系统 Hosts 文件访问

编辑

系统 Hosts 文件访问编辑

识别使用内置工具读取本地计算机上的 \etc\hosts 内容的情况。攻击者可能使用此数据发现环境中的远程计算机，这些计算机可用于从当前系统进行横向移动。

规则类型: eql

规则索引:

logs-endpoint.events.*
endgame-*
auditbeat-*
logs-auditd_manager.auditd-*

严重性: 低

风险评分: 21

每隔: 60m

从以下时间开始搜索索引: now-119m (日期数学格式，另请参见 其他回溯时间)

每次执行的最大警报数: 100

参考: 无

标签:

域：端点
操作系统：Linux
操作系统：macOS
用例：威胁检测
策略：发现
规则类型：BBR
数据源：Elastic Defend
数据源：Elastic Endgame
数据源：Auditd Manager

版本: 3

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询编辑

process where event.type == "start" and event.action in ("exec", "exec_event", "executed", "process_started") and
process.name in ("vi", "nano", "cat", "more", "less") and process.args == "/etc/hosts"

框架: MITRE ATT&CK^TM

策略
- 名称：发现
- ID：TA0007
- 参考网址：https://attack.mitre.org/tactics/TA0007/
技术
- 名称：远程系统发现
- ID：T1018
- 参考网址：https://attack.mitre.org/techniques/T1018/

« 系统二进制文件已移动或复制通过 Windows 命令 Shell 发现系统信息 »