› › ›

统计模型检测到 C2 信标活动

编辑

统计模型检测到 C2 信标活动

编辑

一个统计模型已识别出命令和控制 (C2) 信标活动。信标活动可以帮助攻击者与 C2 服务器保持隐秘通信，接收指令和有效负载，外泄数据，并在网络中保持持久性。

规则类型: 查询

规则索引:

ml_beaconing.all

严重性: 低

风险评分: 21

运行频率: 5 分钟

搜索索引起始时间: now-1h (日期数学格式，另请参阅 额外回溯时间)

每次执行的最大告警数: 100

参考:

标签:

域: 网络
用例: C2 信标检测
策略: 命令和控制

版本: 6

规则作者:

Elastic

规则许可证: Elastic License v2

设置

编辑

设置

该规则需要安装网络信标识别集成资产，以及由 Elastic Defend 或网络数据包捕获集成收集的网络日志。

网络信标识别设置

网络信标识别集成包含一个统计框架，用于识别网络日志中的 C2 信标活动。

先决条件

网络信标识别需要 Fleet。
要配置 Fleet Server，请参阅文档。
由Elastic Defend 或网络数据包捕获集成收集的网络事件。
要安装 Elastic Defend，请参阅文档。
要将网络数据包捕获集成添加到 Elastic Agent 策略，请参阅本指南。

应执行以下步骤来安装与网络信标识别集成相关的资产

转到 Kibana 主页。在“管理”下，单击“集成”。
在查询栏中，搜索“网络信标识别”并选择集成以查看有关它的更多详细信息。
按照安装部分下的说明进行操作。

规则查询

编辑

beacon_stats.is_beaconing: true and
not process.name: ("WaAppAgent.exe" or "metricbeat.exe" or "packetbeat.exe" or "WindowsAzureGuestAgent.exe" or "HealthService.exe" or "Widgets.exe" or "lsass.exe" or "msedgewebview2.exe" or
                   "MsMpEng.exe" or "OUTLOOK.EXE" or "msteams.exe" or "FileSyncHelper.exe" or "SearchProtocolHost.exe" or "Creative Cloud.exe" or "ms-teams.exe" or "ms-teamsupdate.exe" or
                   "curl.exe" or "rundll32.exe" or "MsSense.exe" or "wermgr.exe" or "java" or "olk.exe" or "iexplore.exe" or "NetworkManager" or "packetbeat" or "Ssms.exe" or "NisSrv.exe" or
                   "gamingservices.exe" or "appidcertstorecheck.exe" or "POWERPNT.EXE" or "miiserver.exe" or "Grammarly.Desktop.exe" or "SnagitEditor.exe" or "CRWindowsClientService.exe" or
                   "agentbeat" or "dnf" or "yum" or "apt"
                  )

框架: MITRE ATT&CK^TM

策略
- 名称: 命令和控制
- ID: TA0011
- 参考 URL: https://attack.mitre.org/tactics/TA0011/
技术
- 名称: Web 服务
- ID: T1102
- 参考 URL: https://attack.mitre.org/techniques/T1102/
子技术
- 名称: 双向通信
- ID: T1102.002
- 参考 URL: https://attack.mitre.org/techniques/T1102/002/

« 启动/登录脚本添加到组策略对象统计模型检测到高置信度的 C2 信标活动 »