通过 CMSTP.exe 进行潜在的防御规避

Microsoft 连接管理器配置文件安装程序 (CMSTP.exe) 是一个命令行程序，用于安装接受安装信息文件 (INF) 文件的连接管理器服务配置文件。攻击者可能会滥用 CMSTP 来代理恶意代码的执行，方法是提供包含恶意命令的 INF 文件。

规则类型: eql

规则索引:

严重程度: 低

风险评分: 21

运行频率: 60 分钟

搜索索引范围: now-119m (日期数学格式，另请参阅 额外的回溯时间)

每次执行的最大警报数: 100

参考:

标签:

版本: 3

规则作者:

规则许可证: Elastic License v2

process where host.os.type == "windows" and event.type == "start" and
  process.name : "cmstp.exe" and process.args == "/s"