› › ›

在 WBEM 路径上执行的异常进程

编辑

在 WBEM 路径上执行的异常进程

编辑

识别从 WBEM 路径运行的异常进程，这在 WMI 相关的 Windows 进程之外是不常见的。

规则类型: eql

规则索引:

logs-endpoint.events.process-*
logs-system.security*
winlogbeat-*
logs-windows.*
endgame-*

严重性: 低

风险评分: 21

运行频率: 60m

搜索索引时间范围: now-119m (日期数学格式，另请参阅 额外的回溯时间)

每次执行的最大告警数: 100

参考: 无

标签:

域: 端点
操作系统: Windows
用例: 威胁检测
策略: 防御规避
数据源: Elastic Defend
规则类型: BBR
数据源: Elastic Endgame
数据源: 系统

版本: 104

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询

编辑

process where host.os.type == "windows" and event.type == "start" and
  process.executable : ("?:\\Windows\\System32\\wbem\\*", "?:\\Windows\\SysWow64\\wbem\\*") and
  not process.name : (
    "mofcomp.exe",
    "scrcons.exe",
    "unsecapp.exe",
    "wbemtest.exe",
    "winmgmt.exe",
    "wmiadap.exe",
    "wmiapsrv.exe",
    "wmic.exe",
    "wmiprvse.exe"
  )

框架: MITRE ATT&CK^TM

策略
- 名称: 防御规避
- ID: TA0005
- 参考 URL: https://attack.mitre.org/tactics/TA0005/
技术
- 名称: 伪装
- ID: T1036
- 参考 URL: https://attack.mitre.org/techniques/T1036/