› › ›

命令行执行 Python 脚本

编辑

命令行执行 Python 脚本编辑

识别使用命令行输入执行 Python 脚本并导入 sys 模块的情况。攻击者通常使用这种方法来执行恶意脚本，并避免将其写入磁盘。

规则类型: eql

规则索引:

auditbeat-*
logs-endpoint.events.*

严重程度: 中等

风险评分: 47

每隔: 5m

搜索索引时间: now-9m (日期数学格式，另请参阅 额外回溯时间)

每次执行的最大警报数: 100

参考: 无

标签:

领域: 端点
操作系统: Linux
操作系统: macOS
操作系统: Windows
用例: 威胁检测
策略: 执行
数据源: Elastic Defend

版本: 1

规则作者:

Elastic

规则许可证: Elastic License v2

设置编辑

设置

如果在非 elastic-agent 索引（如 beats）上启用 EQL 规则，对于版本 <8.2，事件将不会定义 event.ingested，并且 EQL 规则的默认回退直到版本 8.2 才添加。因此，为了使此规则有效地工作，用户需要添加一个自定义摄取管道来将 event.ingested 填充到 @timestamp。有关添加自定义摄取管道的更多详细信息，请参考 - https://elastic.ac.cn/guide/en/fleet/current/data-streams-pipeline-tutorial.html

规则查询编辑

process where event.type in ("start", "process_started") and
 process.name : "python*" and process.args : "-c" and process.args : "*import*sys*"

框架: MITRE ATT&CK^TM

策略
- 名称: 执行
- ID: TA0002
- 参考网址: https://attack.mitre.org/tactics/TA0002/
技术
- 名称: 命令和脚本解释器
- ID: T1059
- 参考网址: https://attack.mitre.org/techniques/T1059/
子技术
- 名称: Python
- ID: T1059.006
- 参考网址: https://attack.mitre.org/techniques/T1059/006/
子技术
- 名称: Windows 命令外壳
- ID: T1059.003
- 参考网址: https://attack.mitre.org/techniques/T1059/003/

« PsExec 网络连接隔离属性被未签名或不受信任的进程移除 »