预构建作业参考
编辑预构建作业参考编辑
这些异常检测作业会自动检测主机上的文件系统和网络异常。当您拥有与它们配置匹配的数据时,它们会显示在 Kibana 中 Elastic Security 应用程序的 异常检测 接口中。有关详细信息,请参阅 使用机器学习进行异常检测.
安全:身份验证编辑
检测与 ECS 兼容的身份验证日志中的异常活动。
在机器学习应用程序中,这些配置仅在存在与 清单文件 中指定的查询匹配的数据时才可用。在 Elastic Security 应用程序中,它会在 securitySolution:defaultIndex 高级设置 中指定的数据视图中查找与查询匹配的数据。
默认情况下,当您在 Elastic Security 应用程序中创建这些作业时,它会使用适用于多个索引的数据视图。要使用机器学习应用程序获得相同的结果,请创建一个类似的 数据视图,然后在作业向导中选择它。
| 名称 | 描述 | 作业 | 数据馈送 |
|---|---|---|---|
auth_high_count_logon_events |
查找成功身份验证事件异常激增。这可能是由于密码喷射、用户枚举或暴力破解活动造成的。 |
|
|
auth_high_count_logon_events_for_a_source_ip |
查找来自特定源 IP 地址的成功身份验证事件异常激增。这可能是由于密码喷射、用户枚举或暴力破解活动造成的。 |
|
|
auth_high_count_logon_fails |
查找身份验证失败事件异常激增。这可能是由于密码喷射、用户枚举或暴力破解活动造成的,也可能是帐户接管或凭据访问的先兆。 |
|
|
auth_rare_hour_for_a_user |
查找用户在对用户而言不寻常的时间登录。这可能是由于用户和威胁行为者在不同时区时,通过被盗帐户进行凭据访问造成的。此外,未经授权的用户活动通常发生在非工作时间。 |
|
|
auth_rare_source_ip_for_a_user |
查找用户从对用户而言不寻常的 IP 地址登录。这可能是由于用户和威胁行为者在不同位置时,通过被盗帐户进行凭据访问造成的。用户名不寻常的源 IP 地址也可能是由于在使用被盗帐户在主机之间横向移动时造成的。 |
|
|
auth_rare_user |
查找身份验证日志中不寻常的用户名。不寻常的用户名是检测通过新用户帐户或休眠用户帐户进行凭据访问的一种方法。由于用户已离开组织而通常处于非活动状态的用户帐户变得活跃,可能是由于使用被盗帐户密码进行凭据访问造成的。威胁行为者有时还会创建新用户,作为在受感染 Web 应用程序中持久存在的一种手段。 |
|
|
suspicious_login_activity |
检测异常数量的身份验证尝试。 |
|
|
安全:CloudTrail编辑
检测 CloudTrail 日志中记录的可疑活动。
在机器学习应用程序中,这些配置仅在存在与 清单文件 中指定的查询匹配的数据时才可用。在 Elastic Security 应用程序中,它会在 securitySolution:defaultIndex 高级设置 中指定的数据视图中查找与查询匹配的数据。
| 名称 | 描述 | 作业 | 数据馈送 |
|---|---|---|---|
high_distinct_count_error_message |
查找错误消息速率激增,这可能仅仅表明即将发生的服务器故障,但也可能是威胁行为者试图或成功持久化、特权提升、防御规避、发现、横向移动或收集活动的副产品。 |
|
|
rare_error_code |
查找不寻常的错误。罕见且不寻常的错误可能仅仅表明即将发生的服务器故障,但它们也可能是威胁行为者试图或成功持久化、特权提升、防御规避、发现、横向移动或收集活动的副产品。 |
|
|
rare_method_for_a_city |
查找 AWS API 调用,虽然本身并不可疑或异常,但来源是异常的地理位置(城市)。这可能是由于被盗凭据或密钥造成的。 |
|
|
rare_method_for_a_country |
查找 AWS API 调用,虽然本身并不可疑或异常,但来源是异常的地理位置(国家/地区)。这可能是由于被盗凭据或密钥造成的。 |
|
|
rare_method_for_a_username |
