互联网的 RPC (远程过程调用)

编辑

互联网的 RPC (远程过程调用)编辑

此规则检测可能表明使用 RPC 流量访问互联网的网络事件。RPC 通常由系统管理员用于远程控制系统以进行维护或使用共享资源。它几乎不应该直接暴露在互联网上，因为它经常成为威胁行为者作为初始访问或后门载体的目标并被他们利用。

规则类型: 查询

规则索引:

packetbeat-*
auditbeat-*
filebeat-*
logs-network_traffic.*

严重程度: 高

风险评分: 73

每隔: 5 分钟运行一次

搜索索引时间: now-9m (日期数学格式，另请参阅 额外回溯时间)

每次执行的最大警报数: 100

参考资料:

https://www.iana.org/assignments/iana-ipv4-special-registry/iana-ipv4-special-registry.xhtml

标签:

策略: 初始访问
领域: 端点
用例: 威胁检测

版本: 103

规则作者:

Elastic

规则许可证: Elastic 许可证 v2

规则查询编辑

(event.dataset: network_traffic.flow or (event.category: (network or network_traffic))) and
  network.transport:tcp and (destination.port:135 or event.dataset:zeek.dce_rpc) and
  source.ip:(
    10.0.0.0/8 or
    172.16.0.0/12 or
    192.168.0.0/16
  ) and
  not destination.ip:(
    10.0.0.0/8 or
    127.0.0.0/8 or
    169.254.0.0/16 or
    172.16.0.0/12 or
    192.0.0.0/24 or
    192.0.0.0/29 or
    192.0.0.8/32 or
    192.0.0.9/32 or
    192.0.0.10/32 or
    192.0.0.170/32 or
    192.0.0.171/32 or
    192.0.2.0/24 or
    192.31.196.0/24 or
    192.52.193.0/24 or
    192.168.0.0/16 or
    192.88.99.0/24 or
    224.0.0.0/4 or
    100.64.0.0/10 or
    192.175.48.0/24 or
    198.18.0.0/15 or
    198.51.100.0/24 or
    203.0.113.0/24 or
    240.0.0.0/4 or
    "::1" or
    "FE80::/10" or
    "FF00::/8"
  )

框架: MITRE ATT&CK^TM

策略
- 名称: 初始访问
- ID: TA0001
- 参考 URL: https://attack.mitre.org/tactics/TA0001/
技术
- 名称: 利用面向公众的应用程序
- ID: T1190
- 参考 URL: https://attack.mitre.org/techniques/T1190/

« 来自互联网的 RPC (远程过程调用) 勒索软件 - 检测到 - Elastic Endgame »