Elastic Blog - Elasticsearch, Kibana, and ELK Stack
·
使用Elastic Security进行狩猎:检测命令和脚本解释器的执行
💡
原文英文,约2200词,阅读约需8分钟。
📝
内容提要
恶意攻击者利用系统工具(如PowerShell、Python)执行恶意代码,进行侦察、权限提升和横向移动。监控网络流量、进程和文件活动对于检测这些活动至关重要,以防止系统被完全控制。
🎯
关键要点
- 恶意攻击者利用系统工具(如PowerShell、Python)执行恶意代码。
- MITRE ATT&CK® T1059 - 命令和脚本解释器是攻击者常用的策略。
- 脚本执行在许多环境中普遍存在,区分良性活动和潜在威胁是一个挑战。
- 监控脚本执行对于识别恶意活动至关重要。
- T1059技术包括多种脚本执行方法,如PowerShell、AppleScript、Windows命令行等。
- 未能检测到未经授权的脚本执行可能导致权限提升和系统完全控制。
- 关键数据源包括网络流量日志、进程监控日志、文件监控和代理日志。
- 使用ES|QL查询分析进程执行、脚本活动和命令行行为以检测恶意活动。
- 监控PowerShell、Python等脚本执行的异常活动以识别潜在威胁。
- 将ES|QL查询转化为检测规则以自动化异常检测,提升防御能力。
➡️
