容器内启动的可疑网络工具
编辑容器内启动的可疑网络工具
编辑此规则检测在容器内运行的常用网络实用程序。诸如 nc、nmap、dig、tcpdump、ngrep、telnet、mitmproxy、zmap 等网络实用程序可能被用于恶意目的,例如网络侦察、监控或利用,应在容器内密切监控。
规则类型: eql
规则索引:
- logs-cloud_defend*
严重性: 中
风险评分: 47
运行频率: 5分钟
搜索索引范围: now-6m (日期数学格式,另请参阅 额外的回溯时间)
每次执行的最大告警数: 100
参考: 无
标签:
- 数据源: Elastic Defend for Containers
- 域: 容器
- 操作系统: Linux
- 用例: 威胁检测
- 战术: 发现
- 战术: 命令与控制
- 战术: 侦察
版本: 2
规则作者:
- Elastic
规则许可证: Elastic License v2
规则查询
编辑process where container.id: "*" and event.type== "start" and
(
(process.name: ("nc", "ncat", "nmap", "dig", "nslookup", "tcpdump", "tshark", "ngrep", "telnet", "mitmproxy", "socat", "zmap", "masscan", "zgrab")) or
/*account for tools that execute utilities as a subprocess, in this case the target utility name will appear as a process arg*/
(process.args: ("nc", "ncat", "nmap", "dig", "nslookup", "tcpdump", "tshark", "ngrep", "telnet", "mitmproxy", "socat", "zmap", "masscan", "zgrab"))
)
框架: MITRE ATT&CKTM
-
战术
- 名称: 发现
- ID: TA0007
- 参考 URL: https://attack.mitre.org/tactics/TA0007/
-
技术
- 名称: 网络服务发现
- ID: T1046
- 参考 URL: https://attack.mitre.org/techniques/T1046/
-
战术
- 名称: 命令与控制
- ID: TA0011
- 参考 URL: https://attack.mitre.org/tactics/TA0011/
-
技术
- 名称: 入侵工具传输
- ID: T1105
- 参考 URL: https://attack.mitre.org/techniques/T1105/
-
战术
- 名称: 侦察
- ID: TA0043
- 参考 URL: https://attack.mitre.org/tactics/TA0043/
-
技术
- 名称: 主动扫描
- ID: T1595
- 参考 URL: https://attack.mitre.org/techniques/T1595/