« 通过 Windows 子系统进行 Linux 的可疑执行 检测到可疑文件更改活动 »
Elastic 文档 Elastic 安全解决方案 [8.14] 检测和警报 预构建规则参考

可疑资源管理器子进程

编辑

可疑资源管理器子进程编辑

识别可疑的 Windows 资源管理器子进程。Explorer.exe 可能被滥用来从受信任的父进程启动恶意脚本或可执行文件。

规则类型: eql

规则索引:

  • logs-endpoint.events.process-*
  • winlogbeat-*
  • logs-windows.sysmon_operational-*
  • endgame-*

严重程度: 中等

风险评分: 47

每隔: 5m 运行一次

搜索索引时间范围: now-9m (日期数学格式,另请参见 其他回溯时间)

每次执行的最大警报数: 100

参考: 无

标签:

  • 域:端点
  • 操作系统:Windows
  • 用例:威胁检测
  • 策略:初始访问
  • 策略:防御规避
  • 策略:执行
  • 数据源:Elastic Endgame
  • 数据源:Elastic Defend
  • 数据源:Sysmon

版本: 109

规则作者:

  • Elastic

规则许可证: Elastic License v2

设置编辑

设置

如果在非 elastic-agent 索引(如 beats)上启用 EQL 规则,对于版本 <8.2,事件将不定义 event.ingested,并且在版本 8.2 之前没有添加 EQL 规则的默认回退。因此,为了使此规则有效运行,用户需要添加自定义的摄取管道来将 event.ingested 填充为 @timestamp。有关添加自定义摄取管道的更多详细信息,请参阅 - https://elastic.ac.cn/guide/en/fleet/current/data-streams-pipeline-tutorial.html

规则查询编辑

process where host.os.type == "windows" and event.type == "start" and
  (
   process.name : ("cscript.exe", "wscript.exe", "powershell.exe", "rundll32.exe", "cmd.exe", "mshta.exe", "regsvr32.exe") or
   process.pe.original_file_name in ("cscript.exe", "wscript.exe", "PowerShell.EXE", "RUNDLL32.EXE", "Cmd.Exe", "MSHTA.EXE", "REGSVR32.EXE")
  ) and
  /* Explorer started via DCOM */
  process.parent.name : "explorer.exe" and process.parent.args : "-Embedding" and
  not process.parent.args:
          (
            /* Noisy CLSID_SeparateSingleProcessExplorerHost Explorer COM Class IDs   */
            "/factory,{5BD95610-9434-43C2-886C-57852CC8A120}",
            "/factory,{ceff45ee-c862-41de-aee2-a022c81eda92}"
          )

框架: MITRE ATT&CKTM

« 通过 Windows 子系统进行 Linux 的可疑执行 检测到可疑文件更改活动 »