Rapid7 Threat Command CVEs 相关性
编辑Rapid7 Threat Command CVEs 相关性
编辑当从 Rapid7 Threat Command 集成收集的 CVE 与客户环境中发现的漏洞匹配时,将触发此规则。
规则类型: threat_match
规则索引:
- auditbeat-*
- endgame-*
- filebeat-*
- logs-*
- packetbeat-*
- winlogbeat-*
严重性: 严重
风险评分: 99
运行频率: 30分钟
搜索索引范围从: now-35m (日期数学格式,另请参阅 额外回溯时间)
每次执行的最大警报数: 10000
参考:
标签:
- 操作系统: Windows
- 数据源: Elastic Endgame
- 数据源: Windows
- 数据源: 网络
- 数据源: Rapid7 Threat Command
- 规则类型: 威胁匹配
- 资源: 调查指南
- 用例: 漏洞
- 用例: 资产可见性
- 用例: 持续监控
版本: 103
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑分类和分析
调查 Rapid7 Threat Command CVEs 相关性
Rapid7 Threat Command CVEs 相关性规则允许匹配用户索引中来自 Rapid7 Threat Command 集成收集的漏洞的 CVE。
匹配将基于过去 180 天内 CVE 的最新值。因此,必须验证数据并通过调查相关活动来审查结果,以确定是否需要进一步调查。
如果漏洞与本地观察结果匹配,将生成以下富化字段以识别匹配的漏洞、字段和类型。
-
threat.indicator.matched.atomic- 这标识与本地观察结果匹配的原子漏洞 -
threat.indicator.matched.field- 这标识与本地观察结果匹配的漏洞字段 -
threat.indicator.matched.type- 这标识与本地观察结果匹配的漏洞类型
可以通过查看活动来源并考虑匹配的漏洞历史记录来进行其他调查。这有助于了解活动是否与合法行为相关。
- 可以根据匹配的数据并通过查看该活动的来源来验证和审查调查。
- 考虑匹配的漏洞的历史记录。以前发生过吗?它是否发生在多台机器上?这些类型的问题可以帮助了解活动是否与合法行为相关。
- 考虑用户及其在公司中的角色:这是否与他们的工作或工作职能相关?
设置
编辑设置
此规则需要威胁情报指标才能工作。可以使用 Elastic Agent 集成、威胁情报模块或自定义集成来收集威胁情报指标。
更多信息请见 此处。
最大信号数
此规则配置为生成比所有规则默认设置的每次运行 1000 个警报更多的 每次运行最大警报数。这是为了确保它捕获尽可能多的警报。
重要提示: 规则的 每次运行最大警报数 设置可以被 xpack.alerting.rules.run.alerts.max Kibana 配置设置覆盖,该设置确定 Kibana 警报框架中任何规则生成的最大警报数。例如,如果 xpack.alerting.rules.run.alerts.max 设置为 1000,则即使此规则自己的 每次运行最大警报数 设置得更高,它仍然不会生成超过 1000 个警报。
为了确保此规则可以生成与其自身 每次运行最大警报数 设置中配置的尽可能多的警报,请相应地增加 xpack.alerting.rules.run.alerts.max 系统设置。
注意: 在无服务器项目中无法更改 xpack.alerting.rules.run.alerts.max。
规则查询
编辑vulnerability.id : *