潜在的网络共享发现
编辑潜在的网络共享发现
编辑攻击者可能会在远程系统上查找共享的文件夹和驱动器,以识别要收集的信息来源,作为收集的前奏,并识别潜在的横向移动目标系统。
规则类型: eql
规则索引:
- winlogbeat-*
- logs-windows.*
- logs-system.security*
严重性: 低
风险评分: 21
运行频率: 60 分钟
搜索索引时间范围: now-119m (日期数学格式,另请参阅 额外回溯时间)
每次执行的最大警报数: 100
参考: 无
标签:
- 域: 端点
- 操作系统: Windows
- 用例: 威胁检测
- 战术: 发现
- 战术: 收集
- 规则类型: BBR
- 数据源: 系统
版本: 106
规则作者:
- Elastic
规则许可: Elastic License v2
规则查询
编辑sequence by user.name, source.port, source.ip with maxspan=15s
[file where event.action == "network-share-object-access-checked" and
winlog.event_data.ShareName in ("\\\\*\\ADMIN$", "\\\\*\\C$") and
source.ip != null and source.ip != "0.0.0.0" and source.ip != "::1" and source.ip != "::" and source.ip != "127.0.0.1"]
[file where event.action == "network-share-object-access-checked" and
winlog.event_data.ShareName in ("\\\\*\\ADMIN$", "\\\\*\\C$") and
source.ip != null and source.ip != "0.0.0.0" and source.ip != "::1" and source.ip != "::" and source.ip != "127.0.0.1"]
框架: MITRE ATT&CKTM
-
战术
- 名称: 发现
- ID: TA0007
- 参考 URL: https://attack.mitre.org/tactics/TA0007/
-
技术
- 名称: 网络共享发现
- ID: T1135
- 参考 URL: https://attack.mitre.org/techniques/T1135/
-
战术
- 名称: 收集
- ID: TA0009
- 参考 URL: https://attack.mitre.org/tactics/TA0009/
-
技术
- 名称: 从网络共享驱动器获取数据
- ID: T1039
- 参考 URL: https://attack.mitre.org/techniques/T1039/