› › ›

系统时间发现

编辑

系统时间发现

编辑

检测常用的系统时间发现技术的使用，攻击者可能会在攻陷系统后的侦察阶段使用这些技术。

规则类型: eql

规则索引:

winlogbeat-*
logs-endpoint.events.process-*
logs-windows.*
endgame-*
logs-system.security*

严重性: 低

风险评分: 21

运行频率: 5 分钟

搜索索引起始时间: now-9m ( 日期数学格式, 另请参阅 额外回溯时间)

每次执行的最大告警数: 100

参考: 无

标签:

域: 端点
操作系统: Windows
用例: 威胁检测
战术: 发现
数据源: Elastic Defend
数据源: Elastic Endgame
规则类型: BBR
数据源: 系统

版本: 110

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询

编辑

process where host.os.type == "windows" and event.type == "start" and
(
 (
    (process.name: "net.exe" or (process.name : "net1.exe" and not process.parent.name : "net.exe")) and
    process.args : "time" and not process.args : "/set"
 ) or
 (process.name: "w32tm.exe" and process.args: "/tz") or
 (process.name: "tzutil.exe" and process.args: "/g")
) and not user.id : ("S-1-5-18", "S-1-5-19", "S-1-5-20")

框架: MITRE ATT&CK^TM

战术
- 名称: 发现
- ID: TA0007
- 参考 URL: https://attack.mitre.org/tactics/TA0007/
技术
- 名称: 系统时间发现
- ID: T1124
- 参考 URL: https://attack.mitre.org/techniques/T1124/

« 通过服务获取系统 Shell 创建 System V Init 脚本 »