异常进程网络连接
编辑异常进程网络连接编辑
识别来自意外系统应用程序的网络活动。这可能表明对抗性活动,因为这些应用程序通常被对抗者利用来执行代码并逃避检测。
规则类型: eql
规则索引:
- winlogbeat-*
- logs-endpoint.events.process-*
- logs-endpoint.events.network-*
- logs-windows.sysmon_operational-*
严重性: 低
风险评分: 21
每隔: 5m
从以下时间开始搜索索引: now-9m (日期数学格式,另请参阅 其他回溯时间
)
每次执行的最大警报数: 100
参考: 无
标签:
- 域:端点
- 操作系统:Windows
- 用例:威胁检测
- 策略:防御规避
- 资源:调查指南
- 数据源:Elastic Defend
- 数据源:Sysmon
版本: 108
规则作者:
- Elastic
规则许可证: Elastic 许可证 v2
调查指南编辑
分类和分析
调查异常进程网络连接
此规则识别来自意外系统实用程序和应用程序的网络活动。攻击者通常滥用这些应用程序来执行代码、逃避检测和绕过安全保护。
可能的调查步骤
- 调查未知进程的进程执行链(父进程树)。检查其可执行文件的流行程度、它们是否位于预期位置以及是否使用有效的数字签名进行签名。
- 调查过去 48 小时内与用户/主机关联的其他警报。
- 调查进程正在与其通信的目标主机。
- 通过查找主机之间的类似事件来评估这种行为在环境中是否普遍存在。
误报分析
- 此活动不太可能合法发生。如有必要,可以将良性真阳性 (B-TP) 添加为例外。
响应和补救
- 根据分类结果启动事件响应流程。
- 隔离涉及的主机,以防止进一步的泄露后行为。
- 调查攻击者泄露或使用的系统上的凭据,以确保识别所有受损帐户。重置这些帐户和其他可能受损的凭据的密码,例如电子邮件、业务系统和 Web 服务。
- 运行完整的反恶意软件扫描。这可能会揭示系统中留下的其他工件、持久性机制和恶意软件组件。
- 确定攻击者滥用的初始媒介,并采取措施防止通过同一媒介重新感染。
- 查看分配给用户的权限,以确保遵循最小权限原则。
- 使用事件响应数据,更新日志记录和审计策略,以缩短平均检测时间 (MTTD) 和平均响应时间 (MTTR)。
规则查询编辑
sequence by process.entity_id [process where host.os.type == "windows" and (process.name : "Microsoft.Workflow.Compiler.exe" or process.name : "bginfo.exe" or process.name : "cdb.exe" or process.name : "cmstp.exe" or process.name : "csi.exe" or process.name : "dnx.exe" or process.name : "fsi.exe" or process.name : "ieexec.exe" or process.name : "iexpress.exe" or process.name : "odbcconf.exe" or process.name : "rcsi.exe" or process.name : "xwizard.exe") and event.type == "start"] [network where host.os.type == "windows" and (process.name : "Microsoft.Workflow.Compiler.exe" or process.name : "bginfo.exe" or process.name : "cdb.exe" or process.name : "cmstp.exe" or process.name : "csi.exe" or process.name : "dnx.exe" or process.name : "fsi.exe" or process.name : "ieexec.exe" or process.name : "iexpress.exe" or process.name : "odbcconf.exe" or process.name : "rcsi.exe" or process.name : "xwizard.exe")]
框架:MITRE ATT&CKTM
-
策略
- 名称:防御规避
- ID:TA0005
- 参考网址:https://attack.mitre.org/tactics/TA0005/
-
技术
- 名称:受信任的开发者实用程序代理执行
- ID:T1127
- 参考网址:https://attack.mitre.org/techniques/T1127/