« 潜在的通过注册表进行的远程凭据访问 检测到潜在的远程桌面隧道 »
Elastic Docs Elastic Security Solution [8.14] 检测和警报 预置规则参考

潜在的远程桌面影子活动

编辑

潜在的远程桌面影子活动编辑

识别远程桌面协议 (RDP) 影子注册表的修改或执行指示活动 RDP 影子会话的进程。攻击者可能会滥用 RDP 影子功能来监视或控制其他用户的活动 RDP 会话。

规则类型: eql

规则索引:

  • logs-endpoint.events.process-*
  • logs-endpoint.events.registry-*
  • winlogbeat-*
  • logs-windows.sysmon_operational-*
  • endgame-*

严重性: 高

风险评分: 73

运行频率: 5m

搜索索引时间: now-9m (日期数学格式,另请参阅 其他回溯时间)

每次执行的最大警报数: 100

参考:

标签:

  • 域:端点
  • 操作系统:Windows
  • 用例:威胁检测
  • 策略:横向移动
  • 数据源:Elastic Endgame
  • 数据源:Elastic Defend
  • 数据源:Sysmon

版本: 109

规则作者:

  • Elastic

规则许可: Elastic License v2

设置编辑

设置

如果在版本 <8.2 的非 elastic-agent 索引(如 beats)上启用 EQL 规则,事件将不会定义 event.ingested,并且在版本 8.2 之前未添加 EQL 规则的默认后备。因此,为了让此规则有效运行,用户需要添加一个自定义摄取管道以将 event.ingested 填充到 @timestamp。有关添加自定义摄取管道的更多详细信息,请参阅 - https://elastic.ac.cn/guide/en/fleet/current/data-streams-pipeline-tutorial.html

规则查询编辑

/* Identifies the modification of RDP Shadow registry or
  the execution of processes indicative of active shadow RDP session */

any where host.os.type == "windows" and
(
  (event.category == "registry" and
     registry.path : (
      "HKLM\\Software\\Policies\\Microsoft\\Windows NT\\Terminal Services\\Shadow",
      "\\REGISTRY\\MACHINE\\Software\\Policies\\Microsoft\\Windows NT\\Terminal Services\\Shadow"
    )
  ) or
  (event.category == "process" and event.type == "start" and
     (process.name : ("RdpSaUacHelper.exe", "RdpSaProxy.exe") and process.parent.name : "svchost.exe") or
     (process.pe.original_file_name : "mstsc.exe" and process.args : "/shadow:*")
  )
)

框架: MITRE ATT&CKTM

« 潜在的通过注册表进行的远程凭据访问 检测到潜在的远程桌面隧道 »