2、本次将阐述T1505_003对应的ATT&CK大类中的持久性(persistence)类别,进一步归属于一级分类的服务器软件组件(Server Software Component)下的Web Shell子类别。
3、本次详细阐述如何利用Microsoft Defender来检测Webshell,并将相关的日志信息发送至SOC平台。
4、当Microsoft Defender检测到webshell的存在时,将触发防病毒告警机制。
5、会将日志记录到Microsoft-Windows-Windows Defender/Operational中,涉及两个事件ID,分别是1116和1006。
6、然而,本次操作仅触发了1116号日志的生成。
7、利用NXLog的im_msvistalog模块,我们可以直接从事件查看器中精准采集特定事件ID,以下是相关配置的详细步骤。
8、最终,SOC平台将接收到webshell的告警日志。
9、总结:
(1)、ATT&CK规则的数量越多,其覆盖的范围就越广泛,从而使得检测效果得到显著的提升。
(2)、免费和收费各有其独特的乐趣。虽然免费的项目有其吸引力,但收费的项目往往能提供更强大的体验。
原文始发于微信公众号(弥天安全实验室):【威胁感知】ATT&CK攻击链规则之Webshell检测与实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论