检测到潜在缓冲区溢出攻击
编辑检测到潜在缓冲区溢出攻击编辑
通过查询“检测到段错误”预置规则信号索引(通过阈值规则,在短时间内至少有 100 个段错误警报)来检测潜在的缓冲区溢出攻击。在短时间内出现大量段错误可能表明应用程序利用尝试。
规则类型:阈值
规则索引:
- .alerts-security.*
严重性:低
风险评分: 21
每隔:5 分钟运行一次
从以下时间开始搜索索引:now-9m(日期数学格式,另请参见 附加回溯时间)
每次执行的最大警报数: 100
参考:无
标签:
- 域:端点
- 操作系统:Linux
- 用例:威胁检测
- 策略:权限提升
- 策略:初始访问
- 用例:漏洞
- 规则类型:高阶规则
版本: 3
规则作者:
- Elastic
规则许可证:Elastic 许可证 v2
设置编辑
设置
此规则利用其他预置检测规则的警报数据才能正常运行。
依赖的 Elastic 检测规则启用
作为高阶规则(基于其他检测),此规则还要求安装并启用以下先决条件 Elastic 检测规则:- 检测到段错误 (5c81fc9d-1eae-437f-ba07-268472967013)
规则查询编辑
kibana.alert.rule.rule_id:"5c81fc9d-1eae-437f-ba07-268472967013" and host.os.type:linux and event.kind:signal
框架:MITRE ATT&CKTM
-
策略
- 名称:权限提升
- ID:TA0004
- 参考网址:https://attack.mitre.org/tactics/TA0004/
-
技术
- 名称:利用权限提升
- ID:T1068
- 参考网址:https://attack.mitre.org/techniques/T1068/
-
策略
- 名称:初始访问
- ID:TA0001
- 参考网址:https://attack.mitre.org/tactics/TA0001/
-
技术
- 名称:利用面向公众的应用程序
- ID:T1190
- 参考网址:https://attack.mitre.org/techniques/T1190/