› › ›

对 LDAP 属性的可疑访问

编辑

对 LDAP 属性的可疑访问编辑

识别对大量 Active Directory 对象属性的读取访问。了解对象属性有助于攻击者发现漏洞、提升权限或收集敏感信息。

规则类型: eql

规则索引:

winlogbeat-*
logs-system.security*
logs-windows.forwarded*

严重性: 高

风险评分: 73

每隔: 5 分钟运行一次

从以下时间开始搜索索引: now-9m（日期数学格式，另请参阅 Additional look-back time）

每次执行的最大警报数: 100

参考: 无

标签:

域：端点
操作系统：Windows
用例：威胁检测
策略：发现
数据源：系统
数据源：Active Directory
数据源：Windows

版本: 1

规则作者:

Elastic

规则许可证: Elastic 许可证 v2

设置编辑

必须为（成功、失败）配置审核目录服务更改日志记录策略。通过高级审核配置实施日志记录策略的步骤

计算机配置 > 策略 > Windows 设置 > 安全设置 > 高级审核策略配置 > 审核策略 > DS 访问 > 审核目录服务更改（成功、失败）

规则查询编辑

any where event.action == "Directory Service Access" and
 event.code == "4662" and not winlog.event_data.SubjectUserSid : "S-1-5-18" and
 winlog.event_data.AccessMaskDescription == "Read Property" and length(winlog.event_data.Properties) >= 2000

框架: MITRE ATT&CK^TM

策略
- 名称：发现
- ID：TA0007
- 参考 URL：https://attack.mitre.org/tactics/TA0007/
技术
- 名称：权限组发现
- ID：T1069
- 参考 URL：https://attack.mitre.org/techniques/T1069/

« 可疑 APT 包管理器网络连接 Okta 用户报告的可疑活动 »