检测到潜在的可疑剪贴板活动
编辑检测到潜在的可疑剪贴板活动编辑
此规则监控不常见进程组领导者在 Unix 系统上使用最常见的剪贴板实用程序的情况。攻击者可能会收集用户在应用程序内或应用程序间复制信息时存储在剪贴板中的数据。
规则类型: new_terms
规则索引:
- logs-endpoint.events.*
- endgame-*
- auditbeat-*
- logs-auditd_manager.auditd-*
严重性: 低
风险评分: 21
每隔运行: 60m
从以下时间开始搜索索引: now-119m (日期数学格式,另请参见 Additional look-back time)
每次执行的最大警报数: 100
参考: 无
标签:
- 域:端点
- 操作系统:Linux
- 用例:威胁检测
- 策略:收集
- 规则类型:BBR
- 数据源:Elastic Defend
- 数据源:Elastic Endgame
- 数据源:Auditd Manager
版本: 4
规则作者:
- Elastic
规则许可证: Elastic License v2
规则查询编辑
event.category:process and host.os.type:"linux" and
event.type:"start" and event.action:("exec" or "exec_event" or "executed" or "process_started") and
process.name:("xclip" or "xsel" or "wl-clipboard" or "clipman" or "copyq")
框架: MITRE ATT&CKTM
-
策略
- 名称:收集
- ID:TA0009
- 参考 URL:https://attack.mitre.org/tactics/TA0009/
-
技术
- 名称:剪贴板数据
- ID:T1115
- 参考 URL:https://attack.mitre.org/techniques/T1115/