查找 AWS API 调用,虽然本身并不可疑或异常,但来源是通常不调用该方法的用户上下文。这可能是由于被盗凭据或密钥造成的,因为有人使用有效帐户来持久化、横向移动或泄露数据。 |
|
|
安全:Linux编辑
用于 Linux 主机端威胁搜寻和检测的异常检测作业。
在机器学习应用程序中,这些配置仅在存在与 清单文件 中指定的查询匹配的数据时才可用。在 Elastic Security 应用程序中,它会在 securitySolution:defaultIndex 高级设置 中指定的数据视图中查找与查询匹配的数据。
| 名称 | 描述 | 作业 | 数据馈送 |
|---|---|---|---|
v3_linux_anomalous_network_activity |
查找使用网络的不寻常进程,这可能表明命令和控制、横向移动、持久化或数据泄露活动。 |
|
|
v3_linux_anomalous_network_port_activity |
查找不寻常的目标端口活动,这可能表明命令和控制、持久化机制或数据泄露活动。 |
|
|
v3_linux_anomalous_process_all_hosts |
查找对所有 Linux 主机而言不寻常的进程。此类不寻常的进程可能表明未经授权的软件、恶意软件或持久化机制。 |
|
|
v3_linux_anomalous_user_name |
罕见且不寻常的用户,通常不活跃,可能表明未经授权的用户进行了未经授权的更改或活动,这可能是凭据访问或横向移动。 |
|
|
v3_linux_network_configuration_discovery |
查找与系统网络配置发现相关的命令,来自不寻常的用户上下文。这可能是由于不常见的故障排除活动或被盗帐户造成的。威胁行为者可能会使用被盗帐户来进行系统网络配置发现,以加深对连接网络和主机的了解。此信息可用于塑造后续行为,例如横向移动或其他发现。 |
|
|
v3_linux_network_connection_discovery |
查找与系统网络连接发现相关的命令,来自不寻常的用户上下文。这可能是由于不常见的故障排除活动或被盗帐户造成的。威胁行为者可能会使用被盗帐户来进行系统网络连接发现,以加深对连接的服务和系统的了解。此信息可用于塑造后续行为,例如横向移动或其他发现。 |
|
|
v3_linux_rare_metadata_process |
查找通过不寻常的进程对元数据服务进行异常访问。元数据服务可能是为了收集凭据或包含密钥的用户数据脚本而被攻击的目标。 |
|
|
v3_linux_rare_metadata_user |
查找通过不寻常的用户对元数据服务进行异常访问。元数据服务可能是为了收集凭据或包含密钥的用户数据脚本而被攻击的目标。 |
|
|
v3_linux_rare_sudo_user |
查找来自不寻常的用户上下文的 sudo 活动。不寻常的用户上下文更改可能是由于特权提升造成的。 |
|
|
v3_linux_rare_user_compiler |
查找由通常不运行编译器的用户上下文执行的编译器活动。这可能是临时软件更改或未经授权的软件部署。这也可能是由于通过本地运行的漏洞或恶意软件活动进行的本地特权提升造成的。 |
|
|
v3_linux_system_information_discovery |
查找与系统信息发现相关的命令,来自不寻常的用户上下文。这可能是由于不常见的故障排除活动或被盗帐户造成的。威胁行为者可能会使用被盗帐户来进行系统信息发现,以收集有关系统配置和软件版本的详细信息。这可能是选择持久化机制或特权提升方法的先兆。 |
|
|
v3_linux_system_process_discovery |
查找与系统进程发现相关的命令,来自不寻常的用户上下文。这可能是由于不常见的故障排除活动或被盗帐户造成的。威胁行为者可能会使用被盗帐户来进行系统进程发现,以加深对目标主机或网络上运行的软件应用程序的了解。这可能是选择持久化机制或特权提升方法的先兆。 |
|
|
v3_linux_system_user_discovery |
查找与系统用户或所有者发现相关的命令,来自不寻常的用户上下文。这可能是由于不常见的故障排除活动或被盗帐户造成的。威胁行为者可能会使用被盗帐户来进行系统所有者或用户发现,以识别当前活跃或主要系统用户。这可能是其他发现、凭据转储或特权提升活动的先兆。 |
