进程注入 - 已检测到 - Elastic Endgame
编辑进程注入 - 已检测到 - Elastic Endgame编辑
Elastic Endgame 检测到进程注入。单击事件.module 列中的 Elastic Endgame 图标或规则.reference 列中的链接以获取更多信息。
规则类型:查询
规则索引:
- endgame-*
严重性:高
风险评分: 73
每隔:10 分钟运行一次
从以下时间开始搜索索引:now-15m(日期数学格式,另请参见 Additional look-back time)
每次执行的最大警报数: 10000
参考:无
标签:
- 数据源:Elastic Endgame
- 用例:威胁检测
- 策略:权限提升
版本: 103
规则作者:
- Elastic
规则许可:Elastic 许可证 v2
设置编辑
设置
此规则配置为生成比所有规则设置的每次运行 1000 个警报的默认值更多的 每次运行的最大警报数。这是为了确保它捕获尽可能多的警报。
重要提示: 规则的 每次运行的最大警报数 设置可以被 xpack.alerting.rules.run.alerts.max Kibana 配置设置替代,后者决定了 Kibana 警报框架中任何规则生成的最大警报数。例如,如果 xpack.alerting.rules.run.alerts.max 设置为 1000,则即使规则本身的 每次运行的最大警报数 设置得更高,此规则仍将生成不超过 1000 个警报。
为确保此规则可以生成与其在 每次运行的最大警报数 设置中配置的一样多的警报,请相应地增加 xpack.alerting.rules.run.alerts.max 系统设置。
注意: 在无服务器项目中无法更改 xpack.alerting.rules.run.alerts.max。
规则查询编辑
event.kind:alert and event.module:endgame and endgame.metadata.type:detection and (event.action:kernel_shellcode_event or endgame.event_subtype_full:kernel_shellcode_event)
框架:MITRE ATT&CKTM
-
策略
- 名称:权限提升
- ID:TA0004
- 参考网址:https://attack.mitre.org/tactics/TA0004/
-
技术
- 名称:进程注入
- ID:T1055
- 参考网址:https://attack.mitre.org/techniques/T1055/