提问人:Roozbeh Ramezani 提问时间:10/8/2023 更新时间:10/8/2023 访问量:14
Metasploit SMB 身份验证
Metasploit SMB Authentication
问:
我在我的业务中实施了以下 sigma 规则 当根据此 sigma 规则生成警报时 ((NOT exists:data.win.eventdata.processName AND data.id:“4776” AND data.win.eventdata.workstation.keyword:/[A-Za- z0-9]{16}/)))“ 在相关日志中,除了事件 ID 4776、随机工作站、错误代码: 0xc0000064 和身份验证包之外,没有其他证据可以检查此警报: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0。我正在寻找一种解决方案来找到这种攻击的来源并阻止恶意活动。西格玛规则:https://github.com/SigmaHQ/sigma/blob/master/rules/windows/builtin/security/win_security_metasploit_authentication.yml
我在我的业务中实施了以下 sigma 规则 当根据此 sigma 规则生成警报时 ((NOT exists:data.win.eventdata.processName AND data.id:“4776” AND data.win.eventdata.workstation.keyword:/[A-Za- z0-9]{16}/)))“ 在相关日志中,除了事件 ID 4776、随机工作站、错误代码: 0xc0000064 和身份验证包之外,没有其他证据可以检查此警报: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0。我正在寻找一种解决方案来找到这种攻击的来源并阻止恶意活动。西格玛规则:https://github.com/SigmaHQ/sigma/blob/master/rules/windows/builtin/security/win_security_metasploit_authentication.yml
创建此警报后,我没有通过检查相应的日志找到源 IP 和计算机名称
答: 暂无答案
评论