您好、欢迎来到现金彩票网!
当前位置:21点 > 子进程 >

使用ee-outliers和Elasticsearch检测可疑子进程

发布时间:2019-06-10 12:53 来源:未知 编辑:admin

  通过 ee-outliers 检测可疑子进程也是检测端点恶意活动一种非常有效的方法,例如:

  我们依赖于 osquery 来收集端点数据,使用以下查询定期收集有关我们要监控的工作站与服务器的所有信息。

  该查询将会结合进程执行的几个数据点,包括用户、进程、父进程名、PID 与 PPID 等。使用这些信息,来寻找可疑的子进程启动。

  es_query_filter 过滤 Elasticsearch 事件信息中所有我们想要的进程信息,排除掉所有没有父进程信息的事件

  如果生成的进程平均计数不到 1% 会触发一个异常值(如果 cmd.exe 仅在 adobe.exe 中生成一次,并且所有由 adobe.exe 生成的进程平均计数为 200,则 cmd.exe 的次数为 1 小于 200 的 1% 次,将被标记为异常值)

  接下来在测试环境中最近七天事件中使用 ee-outliers,测试环境中有 50 个工作站,共产生 632788 个进程执行事件

  首先在直方图中绘制异常事件,ee-outliers 为每个异常值添加了置信度参数,从而标定事件从用例处理的其他事件转移的程度。

  过去的七天中,一共发现 94 个异常值,大约六十万个事件,这意味着大约 0.015% 的进程事件都是异常的。听起来像是可以依靠手动分析处理的。但是为了得到这个结果,确实还要将以下内容添加到异常值配置文件中作为白名单,减少误报。

  这个事件立刻引起的分析师的注意,为什么 Chrome 会调用 cmd.exe?查看更多详细信息后,注意到是执行如下命令。

  可以发现,这是使用 cmd.exe 调用 1Password.exe 程序的 1Password Chrome 扩展程序。这不是恶意活动,但也不是误报,确实是罕见的活动类型。

  与前一个类似,这是 Chrome 调用 7zip 文件管理程序自动提取下载的 ZIP 文件。

  explorer.exe 是 Windows 上许多进程的父进程,这个场景下,客户使用便携式 VNC 客户端远程连接到工作站。由于这个便携式 VNC 客户端并不是工作站上允许使用的软件的一部分,因此被标记了。因为它很少被观察到从 explorer.exe 中生成(在我们的定义中,不超过 1%)。与此类似的包括“罕见的从 explorer.exe 调用 PremierColor.exe” 与 “罕见的从 explorer.exe 调用 SUMo.exe”。

  在这篇文章中介绍了如何使用 ee-outliers 发现可疑的子进程,然后可以进一步分析恶意活动。如违反公司政策(运行未经批准的软件)、运行受感染的文档(Office 文档产生的可疑进程)以及未知攻击等异常活动都可以被识别。

http://korinkorin.com/zijincheng/22.html
锟斤拷锟斤拷锟斤拷QQ微锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷微锟斤拷
关于我们|联系我们|版权声明|网站地图|
Copyright © 2002-2019 现金彩票 版权所有