统计模型检测到 C2 信标活动
编辑统计模型检测到 C2 信标活动编辑
统计模型已识别出命令和控制 (C2) 信标活动。信标可以帮助攻击者与其 C2 服务器保持隐秘通信,接收指令和有效负载,窃取数据并在网络中保持持久性。
规则类型:查询
规则索引:
- ml_beaconing.all
严重性:低
风险评分: 21
每隔:5 分钟运行
从以下时间开始搜索索引:now-1h(日期数学格式,另请参见 Additional look-back time)
每次执行的最大警报数: 100
参考:
标签:
- 域:网络
- 用例:C2 信标检测
- 策略:命令和控制
版本: 6
规则作者:
- Elastic
规则许可证:Elastic License v2
设置编辑
设置
该规则要求安装网络信标识别集成资产,以及由 Elastic Defend 或网络数据包捕获集成收集的网络日志。
网络信标识别设置
网络信标识别集成包含一个统计框架,用于识别网络日志中的 C2 信标活动。
先决条件
- 网络信标识别需要 Fleet。
- 要配置 Fleet Server,请参阅文档。
- 由Elastic Defend或网络数据包捕获集成收集的网络事件。
- 要安装 Elastic Defend,请参阅文档。
- 要将网络数据包捕获集成添加到 Elastic Agent 策略,请参阅此指南。
应执行以下步骤来安装与网络信标识别集成关联的资产
- 转到 Kibana 主页。在“管理”下,单击“集成”。
- 在查询栏中,搜索“网络信标识别”,然后选择集成以查看更多详细信息。
- 按照安装部分下的说明进行操作。
规则查询编辑
beacon_stats.is_beaconing: true and
not process.name: ("WaAppAgent.exe" or "metricbeat.exe" or "packetbeat.exe" or "WindowsAzureGuestAgent.exe" or "HealthService.exe" or "Widgets.exe" or "lsass.exe" or "msedgewebview2.exe" or
"MsMpEng.exe" or "OUTLOOK.EXE" or "msteams.exe" or "FileSyncHelper.exe" or "SearchProtocolHost.exe" or "Creative Cloud.exe" or "ms-teams.exe" or "ms-teamsupdate.exe" or
"curl.exe" or "rundll32.exe" or "MsSense.exe" or "wermgr.exe" or "java" or "olk.exe" or "iexplore.exe" or "NetworkManager" or "packetbeat" or "Ssms.exe" or "NisSrv.exe" or
"gamingservices.exe" or "appidcertstorecheck.exe" or "POWERPNT.EXE" or "miiserver.exe" or "Grammarly.Desktop.exe" or "SnagitEditor.exe" or "CRWindowsClientService.exe" or
"agentbeat" or "dnf" or "yum" or "apt"
)
框架:MITRE ATT&CKTM
-
策略
- 名称:指挥和控制
- ID:TA0011
- 参考 URL:https://attack.mitre.org/tactics/TA0011/
-
技术
- 名称:Web 服务
- ID:T1102
- 参考 URL:https://attack.mitre.org/techniques/T1102/
-
子技术
- 名称:双向通信
- ID:T1102.002
- 参考 URL:https://attack.mitre.org/techniques/T1102/002/