远程计算机帐户 DnsHostName 更新
编辑远程计算机帐户 DnsHostName 更新编辑
识别对计算机帐户的 DnsHostName 属性的远程更新。如果设置的新值为有效的域控制器 DNS 主机名,并且主题计算机名称不是域控制器,那么很可能是为利用 CVE-2022-26923 准备的步骤,目的是将权限从标准域用户提升到域管理员权限。
规则类型: eql
规则索引:
- winlogbeat-*
- logs-system.*
- logs-windows.*
严重性: 高
风险评分: 73
每隔运行: 5 分钟
从以下时间开始搜索索引: now-9m (日期数学格式,另请参阅 其他回溯时间)
每次执行的最大警报数: 100
参考:
标签:
- 域:端点
- 操作系统:Windows
- 用例:威胁检测
- 策略:权限提升
- 用例:Active Directory 监控
- 数据源:Active Directory
- 用例:漏洞
版本: 107
规则作者:
- Elastic
规则许可: Elastic 许可证 v2
规则查询编辑
iam where event.action == "changed-computer-account" and user.id : ("S-1-5-21-*", "S-1-12-1-*") and
/* if DnsHostName value equal a DC DNS hostname then it's highly suspicious */
winlog.event_data.DnsHostName : "??*" and
/* exclude FPs where DnsHostName starts with the ComputerName that was changed */
not startswith~(winlog.event_data.DnsHostName, substring(winlog.event_data.TargetUserName, 0, length(winlog.event_data.TargetUserName) - 1))
框架: MITRE ATT&CKTM
-
策略
- 名称:权限提升
- ID:TA0004
- 参考网址:https://attack.mitre.org/tactics/TA0004/
-
技术
- 名称:利用权限提升
- ID:T1068
- 参考网址:https://attack.mitre.org/techniques/T1068/
-
技术
- 名称:有效帐户
- ID:T1078
- 参考网址:https://attack.mitre.org/techniques/T1078/
-
子技术
- 名称:域帐户
- ID:T1078.002
- 参考网址:https://attack.mitre.org/techniques/T1078/002/