Elastic 安全其他版本
Elastic 安全概览
8.17 版本的新增功能
将 Elastic 安全升级到 8.17.0
- 从 7.17 版本升级到 8.x 版本
升级后步骤（可选）
- 迁移使用威胁情报丰富化的检测告警
- 索引模板脚本
- 更新已弃用的 ServiceNow 连接器
开始使用 Elastic 安全
- Elastic 安全要求
- Elastic 安全 UI
- 将数据采集到 Elastic 安全
- 空间和 Elastic 安全
- Elastic 安全中的数据视图
- 配置高级设置
安全人工智能
- AI 助手
  - AI 助手知识库
- 攻击发现
- 为大型语言模型 (LLM) 设置连接器
- 用例
检测和告警
- 检测要求
- 在 Elastic 安全中使用 logsdb 索引模式
- 关于检测规则
- 创建检测规则
- 安装和管理 Elastic 预构建规则
- 管理检测规则
- 监控和排除规则执行故障
- 规则例外
- 关于构建块规则
- MITRE ATT&CK® 覆盖范围
- 管理检测告警
- 减少通知和告警
- 查询告警索引
- 调整检测规则
- 预构建规则参考
- 可下载的规则更新
  - 更新 v8.17.1
使用 Elastic Defend 配置端点保护
- Elastic Defend 要求
- 安装 Elastic Defend
- Elastic Defend 功能权限
- 为 Elastic Defend 配置集成策略
- 配置离线端点和气隙环境
- 卸载 Elastic Agent
管理 Elastic Defend
- 端点
- 策略
- 受信任的应用程序
- 事件过滤器
- 主机隔离例外
- 阻止列表
- 优化 Elastic Defend
- 事件捕获和 Elastic Defend
- 在第三方防病毒应用程序中允许 Elastic Endpoint
- Elastic Endpoint 自保护功能
- Elastic Endpoint 命令参考
端点响应操作
- 自动化响应操作
- 隔离主机
- 响应操作历史记录
- 第三方响应操作
- 配置第三方响应操作
云安全
- 安全态势管理概述
- 云安全态势管理
- Kubernetes 安全态势管理
- 云原生漏洞管理
- Kubernetes 的云工作负载保护
- VM 的云工作负载保护
  - 捕获环境变量
- 摄取第三方云安全数据
仪表板
- 概述仪表板
- 检测和响应仪表板
- Kubernetes 仪表板
- 云安全态势仪表板
- 实体分析仪表板
- 数据质量仪表板
- 云原生漏洞管理仪表板
- 检测规则监控仪表板
探索
- 主机页面
- 网络页面
  - 配置网络地图数据
- 用户页面
高级实体分析
- 实体风险评分
- 高级行为检测
调查工具
- 时间线
  - 时间线模板
- 可视化事件分析器
- 会话视图
- Osquery
- 备注
- 入侵指标
- 案例
Elastic Security API
- 检测 API
- 异常 API
- 列表 API
- 检测警报迁移 API
- 时间线 API
- 案例 API
- 操作 API（用于将案例推送到外部系统）
- 端点管理 API
- Elastic AI 助手 API
- 资产重要性 API
Elastic Security 字段和对象架构
- 在 Elastic Security 中创建运行时字段
- Elastic Security ECS 字段参考
- 时间线架构
- 警报架构
故障排除
- 检测规则
- Elastic Defend
发行说明
- 8.17
- 8.16
- 8.15
- 8.14
- 8.13
- 8.12
- 8.11
- 8.10
- 8.9
- 8.8
- 8.7
- 8.6
- 8.5
- 8.4
- 8.3
- 8.2
- 8.1
- 8.0

« 通过 Postgresql 的潜在代码执行通过修改后的 notify_on_release 文件实现的潜在容器逃逸 »

› › ›

通过 Internet Explorer 的潜在命令和控制

识别通过组件对象模型 (COM) 启动的 Internet Explorer (iexplore.exe) 建立异常网络连接的实例。攻击者可能滥用通过 COM 启动的 Internet Explorer 来避免可疑进程建立网络连接并绕过基于主机的防火墙限制。

规则类型: eql

规则索引:

logs-endpoint.events.library-*
logs-endpoint.events.process-*
logs-endpoint.events.network-*

严重性: 中

风险评分: 47

运行频率: 5 分钟

搜索索引时间范围: now-9m (日期数学格式，另请参阅 其他回溯时间)

每次执行的最大警报数: 100

参考: 无

标签:

域: 端点
操作系统: Windows
用例: 威胁检测
战术: 命令和控制
数据源: Elastic Defend

版本: 106

规则作者:

Elastic

规则许可: Elastic License v2

规则查询

编辑

sequence by host.id, user.name with maxspan = 5s
  [library where host.os.type == "windows" and dll.name : "IEProxy.dll" and process.name : ("rundll32.exe", "regsvr32.exe")]
  [process where host.os.type == "windows" and event.type == "start" and process.parent.name : "iexplore.exe" and process.parent.args : "-Embedding"]
  /* IE started via COM in normal conditions makes few connections, mainly to Microsoft and OCSP related domains, add FPs here */
  [network where host.os.type == "windows" and network.protocol == "dns" and process.name : "iexplore.exe" and
   not dns.question.name :
   (
    "*.microsoft.com",
    "*.digicert.com",
    "*.msocsp.com",
    "*.windowsupdate.com",
    "*.bing.com",
    "*.identrust.com",
    "*.sharepoint.com",
    "*.office365.com",
    "*.office.com"
    )
  ] /* with runs=5 */

框架: MITRE ATT&CK^TM

战术
- 名称: 命令和控制
- ID: TA0011
- 参考 URL: https://attack.mitre.org/tactics/TA0011/
技术
- 名称: 应用程序层协议
- ID: T1071
- 参考 URL: https://attack.mitre.org/techniques/T1071/
战术
- 名称: 执行
- ID: TA0002
- 参考 URL: https://attack.mitre.org/tactics/TA0002/
技术
- 名称: 进程间通信
- ID: T1559
- 参考 URL: https://attack.mitre.org/techniques/T1559/
子技术
- 名称: 组件对象模型
- ID: T1559.001
- 参考 URL: https://attack.mitre.org/techniques/T1559/001/

« 通过 Postgresql 的潜在代码执行通过修改后的 notify_on_release 文件实现的潜在容器逃逸 »

On this page

规则查询

Was this helpful?

Feedback

The Search AI Company

ELK Stack

Elastic Cloud

Generative AI

Search

Security

Observability

By solution

Industries

Customer spotlight

Research

Build

Learn

Connect

通过 Internet Explorer 的潜在命令和控制

通过 Internet Explorer 的潜在命令和控制

规则查询

Follow us

About us

Join us

Partners

Trust & Security

Investor relations

Excellence Awards

About us

Join us

Partners

Trust & Security

Investor relations

Excellence Awards