在容器内启动可疑网络工具
编辑在容器内启动可疑网络工具编辑
此规则检测在容器内运行的通常被滥用的网络实用程序。诸如 nc、nmap、dig、tcpdump、ngrep、telnet、mitmproxy、zmap 等网络实用程序可用于恶意目的,例如网络侦察、监控或利用,并且应在容器内密切监控。
规则类型: eql
规则索引:
- logs-cloud_defend*
严重性: 中等
风险评分: 47
每隔: 5 分钟运行一次
搜索索引时间范围: now-6m(日期数学格式,另请参见 附加回溯时间)
每次执行的最大警报数: 100
参考: 无
标签:
- 数据源:Elastic Defend for Containers
- 域:容器
- 操作系统:Linux
- 用例:威胁检测
- 策略:发现
- 策略:命令和控制
- 策略:侦察
版本: 2
规则作者:
- Elastic
规则许可证: Elastic License v2
规则查询编辑
process where container.id: "*" and event.type== "start" and
(
(process.name: ("nc", "ncat", "nmap", "dig", "nslookup", "tcpdump", "tshark", "ngrep", "telnet", "mitmproxy", "socat", "zmap", "masscan", "zgrab")) or
/*account for tools that execute utilities as a subprocess, in this case the target utility name will appear as a process arg*/
(process.args: ("nc", "ncat", "nmap", "dig", "nslookup", "tcpdump", "tshark", "ngrep", "telnet", "mitmproxy", "socat", "zmap", "masscan", "zgrab"))
)
框架:MITRE ATT&CKTM
-
策略
- 名称:发现
- ID:TA0007
- 参考 URL:https://attack.mitre.org/tactics/TA0007/
-
技术
- 名称:网络服务发现
- ID:T1046
- 参考 URL:https://attack.mitre.org/techniques/T1046/
-
策略
- 名称:命令和控制
- ID:TA0011
- 参考 URL:https://attack.mitre.org/tactics/TA0011/
-
技术
- 名称:入口工具传输
- ID:T1105
- 参考 URL:https://attack.mitre.org/techniques/T1105/
-
策略
- 名称:侦察
- ID:TA0043
- 参考 URL:https://attack.mitre.org/tactics/TA0043/
-
技术
- 名称:主动扫描
- ID:T1595
- 参考 URL:https://attack.mitre.org/techniques/T1595/