« 异常进程执行路径 - 备用数据流 异常进程扩展 »
Elastic 文档 Elastic Security Solution [8.14] 检测和警报 预置规则参考

WBEM 路径上的异常进程执行

编辑

WBEM 路径上的异常进程执行编辑

识别从 WBEM 路径运行的异常进程,在与 WMI 相关的 Windows 进程之外不常见。

规则类型: eql

规则索引:

  • logs-endpoint.events.process-*
  • logs-system.security*
  • winlogbeat-*
  • logs-windows.*
  • endgame-*

严重性: 低

风险评分: 21

每隔: 60m

从以下时间开始搜索索引: now-119m (日期数学格式,另请参见 附加回溯时间)

每次执行的最大警报数: 100

参考: 无

标签:

  • 域:端点
  • 操作系统:Windows
  • 用例:威胁检测
  • 策略:防御规避
  • 数据源:Elastic Defend
  • 规则类型:BBR
  • 数据源:Elastic Endgame

版本: 2

规则作者:

  • Elastic

规则许可证: Elastic 许可证 v2

规则查询编辑

process where host.os.type == "windows" and event.type == "start" and
  process.executable : ("?:\\Windows\\System32\\wbem\\*", "?:\\Windows\\SysWow64\\wbem\\*") and
  not process.name : (
    "mofcomp.exe",
    "scrcons.exe",
    "unsecapp.exe",
    "wbemtest.exe",
    "winmgmt.exe",
    "wmiadap.exe",
    "wmiapsrv.exe",
    "wmic.exe",
    "wmiprvse.exe"
  )

框架: MITRE ATT&CKTM

« 异常进程执行路径 - 备用数据流 异常进程扩展 »