prediction == 1 or blocklist_label == 1) and not process.args : ("*C:\\WINDOWS\\temp\\nessus_*.txt*", "*C:\\WINDOWS\\temp\\nessus_*.tmp*")

框架：MITRE ATT&CK^TM

策略
- 名称：防御规避
- ID：TA0005
- 参考 URL：https://attack.mitre.org/tactics/TA0005/
技术
- 名称：伪装
- ID：T1036
- 参考 URL：https://attack.mitre.org/techniques/T1036/
子技术
- 名称：伪装任务或服务
- ID：T1036.004
- 参考 URL：https://attack.mitre.org/techniques/T1036/004/

« 机器学习检测到具有高 DGA 概率分数的 DNS 请求机器学习检测到具有高恶意概率分数的可疑 Windows 事件 »