JoshuaRobel/rapid7-powershell-detection-rule

# Rapid7 检测规则 – 奇疑 PowerShell 父子进程执行 ## 项目概述 本项目演示了创建自定义 Rapid7 InsightIDR 检测规则，以识别奇疑 PowerShell 父子进程执行。 该规则专门检测 PowerShell 启动 `nslookup.exe`，这可能表明命令执行、基于 DNS 的活动、LOLBAS 滥用或攻击者侦察。 ## 检测目标 检测： ``` powershell.exe → nslookup.exe ``` 潜在的恶意意图： - 基于地面的活动 - DNS 侦察 - PowerShell 滥用 - 恶意软件部署 ## 使用的技术 - Rapid7 InsightIDR - Windows PowerShell - Windows 虚拟机 - 进程监控 ## 🎥 演示视频 [](https://youtube.com/watch?v=cGuqcDBorU0) ## 点击图片观看演示。 ## 检测规则配置 ### 规则名称 ``` Suspicious PowerShell Parent-Child Process ``` ### 描述 检测 PowerShell 启动可疑的子进程。 ### 规则操作 ``` Alert Priority: High ``` ### 事件类型 ``` Endpoint Process Start Event ``` ### 检测查询 ``` where(process.parent.name = "powershell.exe") AND(process.name = "nslookup.exe") ``` ## 操作规程 / 演示步骤 ### 步骤 1 — 创建自定义检测规则 导航： ``` Detection Rules → Create New Rule ``` 配置： - 名称 - 描述 - 警报操作 - 高优先级 ### 步骤 2 — 配置事件类型 选择： ``` Endpoint Process Start Event ``` 原因： 检测监控父子进程执行。 ### 步骤 3 — 添加检测查询 规则逻辑检测： ``` powershell.exe → nslookup.exe ``` ### 步骤 4 — 测试检测 打开 Windows PowerShell。 执行： ``` nslookup google.com ``` 这有意触发了检测逻辑。 ### 步骤 5 — 验证日志 审查： ``` Log Search ``` 确认： - PowerShell 执行已记录 - nslookup 活动存在 ### 步骤 6 — 验证警报 导航到： ``` Alerts ``` 确认： - 自定义警报已触发 - 检测功能正常 ## 结果 成功创建并验证了一个自定义 SIEM 检测规则，能够识别可疑的 PowerShell 进程关系。 ## MITRE ATT&CK 映射 建议： ``` T1059.001 — PowerShell T1046 — Network Service Discovery ``` ## 展示的技能 - 检测工程 - SIEM 警报 - PowerShell 遥测分析 - 端点监控 - 检测验证

标签：DNS 检测, IPv6, LOLBAS, PowerShell, Rapid7 InsightIDR, RFI远程文件包含, URL发现, Windows 安全, 威胁情报, 安全事件, 安全事件响应, 安全响应, 安全培训, 安全威胁, 安全意识, 安全检测, 安全漏洞, 安全策略, 安全防护, 安全防护措施, 开发者工具, 提示词设计, 攻击侦察, 自定义规则