› › ›

可疑打印后台处理程序文件删除

编辑

可疑打印后台处理程序文件删除编辑

检测异常进程删除打印驱动程序文件。这可能表示在通过打印后台处理程序服务相关漏洞成功提升权限后进行的清理尝试。

规则类型: eql

规则索引:

winlogbeat-*
logs-endpoint.events.file-*
logs-windows.sysmon_operational-*
endgame-*

严重性: 中等

风险评分: 47

每隔: 5 分钟运行

从以下时间开始搜索索引: now-9m（日期数学格式，另请参见 其他回溯时间）

每次执行的最大警报数: 100

参考:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

标签:

域：端点
操作系统：Windows
用例：威胁检测
策略：权限提升
数据源：Elastic Endgame
用例：漏洞
数据源：Elastic Defend
数据源：Sysmon

版本: 107

规则作者:

Elastic

规则许可证: Elastic License v2

设置编辑

设置

如果在版本 <8.2 的非 elastic-agent 索引（例如 beats）上启用 EQL 规则，事件将不会定义 event.ingested，并且在版本 8.2 之前未添加 EQL 规则的默认后备。因此，为了使此规则有效工作，用户需要添加自定义摄取管道以填充 event.ingested 到 @timestamp。有关添加自定义摄取管道的更多详细信息，请参阅 - https://elastic.ac.cn/guide/en/fleet/current/data-streams-pipeline-tutorial.html

规则查询编辑

file where host.os.type == "windows" and event.type : "deletion" and
 not process.name : ("spoolsv.exe", "dllhost.exe", "explorer.exe") and
 file.path : "?:\\Windows\\System32\\spool\\drivers\\x64\\3\\*.dll"

框架: MITRE ATT&CK^TM

策略
- 名称：权限提升
- ID：TA0004
- 参考网址：https://attack.mitre.org/tactics/TA0004/
技术
- 名称：利用漏洞提升权限
- ID：T1068
- 参考网址：https://attack.mitre.org/techniques/T1068/

« 可疑 Powershell 脚本可疑打印后台处理程序点和打印 DLL »