端口 26/TCP 上的 SMTP
编辑端口 26/TCP 上的 SMTP编辑
此规则检测可能表明在 TCP 端口 26 上使用 SMTP 的事件。此端口通常由一些流行的邮件传输代理使用,以避免与默认的 SMTP 端口 25 冲突。此端口也被一个名为 BadPatch 的恶意软件家族用来控制 Windows 系统。
规则类型: 查询
规则索引:
- packetbeat-*
- auditbeat-*
- filebeat-*
- logs-network_traffic.*
严重程度: 低
风险评分: 21
每: 5m
从以下索引搜索: now-9m (日期数学格式,另见 额外回溯时间)
每次执行的最大警报数: 100
参考资料:
标签:
- 战术:命令和控制
- 领域:端点
- 用例:威胁检测
版本: 104
规则作者:
- Elastic
规则许可证: Elastic License v2
规则查询编辑
(event.dataset: (network_traffic.flow or zeek.smtp) or event.category:(network or network_traffic)) and network.transport:tcp and destination.port:26
框架: MITRE ATT&CKTM
-
战术
- 名称:命令和控制
- ID:TA0011
- 参考 URL:https://attack.mitre.org/tactics/TA0011/
-
战术
- 名称:渗透
- ID:TA0010
- 参考 URL:https://attack.mitre.org/tactics/TA0010/
-
技术
- 名称:通过替代协议渗透
- ID:T1048
- 参考 URL:https://attack.mitre.org/techniques/T1048/