|
|
v3_rare_process_by_host_linux |
查找对特定 Linux 主机而言不寻常的进程。此类不寻常的进程可能表明未经授权的软件、恶意软件或持久化机制。 |
|
|
安全:网络编辑
检测与 ECS 兼容的网络日志中的异常网络活动。
在机器学习应用程序中,这些配置仅在存在与 清单文件 中指定的查询匹配的数据时才可用。在 Elastic Security 应用程序中,它会在 securitySolution:defaultIndex 高级设置 中指定的数据视图中查找与查询匹配的数据。
默认情况下,当您在 Elastic Security 应用程序中创建这些作业时,它会使用适用于多个索引的数据视图。要使用机器学习应用程序获得相同的结果,请创建一个类似的 数据视图,然后在作业向导中选择它。
| 名称 | 描述 | 作业 | 数据馈送 |
|---|---|---|---|
high_count_by_destination_country |
查找网络日志中对一个目标国家/地区的网络活动异常激增。这可能是由于异常数量的侦察或枚举流量造成的。数据泄露活动也可能导致此类流量激增,该流量到达通常不会出现在网络流量或业务工作流中的目标国家/地区。恶意软件实例和持久化机制可能会与其所在国家/地区的命令和控制 (C2) 基础设施进行通信,这可能是源网络不寻常的目标国家/地区。 |
|
|
high_count_network_denies |
查找网络 ACL 或防火墙规则拒绝的网络流量中异常大的峰值。这种拒绝流量的突发通常是 1) 应用程序或防火墙配置错误,或 2) 可疑或恶意活动。为了连接到命令和控制 (C2) 或进行数据泄露而未成功的网络传输尝试可能会产生一系列失败的连接。这也可能是由于异常大量的侦察或枚举流量造成的。拒绝服务攻击或流量洪水也可能导致这种流量激增。 |
|
|
high_count_network_events |
查找网络流量中异常大的峰值。如果这种流量突发不是由业务活动激增造成的,则可能是由于可疑或恶意活动造成的。大规模数据泄露可能会产生网络流量突发;这也可能是由于异常大量的侦察或枚举流量造成的。拒绝服务攻击或流量洪水也可能导致这种流量激增。 |
|
|
rare_destination_country |
在网络日志中查找异常的目的地国家/地区名称。这可能是由于初始访问、持久性、命令和控制或泄露活动造成的。例如,当用户单击网络钓鱼电子邮件中的链接或打开恶意文档时,可能会向服务器发送请求,以从服务器下载并运行有效负载,而该服务器位于网络流量或业务工作流中通常不会出现的国家/地区。恶意软件实例和持久性机制可能与其源国的命令和控制 (C2) 基础设施通信,而该国家/地区可能是源网络的异常目的地国家/地区。 |
|
|
安全:Packetbeat编辑
检测 Packetbeat 数据中的可疑网络活动。
在机器学习应用程序中,只有当存在与 清单文件 中指定的查询匹配的数据时,这些配置才可用。在 Elastic Security 应用程序中,它会在 securitySolution:defaultIndex 高级设置 中指定的数据视图中查找与查询匹配的数据。
| 名称 | 描述 | 作业 | 数据馈送 |
|---|---|---|---|
packetbeat_dns_tunneling |
查找可能指示命令和控制或数据泄露活动的异常 DNS 活动。 |
|
|
packetbeat_rare_dns_question |
查找可能指示命令和控制活动的异常 DNS 活动。 |
|
|
packetbeat_rare_server_domain |
查找可能指示执行、持久性、命令和控制或数据泄露活动的异常 HTTP 或 TLS 目的域活动。 |
|
|
packetbeat_rare_urls |
查找可能指示执行、持久性、命令和控制或数据泄露活动的异常网页浏览 URL 活动。 |
|
|
packetbeat_rare_user_agent |
查找可能指示执行、持久性、命令和控制或数据泄露活动的异常 HTTP 用户代理活动。 |
|
|
安全:Windows编辑
