Rapid7 威胁命令 CVE 关联
编辑Rapid7 威胁命令 CVE 关联编辑
当从 Rapid7 威胁命令集成收集的 CVE 与在客户环境中发现的漏洞匹配时,会触发此规则。
规则类型: threat_match
规则索引:
- auditbeat-*
- endgame-*
- filebeat-*
- logs-*
- packetbeat-*
- winlogbeat-*
严重性: 严重
风险评分: 99
运行频率: 30 分钟
搜索索引时间范围: now-35m(日期数学格式,另请参见 Additional look-back time)
每次执行的最大警报数: 10000
参考:
标签:
- 操作系统:Windows
- 数据源:Elastic Endgame
- 数据源:Windows
- 数据源:网络
- 数据源:Rapid7 威胁命令
- 规则类型:威胁匹配
- 资源:调查指南
- 用例:漏洞
- 用例:资产可见性
- 用例:持续监控
版本: 1
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南编辑
分类和分析
调查 Rapid7 威胁命令 CVE 关联
Rapid7 威胁命令 CVE 关联规则允许将用户索引中的 CVE 与从 Rapid7 威胁命令集成收集的漏洞进行匹配。
匹配将基于过去 180 天内 CVE 的最新值。因此,通过调查关联的活动来验证数据并查看结果非常重要,以确定是否需要进一步调查。
如果漏洞与本地观察相符,将生成以下丰富字段以识别匹配的漏洞、字段和类型。
-
threat.indicator.matched.atomic- 这标识与本地观察相符的原子漏洞 -
threat.indicator.matched.field- 这标识与本地观察相符的漏洞字段 -
threat.indicator.matched.type- 这标识与本地观察相符的漏洞类型
可以通过查看活动源并考虑匹配漏洞的历史记录来进行额外的调查。这有助于了解该活动是否与合法行为相关。
- 可以根据匹配的数据以及查看该活动的源来验证和审查调查。
- 考虑匹配漏洞的历史记录。以前是否发生过?是否在多台机器上发生?此类问题有助于了解该活动是否与合法行为相关。
- 考虑用户及其在公司中的角色:这是否与他们的工作或工作职能相关?
设置编辑
设置
此规则需要威胁情报指标才能工作。可以使用 Elastic Agent 集成、威胁情报模块 或 自定义集成 来收集威胁情报指标。
更多信息请参见 此处。
最大信号
此规则配置为生成比所有规则设置的每轮默认 1000 个警报更多的 每轮最大警报。这是为了确保它捕获尽可能多的警报。
重要提示: 规则的 每轮最大警报 设置可以被 xpack.alerting.rules.run.alerts.max Kibana 配置设置替代,后者确定 Kibana 警报框架中任何规则生成的最大警报数。例如,如果 xpack.alerting.rules.run.alerts.max 设置为 1000,即使其自己的 每轮最大警报 设置得更高,此规则仍将生成不超过 1000 个警报。
为了确保此规则可以生成尽可能多的警报,因为它在其自己的 每轮最大警报 设置中配置的那样,请相应地增加 xpack.alerting.rules.run.alerts.max 系统设置。
注意:在无服务器项目中无法更改 xpack.alerting.rules.run.alerts.max。
规则查询编辑
vulnerability.id : *