潜在的非标准端口 SSH 连接

编辑

潜在的非标准端口 SSH 连接编辑

识别通过通常与 SSH 无关的端口配对进行通信的潜在恶意进程。例如，SSH 通过端口 2200 或端口 2222，而不是传统的端口 22。攻击者可能会更改协议使用的标准端口，以绕过过滤或混淆网络数据的分析/解析。

规则类型: eql

规则索引:

logs-endpoint.events.*

严重性: 低

风险评分: 21

每隔运行: 5m

从以下时间开始搜索索引: now-9m (日期数学格式，另请参见 附加回溯时间)

每次执行的最大警报数: 100

参考:

https://attack.mitre.org/techniques/T1571/

标签:

域：端点
操作系统：Linux
用例：威胁检测
策略：指挥和控制
操作系统：macOS
数据源：Elastic Defend

版本: 5

规则作者:

Elastic

规则许可证: Elastic 许可证 v2

规则查询编辑

sequence by process.entity_id with maxspan=1m
  [process where event.action == "exec" and process.name:"ssh" and not process.parent.name in (
   "rsync", "pyznap", "git", "ansible-playbook", "scp", "pgbackrest", "git-lfs", "expect", "Sourcetree", "ssh-copy-id",
   "run"
   )
  ]
  [network where process.name:"ssh" and event.action in ("connection_attempted", "connection_accepted") and
   destination.port != 22 and destination.ip != "127.0.0.1" and network.transport: "tcp"
  ]

框架: MITRE ATT&CK^TM

策略
- 名称：指挥和控制
- ID：TA0011
- 参考网址：https://attack.mitre.org/tactics/TA0011/
技术
- 名称：非标准端口
- ID：T1571
- 参考网址：https://attack.mitre.org/techniques/T1571/

« 潜在的非标准端口 HTTP/HTTPS 连接通过推送通知进行潜在的 Okta MFA 轰炸 »