用于 Windows 主机端威胁狩猎和检测的异常检测作业。
在机器学习应用程序中,只有当存在与 清单文件 中指定的查询匹配的数据时,这些配置才可用。在 Elastic Security 应用程序中,它会在 securitySolution:defaultIndex 高级设置 中指定的数据视图中查找与查询匹配的数据。
如果还有其他要求,例如安装 Windows 系统监视器 (Sysmon) 或审核 Windows 安全事件日志中的进程创建,则会为每个作业列出这些要求。
| 名称 | 描述 | 作业 | 数据馈送 |
|---|---|---|---|
v3_rare_process_by_host_windows |
查找对特定 Windows 主机来说不寻常的进程。这种不寻常的进程可能指示未经授权的软件、恶意软件或持久性机制。 |
|
|
v3_windows_anomalous_network_activity |
查找使用网络的不寻常进程,这可能表明命令和控制、横向移动、持久化或数据泄露活动。 |
|
|
v3_windows_anomalous_path_activity |
查找可能指示恶意软件或持久性机制执行的不寻常路径中的活动。Windows 有效负载通常从用户配置文件路径执行。 |
|
|
v3_windows_anomalous_process_all_hosts |
查找对所有 Windows 主机来说不寻常的进程。这种不寻常的进程可能指示未经授权的软件、恶意软件或持久性机制的执行。 |
|
|
v3_windows_anomalous_process_creation |
查找可能指示恶意软件或持久性机制执行的不寻常的进程关系。 |
|
|
v3_windows_anomalous_script |
查找可能指示恶意软件或持久性机制执行的不寻常的 Powershell 脚本。 |
|
|
v3_windows_anomalous_service |
查找可能指示未经授权的服务、恶意软件或持久性机制执行的罕见且不寻常的 Windows 服务名称。 |
|
|
v3_windows_anomalous_user_name |
罕见且不寻常的用户,通常不活跃,可能表明未经授权的用户进行了未经授权的更改或活动,这可能是凭据访问或横向移动。 |
|
|
v3_windows_rare_metadata_process |
查找通过不寻常的进程对元数据服务进行异常访问。元数据服务可能是为了收集凭据或包含密钥的用户数据脚本而被攻击的目标。 |
|
|
v3_windows_rare_metadata_user |
查找通过不寻常的用户对元数据服务进行异常访问。元数据服务可能是为了收集凭据或包含密钥的用户数据脚本而被攻击的目标。 |
|
|
v3_windows_rare_user_runas_event |
不寻常的用户上下文切换可能是由于权限提升造成的。 |
|
|
v3_windows_rare_user_type10_remote_login |
不寻常的 RDP(远程桌面协议)用户登录可能表明帐户接管或凭据访问。 |
|
|
安全:Elastic 集成编辑
Elastic 集成 是一种简化的方式,用于将 Elastic 资源(例如数据摄取、转换以及本例中的安全机器学习功能)添加到您的环境中。
以下集成使用机器学习分析用户和实体行为模式,并在您的环境中出现相关可疑活动时帮助检测和发出警报。
域生成算法 (DGA) 检测
机器学习解决方案包,用于检测网络数据中的域生成算法 (DGA) 活动。有关所需订阅的更多信息,请参阅 订阅页面。
要下载,请参阅 文档。
| 名称 | 描述 |
|---|---|
dga_high_sum_probability |
检测网络数据中的域生成算法 (DGA) 活动。 |
作业配置和数据馈送可以在 此处 找到。
利用合法工具的攻击 (LotL) 检测
机器学习解决方案包,用于检测您环境中的利用合法工具的攻击 (LotL)。(也称为 ProblemChild)。有关所需订阅的更多信息,请参阅 订阅页面。
要下载,请参阅 文档。
| 名称 | 描述 |
|---|---|
problem_child_rare_process_by_host |
查找在通常不会表现出恶意进程活动的宿主上被归类为恶意的进程。 |
