« 通过注册表启用 RDP Internet 上的 RPC(远程过程调用) »
Elastic 文档 Elastic Security Solution [8.14] 检测和警报 预置规则参考

Internet 上的 RPC(远程过程调用)

编辑

Internet 上的 RPC(远程过程调用)编辑

此规则可检测可能表明 Internet 上使用 RPC 流量的网络事件。系统管理员通常使用 RPC 远程控制系统以进行维护或使用共享资源。它几乎不应直接暴露于 Internet,因为威胁行为者经常将其作为初始访问或后门媒介进行攻击和利用。

规则类型:查询

规则索引:

  • packetbeat-*
  • auditbeat-*
  • filebeat-*
  • logs-network_traffic.*

严重性:高

风险评分: 73

每隔:5 分钟运行一次

从以下时间开始搜索索引:now-9m(日期数学格式,另请参见 其他回溯时间

每次执行的最大警报数: 100

参考:

标签:

  • 策略:初始访问
  • 域:端点
  • 用例:威胁检测

版本: 103

规则作者:

  • Elastic

规则许可证:Elastic 许可证 v2

规则查询编辑

(event.dataset: network_traffic.flow or (event.category: (network or network_traffic))) and
  network.transport:tcp and (destination.port:135 or event.dataset:zeek.dce_rpc) and
  not source.ip:(
    10.0.0.0/8 or
    127.0.0.0/8 or
    169.254.0.0/16 or
    172.16.0.0/12 or
    192.0.0.0/24 or
    192.0.0.0/29 or
    192.0.0.8/32 or
    192.0.0.9/32 or
    192.0.0.10/32 or
    192.0.0.170/32 or
    192.0.0.171/32 or
    192.0.2.0/24 or
    192.31.196.0/24 or
    192.52.193.0/24 or
    192.168.0.0/16 or
    192.88.99.0/24 or
    224.0.0.0/4 or
    100.64.0.0/10 or
    192.175.48.0/24 or
    198.18.0.0/15 or
    198.51.100.0/24 or
    203.0.113.0/24 or
    240.0.0.0/4 or
    "::1" or
    "FE80::/10" or
    "FF00::/8"
  ) and
  destination.ip:(
    10.0.0.0/8 or
    172.16.0.0/12 or
    192.168.0.0/16
  )

框架: MITRE ATT&CKTM

« 通过注册表启用 RDP Internet 上的 RPC(远程过程调用) »