潜在的跨多个主机的广泛恶意软件感染

编辑

潜在的跨多个主机的广泛恶意软件感染编辑

此规则使用警报数据来确定何时在多个主机中触发恶意软件签名。分析师可以使用此规则来优先处理分类和响应，因为这可能表示广泛的恶意软件感染。

规则类型: esql

规则索引: 无

严重性: 高

风险评分: 73

每隔运行: 5 分钟

从以下时间开始搜索索引: now-9m（日期数学格式，另请参见 附加回溯时间）

每个执行的最大警报数: 100

参考:

https://github.com/elastic/protections-artifacts/tree/main/yara/rules

标签:

域：端点
数据源：Elastic Defend
用例：威胁检测
策略：执行
规则类型：高阶规则

版本: 1

规则作者:

Elastic

规则许可: Elastic 许可证 v2

规则查询编辑

from logs-endpoint.alerts-*
| where event.code in ("malicious_file", "memory_signature", "shellcode_thread") and rule.name is not null
| stats hosts = count_distinct(host.id) by rule.name, event.code
| where hosts >= 3

框架: MITRE ATT&CK^TM

策略
- 名称：执行
- ID：TA0002
- 参考 URL：https://attack.mitre.org/tactics/TA0002/
技术
- 名称：用户执行
- ID：T1204
- 参考 URL：https://attack.mitre.org/techniques/T1204/
子技术
- 名称：恶意文件
- ID：T1204.002
- 参考 URL：https://attack.mitre.org/techniques/T1204/002/

« 潜在的通过 DNS 记录创建进行的 WPAD 欺骗潜在的 Windows 错误管理器伪装 »