problem_child_high_sum_by_host |
查找单个宿主上的一组或多个恶意子进程。 |
problem_child_rare_process_by_user |
查找在用户上下文不寻常且通常不会表现出恶意进程活动的宿主上被归类为恶意的进程。 |
problem_child_rare_process_by_parent |
查找由父进程生成的罕见的恶意子进程。 |
problem_child_high_sum_by_user |
查找由同一个用户启动的一组或多个恶意进程。 |
problem_child_high_sum_by_parent |
查找由同一个父进程生成的的一组或多个恶意子进程。 |
作业配置和数据馈送可以在 此处 找到。
数据泄露检测 (DED)
机器学习包,用于检测网络和文件数据中的数据泄露。有关所需订阅的更多信息,请参阅 订阅页面。
要下载,请参阅 文档。
| 名称 | 描述 |
|---|---|
ded_high_sent_bytes_destination_geo_country_iso_code |
检测数据泄露到异常的地理位置(按国家/地区 ISO 代码)。 |
ded_high_sent_bytes_destination_ip |
检测数据泄露到异常的地理位置(按 IP 地址)。 |
ded_high_sent_bytes_destination_port |
检测数据泄露到异常的目标端口。 |
ded_high_sent_bytes_destination_region_name |
检测数据泄露到异常的地理位置(按区域名称)。 |
ded_high_bytes_written_to_external_device |
通过识别写入外部设备的大量字节来检测数据泄露活动。 |
ded_rare_process_writing_to_external_device |
通过识别由罕见进程启动的文件写入操作写入外部设备来检测数据泄露活动。 |
ded_high_bytes_written_to_external_device_airdrop |
通过识别通过 Airdrop 写入外部设备的大量字节来检测数据泄露活动。 |
作业配置和数据馈送可以在 此处 找到。
横向移动检测 (LMD)
机器学习包,用于根据文件传输活动和 Windows RDP 事件检测横向移动。有关所需订阅的更多信息,请参阅 订阅页面。
要下载,请参阅 文档。
| 名称 | 描述 |
|---|---|
lmd_high_count_remote_file_transfer |
检测到网络中到远程主机的文件传输数量异常高。 |
lmd_high_file_size_remote_file_transfer |
检测到网络中与远程主机共享的文件的大小异常高。 |
lmd_rare_file_extension_remote_transfer |
检测数据泄露到异常的目标端口。 |
lmd_rare_file_path_remote_transfer |
检测文件传输的异常文件夹和目录。 |
lmd_high_mean_rdp_session_duration |
检测到 RDP 会话持续时间的平均值异常高。 |
lmd_high_var_rdp_session_duration |
检测到 RDP 会话持续时间的方差异常高。 |
lmd_high_sum_rdp_number_of_processes |
检测到单个 RDP 会话中启动的进程数量异常高。 |
lmd_unusual_time_weekday_rdp_session_start |
检测到在不寻常的时间或星期几启动的 RDP 会话。 |
lmd_high_rdp_distinct_count_source_ip_for_destination |
检测到大量源 IP 与单个目标 IP 建立 RDP 连接。 |
lmd_high_rdp_distinct_count_destination_ip_for_source |
检测到大量目标 IP 与单个源 IP 建立 RDP 连接。 |
lmd_high_mean_rdp_process_args |
检测到 RDP 会话中进程参数的数量异常高。 |
作业配置和数据馈送可以在 此处 找到。