远程文件传输激增
编辑远程文件传输激增编辑
机器学习作业检测到主机上共享的远程文件数量异常,表明存在潜在的横向移动活动。攻击者在获得对网络的访问权限后,主要目标之一是找到并窃取有价值的信息。攻击者可能会执行多次小规模传输以匹配网络中的正常出口活动,从而逃避检测。
规则类型: machine_learning
规则索引: 无
严重性: 低
风险评分: 21
每隔运行: 15m
从以下时间开始搜索索引: now-90m (日期数学格式,另请参阅 附加回溯时间)
每次执行的最大警报数: 100
参考:
标签:
- 用例:横向移动检测
- 规则类型:ML
- 规则类型:机器学习
- 策略:横向移动
版本: 4
规则作者:
- Elastic
规则许可: Elastic License v2
设置编辑
设置
该规则要求安装横向移动检测集成资产,以及 Elastic Defend 集成收集的文件和 Windows RDP 进程事件。
横向移动检测设置
横向移动检测集成通过识别文件和 Windows RDP 事件中的异常来检测横向移动活动。异常是使用 Elastic 的异常检测功能检测到的。
先决条件要求
- 横向移动检测需要 Fleet。
- 要配置 Fleet Server,请参阅文档。
- Elastic Defend 集成收集的文件事件。
- 要安装 Elastic Defend,请参阅文档。
应执行以下步骤以安装与横向移动检测集成关联的资产
- 转到 Kibana 主页。在“管理”下,单击“集成”。
- 在查询栏中,搜索“横向移动检测”并选择该集成以查看有关其的更多详细信息。
- 按照安装部分下的说明进行操作。
- 要使此规则生效,请按照添加预配置异常检测作业中的说明完成操作。
框架:MITRE ATT&CKTM
-
策略
- 名称:横向移动
- ID:TA0008
- 参考网址:https://attack.mitre.org/tactics/TA0008/
-
技术
- 名称:远程服务利用
- ID:T1210
- 参考网址:https://attack.mitre.org/techniques/T1210/