« 使用内置工具进行进程发现 从异常目录执行进程 »
Elastic 文档 Elastic Security Solution [8.14] 检测和警报 预置规则参考

通过内置应用程序进行进程发现

编辑

通过内置应用程序进行进程发现编辑

识别攻击者可用于发现端点上正在运行的进程的内置工具的使用情况。

规则类型: eql

规则索引:

  • logs-endpoint.events.*
  • endgame-*

严重性: 低

风险评分: 21

每隔: 60m

从以下时间开始搜索索引: now-119m (日期数学格式,另请参见 其他回溯时间)

每次执行的最大警报数: 100

参考: 无

标签:

  • 域:端点
  • 操作系统:Linux
  • 操作系统:macOS
  • 用例:威胁检测
  • 策略:发现
  • 规则类型:BBR
  • 数据源:Elastic Defend
  • 数据源:Elastic Endgame

版本: 3

规则作者:

  • Elastic

规则许可证: Elastic License v2

规则查询编辑

process where event.type == "start" and event.action in ("exec", "exec_event") and process.name in (
  "ps", "pstree", "htop", "pgrep"
) and
not process.parent.name in ("amazon-ssm-agent", "snap")

框架: MITRE ATT&CKTM

« 使用内置工具进行进程发现 从异常目录执行进程 »