« 可疑的 WMI 事件订阅已创建 可疑的 WMIC XSL 脚本执行 »
Elastic Docs Elastic Security Solution [8.14] 检测和警报 预置规则参考

可疑的 MS Office WMI 映像加载

编辑

可疑的 MS Office WMI 映像加载编辑

识别 Microsoft Office 进程中可疑的映像加载 (wmiutils.dll)。此行为可能表明恶意活动,其中子进程是通过 Windows Management Instrumentation (WMI) 生成的。此技术可用于执行代码并规避从 Microsoft Office 产品生成的传统父/子进程。

规则类型: eql

规则索引:

  • winlogbeat-*
  • logs-endpoint.events.library-*
  • logs-windows.sysmon_operational-*
  • endgame-*

严重性: 低

风险评分: 21

每隔: 5m

从以下时间开始搜索索引: now-9m (日期数学格式,另请参见 附加回溯时间)

每次执行的最大警报数: 100

参考:

标签:

  • 域:端点
  • 操作系统:Windows
  • 用例:威胁检测
  • 策略:执行
  • 数据源:Elastic Endgame
  • 数据源:Elastic Defend
  • 数据源:Sysmon

版本: 108

规则作者:

  • Elastic

规则许可证:Elastic 许可证 v2

设置编辑

设置

如果在非弹性代理索引(例如 beats)上启用 EQL 规则以获取版本 <8.2,事件将不会定义 event.ingested,并且在版本 8.2 之前未添加 EQL 规则的默认后备。因此,为了让此规则有效工作,用户需要添加一个自定义摄取管道以将 event.ingested 填充到 @timestamp。有关添加自定义摄取管道的更多详细信息,请参阅 - https://elastic.ac.cn/guide/en/fleet/current/data-streams-pipeline-tutorial.html

规则查询编辑

any where host.os.type == "windows" and
 (event.category : ("library", "driver") or (event.category == "process" and event.action : "Image loaded*")) and
  process.name : ("WINWORD.EXE", "EXCEL.EXE", "POWERPNT.EXE", "MSPUB.EXE", "MSACCESS.EXE") and
  (?dll.name : "wmiutils.dll" or file.name : "wmiutils.dll")

框架:MITRE ATT&CKTM

« 可疑的 WMI 事件订阅已创建 可疑的 WMIC XSL 脚本执行 »