« 带尾随空格的进程 使用 OSASCRIPT 提示输入凭据 »
Elastic 文档 Elastic Security Solution [8.14] 检测和警报 预置规则参考

程序文件目录伪装

编辑

程序文件目录伪装编辑

识别伪装成 Windows 程序文件目录的目录中的执行。这些路径是受信任的,通常托管受信任的第三方程序。攻击者可能会利用伪装和低权限绕过允许列出这些文件夹的检测。

规则类型: eql

规则索引:

  • winlogbeat-*
  • logs-endpoint.events.process-*
  • logs-windows.*
  • endgame-*
  • logs-system.security*
  • logs-m365_defender.event-*

严重性: 中等

风险评分: 47

每隔: 5m

从以下时间开始搜索索引: now-9m(日期数学格式,另请参见 附加回溯时间

每次执行的最大警报数: 100

参考: 无

标签:

  • 域:端点
  • 操作系统:Windows
  • 用例:威胁检测
  • 策略:防御规避
  • 数据源:Elastic Endgame
  • 数据源:Elastic Defend
  • 数据源:Microsoft Defender for Endpoint

版本: 110

规则作者:

  • Elastic

规则许可证: Elastic 许可证 v2

设置编辑

设置

如果在非 elastic-agent 索引(例如 beats)上启用 EQL 规则(适用于版本 <8.2),事件将不会定义 event.ingested,并且在版本 8.2 之前未添加 EQL 规则的默认后备。因此,为了让此规则有效工作,用户需要添加一个自定义摄取管道以将 event.ingested 填充到 @timestamp。有关添加自定义摄取管道的更多详细信息,请参阅 - https://elastic.ac.cn/guide/en/fleet/current/data-streams-pipeline-tutorial.html

规则查询编辑

process where host.os.type == "windows" and event.type == "start" and
  process.executable : "C:\\*Program*Files*\\*.exe" and
  not process.executable : (
        "?:\\Program Files\\*.exe",
        "?:\\Program Files (x86)\\*.exe",
        "?:\\Users\\*.exe",
        "?:\\ProgramData\\*.exe",
        "?:\\Windows\\Downloaded Program Files\\*.exe",
        "?:\\Windows\\Temp\\.opera\\????????????\\CProgram?FilesOpera*\\*.exe",
        "?:\\Windows\\Temp\\.opera\\????????????\\CProgram?Files?(x86)Opera*\\*.exe"
  )

框架:MITRE ATT&CKTM

« 带尾随空格的进程 使用 OSASCRIPT 提示输入凭据 »