Microsoft Exchange Worker 生成可疑进程

编辑

Microsoft Exchange Worker 生成可疑进程编辑

识别由 Microsoft Exchange Server 工作进程 (w3wp) 生成的可疑进程。此活动可能表明存在漏洞利用活动或对现有 Web Shell 后门的访问。

规则类型: eql

规则索引:

logs-endpoint.events.process-*
winlogbeat-*
logs-windows.sysmon_operational-*
endgame-*

严重程度: 高

风险评分: 73

运行频率: 5 分钟

搜索索引范围: now-9m (日期数学格式，另请参阅 其他回溯时间)

每次执行的最大警报数: 100

参考:

标签:

域: 端点
操作系统: Windows
用例: 威胁检测
策略: 初始访问
策略: 执行
数据源: Elastic Endgame
数据源: Elastic Defend
数据源: Sysmon

版本: 109

规则作者:

Elastic

规则许可证: Elastic 许可证 v2

设置编辑

设置

如果在非 elastic-agent 索引（例如 beats）上启用 EQL 规则，并且版本低于 8.2，则事件不会定义 event.ingested，并且在版本 8.2 之前不会添加 EQL 规则的默认回退。因此，为了使此规则有效工作，用户需要添加自定义摄取管道以将 event.ingested 填充到 @timestamp。有关添加自定义摄取管道的更多详细信息，请参阅 - https://elastic.ac.cn/guide/en/fleet/current/data-streams-pipeline-tutorial.html

规则查询编辑

process where host.os.type == "windows" and event.type == "start" and
  process.parent.name : "w3wp.exe" and process.parent.args : "MSExchange*AppPool" and
  (process.name : ("cmd.exe", "powershell.exe", "pwsh.exe", "powershell_ise.exe") or
  ?process.pe.original_file_name in ("cmd.exe", "powershell.exe", "pwsh.dll", "powershell_ise.exe"))

框架: MITRE ATT&CK^TM

策略
- 名称: 初始访问
- ID: TA0001
- 参考 URL: https://attack.mitre.org/tactics/TA0001/
技术
- 名称: 利用面向公众的应用程序
- ID: T1190
- 参考 URL: https://attack.mitre.org/techniques/T1190/
策略
- 名称: 执行
- ID: TA0002
- 参考 URL: https://attack.mitre.org/tactics/TA0002/
技术
- 名称: 命令和脚本解释器
- ID: T1059
- 参考 URL: https://attack.mitre.org/techniques/T1059/
子技术
- 名称: PowerShell
- ID: T1059.001
- 参考 URL: https://attack.mitre.org/techniques/T1059/001/
子技术
- 名称: Windows 命令外壳
- ID: T1059.003
- 参考 URL: https://attack.mitre.org/techniques/T1059/003/

« Microsoft Exchange 传输代理安装脚本 Microsoft IIS 连接字符串解密 »