› › ›

对 LDAP 属性的可疑访问

编辑

对 LDAP 属性的可疑访问

编辑

识别对大量 Active Directory 对象属性的读取访问。了解对象的属性可以帮助攻击者发现漏洞、提升权限或收集敏感信息。

规则类型: eql

规则索引:

winlogbeat-*
logs-system.security*
logs-windows.forwarded*

严重性: 高

风险评分: 73

运行频率: 5m

搜索索引起始于: now-9m (Date Math 格式，另请参阅 额外的回溯时间)

每次执行的最大警报数: 100

参考: 无

标签:

域: 端点
操作系统: Windows
用例: 威胁检测
战术: 侦察
数据源: 系统
数据源: Active Directory
数据源: Windows

版本: 102

规则作者:

Elastic

规则许可: Elastic License v2

设置

编辑

必须为（成功，失败）配置审核目录服务更改日志记录策略。使用高级审核配置实施日志记录策略的步骤

计算机配置 > 策略 > Windows 设置 > 安全设置 > 高级审核策略配置 > 审核策略 > DS 访问 > 审核目录服务更改 (成功,失败)

规则查询

编辑

any where event.action in ("Directory Service Access", "object-operation-performed") and
 event.code == "4662" and not winlog.event_data.SubjectUserSid : "S-1-5-18" and
 winlog.event_data.AccessMaskDescription == "Read Property" and length(winlog.event_data.Properties) >= 2000

框架: MITRE ATT&CK^TM

战术
- 名称: 侦察
- ID: TA0007
- 参考 URL: https://attack.mitre.org/tactics/TA0007/
技术
- 名称: 权限组发现
- ID: T1069
- 参考 URL: https://attack.mitre.org/techniques/T1069/

« 可疑的 APT 包管理器网络连接 Okta 用户报告的可疑活动 »